エンタープライズセキュリティリーダーのためのサイバーセキュリティにおけるHUMINT

HUMINTとは何か？

攻撃者が正規の認証情報を使用すると、すべてのセキュリティスタックを回避します。Scattered Spider脅威アクターグループに関するFBI/CISAのアドバイザリによると、彼らはITヘルプデスク担当者を操作して認証情報を引き出す高度な人的情報（HUMINT）技術を示しています。これにより、ファイアウォール、EDR、ネットワークセグメンテーションは無意味になります。

サイバーセキュリティにおける人的情報（HUMINT）は、人間の行動、信頼関係、社会的ダイナミクスを体系的に悪用して企業のセキュリティを侵害することを指します。この用語はもともと軍事や情報機関の文脈で生まれましたが、現在では人的要素を標的とする攻撃を指します。CISAのガイダンスによれば、ソーシャルエンジニアリング攻撃は「人間のやり取り（社会的スキル）を利用して、組織やそのコンピュータシステムに関する情報を取得または侵害する」ものです。

HUMINTベースの攻撃が成功するのは、導入されているあらゆる技術的コントロールを回避できるためです。ファイアウォール、エンドポイント保護、ネットワークセグメンテーションも、攻撃者が人間を操作して自発的にアクセスを許可させると無意味になります。彼らはソフトウェアの脆弱性を悪用するのではなく、信頼、権威、緊急性、そして親切であろうとする本能を悪用します。

 Verizon 2024 DBIRによると、盗まれた認証情報は依然として最も一般的な初期アクセス手法であり、侵害の22%で使用されています。これらの人的要素を標的とした攻撃手法を組み合わせると、 ソーシャルエンジニアリング、システム侵入、基本的なWebアプリケーション攻撃が、さまざまな業界セクターにおける侵害の大半を占めています。

なぜHUMINTが技術的攻撃とは異なる防御を必要とするのかを理解するために、セキュリティチームはまず他のインテリジェンス分野と区別する必要があります。

HUMINTと他のインテリジェンスタイプの違い

セキュリティチームは複数のインテリジェンス分野に直面し、それぞれが異なる攻撃ベクトルを対象としています。HUMINTがどこに位置するかを理解することで、なぜ独自の防御アプローチが必要なのかが明確になります。

• OSINT（オープンソースインテリジェンス）は、ソーシャルメディア、企業ウェブサイト、求人情報、公開記録などの公開情報を収集します。攻撃者はOSINTを利用して、HUMINT作戦を開始する前にターゲットを調査します。OSINTの収集は受動的に行われますが、HUMINTは積極的な人間の関与を必要とします。
• SIGINT（シグナルインテリジェンス）は、電子通信やネットワークトラフィックを傍受します。暗号化やネットワーク監視などの技術的コントロールはSIGINTに対する防御となります。HUMINTはこれらのコントロールを完全に回避し、人間を操作して自発的にアクセスを提供させます。
• TECHINT（テクニカルインテリジェンス）は、マルウェア、エクスプロイト、技術的な侵害指標を分析します。セキュリティツールは、シグネチャや行動パターンを通じてTECHINTベースの攻撃を検出するのが得意です。HUMINT攻撃は正規の認証情報を使用するため、悪意のある技術的指標を生成しません。

重要な違いは、SIGINTとTECHINTはシステムやデータフローを標的とし、HUMINTは人間を標的とする点です。攻撃者がソーシャルエンジニアリングで認証情報を取得すると、正規ユーザーとして認証されます。SIEMは通常のログイン活動として認識し、EDRは許可されたプロセスとして認識し、ファイアウォールは許可されたトラフィックとして認識します。技術的な攻撃が発生していないため、攻撃は技術的検知から不可視となります。

この不可視性が、従来のサイバーセキュリティプログラムがHUMINT脅威への対応に苦戦する理由です。

HUMINTとサイバーセキュリティの関係

サイバーセキュリティプログラムは通常、未修正システム、誤設定ファイアウォール、マルウェアシグネチャ、ネットワーク異常などの技術的脆弱性に焦点を当てています。HUMINTはこのモデルを逆転させます。攻撃者はコードを悪用するのではなく、心理を悪用します。CVE番号を探すのではなく、LinkedInで組織図を探します。ポートをスキャンするのではなく、特定の個人を標的としたプレテキストシナリオを作成します。

HUMINTは、エンタープライズ環境において以下の3つの主要な攻撃カテゴリを通じて組織を標的とします：

• ソーシャルエンジニアリング攻撃は、従業員を操作して認証情報を漏洩させたり、不正な取引を承認させたり、心理的操作によって悪意のある行動を実行させたりします。
• インサイダー脅威は、現職または元従業員、契約者、ビジネスパートナーが意図的または非意図的にセキュリティを侵害する際に、認可されたアクセスを悪用します。
• 偵察および標的化作戦は、APTグループが体系的な情報収集を行い、最適なターゲットの特定、信頼関係のマッピング、個別攻撃シナリオの開発を行います。

 Ponemon Institute 2025年の調査によると、全データ侵害の45%がインサイダー脅威によるものであり、1件あたりの平均インシデントコストは270万ドルです。同調査では、60%の組織がインサイダー脅威を効果的に発見できていないことも明らかになっており、APTグループや金銭目的の攻撃者が体系的にこのギャップを悪用しています。

攻撃者は、セキュリティチームが認識すべき特定の手法を用いてこれらのギャップを悪用します。

HUMINTの手法と方法

HUMINT攻撃は、偵察、心理的操作、技術的悪用を組み合わせた体系的な手法で実行されます。CISAの基本ガイダンスによれば、これらの攻撃は「人間のやり取り（社会的スキル）を利用して、組織やそのコンピュータシステムに関する情報を取得または侵害する」ものです。これらの要素を理解することで、 行動分析、セキュリティ意識、インサイダー脅威対策における防御ギャップを特定できます。

• オープンソースインテリジェンス（OSINT）収集が基盤となります。攻撃者は、LinkedInからの従業員名や役割、企業ウェブサイトからの組織構造、求人情報からの技術スタック、プレスリリースからのビジネス関係など、公開情報を通じて組織をプロファイリングします。
• 引き出し技術は、一見無害な会話を通じて情報を抽出します。熟練したソーシャルエンジニアは、ターゲットとカジュアルな対話を行い、断片的なインテリジェンスを徐々に収集し、それらを組み合わせて完全なアクセス経路を構築します。
• インサイダーのリクルートおよび悪用は、認可されたアクセスを持つ従業員を標的とします。 CISAガイダンスでは、インサイダー脅威を「インサイダーが認可されたアクセスを意図的または非意図的に使用し、部門のミッション、リソース、人員、施設、情報、機器、ネットワーク、システムに損害を与える状況」と定義しています。
• 信頼関係の悪用は、ビジネスパートナーシップやサプライチェーンのつながりを、標的型ソーシャルエンジニアリングやプレテキストを通じて悪用します。攻撃者は、 スピアフィッシングや標的型 認証情報窃取を用いて、信頼されたベンダーやパートナー、契約者を侵害し、間接的なアクセスを獲得します。

これらの手法は、予測可能なフェーズに従う構造化された攻撃シーケンスとして組み合わされます。

HUMINTのリスクと限界

HUMINT攻撃が必ずしも成功するとは限りません。その限界を理解することで、セキュリティチームは防御の優先順位を決定し、攻撃が失敗または停滞した場合を認識できます。

• 人間の予測不可能性が攻撃者に運用リスクをもたらします。脆弱なシステムに対して一貫して機能するソフトウェアエクスプロイトとは異なり、HUMINTの成功は個々の人間の反応に依存します。従業員が疑念を抱いたり、異常な要求を報告したり、単に従わなかったりすることがあります。1人の警戒心のある従業員が作戦全体を暴露することもあります。
• HUMINT攻撃には多大な時間投資が必要です。効果的なソーシャルエンジニアリングには、広範な偵察、関係構築、プレテキスト開発が必要です。自動化された攻撃が即座に拡大できるのに対し、HUMINT作戦は単一ターゲットに対して数週間から数か月かかることが多く、この時間投資が同時に標的にできる組織数を制限します。
• 帰属および露見リスクが一部の脅威アクターを抑止します。HUMINT作戦は直接的な人間の接触を伴うため、特定される機会が生じます。電話は録音され、メールはメタデータが残り、対面アプローチは物理的な特定リスクがあります。国家支援グループや高度な犯罪者はこれらのリスクを受け入れますが、能力の低い攻撃者は純粋な技術的手法を好み、HUMINTを避けることが多いです。
• 組織のセキュリティ文化が成功率に直接影響します。強力なセキュリティ意識プログラム、明確なエスカレーション手順、疑わしい活動の報告を奨励する文化を持つ企業は、HUMINTの成功率を大幅に低減します。従業員が報復を恐れずに異常な要求を質問できる環境では、ソーシャルエンジニアリングは著しく困難になります。
• 失敗した試みは防御側に警告を与えます。受動的な偵察や自動スキャンとは異なり、失敗したHUMINTの試みはしばしば証拠を残します。報告されたフィッシングメール、フラグされた電話、疑わしいバッジリクエストなどは、セキュリティチームが進行中のキャンペーンを特定し、防御を強化するためのインテリジェンスとなります。

これらの限界にもかかわらず、HUMINTの手法は準備不足の組織に対して非常に効果的であるため、攻撃者は投資を続けています。

HUMINT攻撃の仕組み

HUMINT攻撃は予測可能な運用ワークフローに従いますが、実行の高度さは敵対者の能力やターゲットの価値によって異なります。

1. ターゲット選定と偵察は、侵害の数週間から数か月前に始まります。APTグループは、知的財産、財務システム、戦略的インテリジェンスなど価値のある組織を体系的に特定し、公開情報を分析して組織構造や主要人物を把握します。
2. アクセス経路の特定は、人間関係をマッピングして最適な侵入ポイントを見つけます。攻撃者は、必要なアクセス権限を持ち、セキュリティ意識が低く、行動パターンが予測可能、または個人的事情で脆弱性がある従業員を特定します。
3. プレテキストの開発とテストは、特定のターゲットに合わせた信憑性の高いシナリオを作成します。SANS Instituteの調査によると、脅威アクターは権威、緊急性、恐怖、親切心を悪用するシナリオを作成します。
4. 初回接触と操作は、収集した偵察情報を用いたスピアフィッシングメール、電話、物理的アクセス試行、信頼できる送信元を装ったSMSなどを通じてソーシャルエンジニアリング攻撃を実行します。
5. 認証情報の取得と検証は、認証情報を収集し、アクセス権限を検証します。攻撃者は、盗んだ認証情報が期待通りのアクセスレベルを提供するかを確認し、内部システムのマッピングを開始します。
6. 永続化とラテラルムーブメントは、持続的なアクセスを確立し、制御範囲を拡大します。正規の認証情報を使用してネットワーク内部に侵入すると、攻撃者はほとんどのセキュリティツールから正規ユーザーとして認識され、バックアップアクセス手段の作成や権限昇格を行います。

これらの運用パターンは、世界中のエンタープライズを標的とした実際のインシデントで一貫して確認されています。

実際のHUMINT攻撃事例

著名な侵害事例は、HUMINT手法が技術的なセキュリティ投資をいかに回避するかを示しています。

• MGM Resorts（2023年）：Scattered SpiderはMGMのITヘルプデスクに電話し、LinkedInで見つけた従業員になりすましてオペレーターに認証情報のリセットを依頼しました。この1本の電話がランサムウェアの展開、ラスベガスの施設全体のシステム停止、1億ドル超の損失につながりました。攻撃者はOSINTでターゲットを調査し、説得力のあるプレテキストを作成し、ヘルプデスクの親切心を悪用しました。
• Twitter（2020年）：攻撃者は電話によるソーシャルエンジニアリングで従業員の認証情報を侵害し、内部ツールにアクセスしてElon Musk、Barack Obama、Appleなどの著名アカウントを乗っ取りました。この攻撃で詐欺投稿を通じて10万ドル超のビットコインを得ました。技術的コントロールは、操作によって取得された正規の従業員アクセスのため機能しませんでした。
• Ubiquiti Networks（2015年）：攻撃者は経営幹部や外部弁護士になりすましたスプーフィングメールを使い、財務担当者を説得して攻撃者が管理する海外口座に4,670万ドルを送金させました。このBEC攻撃にはマルウェアもネットワーク侵入も技術的悪用も必要ありませんでした。

各インシデントに共通するのは、広範な偵察、信憑性の高いプレテキスト、信頼と権威の悪用、技術的コントロールでは通常業務と区別できない正規のアクセス経路の利用です。なぜこれらのパターンが一貫して成功するのかを理解することで、従来のセキュリティアプローチの根本的なギャップが明らかになります。

HUMINT攻撃が成功する理由

HUMINTベースの攻撃が脅威環境を支配するのは、企業セキュリティの根本的なアーキテクチャ仮定を悪用し、防御側の死角で活動するためです。Verizon 2024 DBIRによると、侵害の大半はソーシャルエンジニアリング、システム侵入、基本的なWebアプリケーション攻撃が関与しています。セキュリティツールは、心理的操作ではなく技術的逸脱を検出するように設計されています。

 SANS 2025レポートによると、80%の組織がソーシャルエンジニアリングを最も重要な人的リスクと位置付けていますが、Ponemonの調査では多くの組織がインサイダー脅威の効果的な発見に苦戦していると報告されています。

• 正規の認証情報は技術的コントロールを回避します。攻撃者がフィッシング、ソーシャルエンジニアリング、インサイダー窃取などで正規に取得した認証情報を使用すると、正規ユーザーとして認識されます。境界セキュリティ、侵入防止システム、エンドポイント保護は、侵害後に指標が現れるまで、正規の認証情報利用と攻撃者の利用を区別できません。
• 人間の心理は一貫して悪用可能です。技術的脆弱性は修正されますが、権威、緊急性、恐怖、信頼、互恵性などの人間の心理的傾向は、すべての組織環境で持続します。SANS 2025レポートによると、AIはこれらの攻撃の高度化と規模拡大を「加速」しています。
• 偵察は防御側の可視性外で行われます。APTグループは、公開情報のみを用いて情報収集を行い、認可されたアクセスを数週間から数か月間悪用します。
• AIはパーソナライズを大規模に実現します。Verizon 2024 DBIRによると、生成AIにより攻撃者は非常に説得力のあるフィッシングメッセージを大規模に生成でき、検出が著しく困難になっています。
• マシンアイデンティティの拡大が巨大な攻撃面を生み出しています。 SANS Instituteの調査によると、マシンアイデンティティは人的アイデンティティを大幅に上回っており、2025年までにAIが新たな特権アイデンティティの最大の生成元になると予測されています。

これらの成功要因は、セキュリティチームが対処すべき特有の防御課題を生み出します。

HUMINT防御の課題

人的要素を標的とした攻撃への防御には、技術的セキュリティプログラムとは異なるアプローチが必要です。

• 認可されたアクセスは設計上信頼されています。セキュリティアーキテクチャは、認証済みユーザーが信頼できることを前提としています。認証情報ベースの攻撃は、攻撃者が正規ユーザーとして通常の活動を行うため、セキュリティコントロールから不可視となります。
• インサイダー脅威プログラムには部門横断的な連携が不可欠です。 CISAガイダンスによると、効果的なインサイダー脅威プログラムには、セキュリティ、人事、法務、経営を統合した部門横断チームが必要です。多くの企業はこれらの連携構造を確立できておらず、脅威情報のサイロ化や懸念行動への対応遅延を招いています。
• 通常の業務プロセスの悪用は正規活動と区別できません。HUMINT攻撃は通常のワークフローを悪用して成功します。攻撃者は、フィッシングのためのメール、データ流出のためのファイル共有、盗まれた認証情報によるVPNアクセス、特権アカウントによるインサイダー悪用などを利用します。これらの活動は正規業務と同じであり、技術的検知を回避します。

これらの本質的課題に加え、組織は回避可能なミスによって問題を悪化させることがよくあります。

HUMINT防御でよくあるミス

企業は人的レイヤーのセキュリティにおいて、予測可能なミスを繰り返し、悪用可能なギャップを生み出しています。

1. 人間中心の防御を伴わない純粋な技術依存。組織は高度なEDR、SIEM、 ゼロトラストアーキテクチャ、ファイアウォールを導入しても、セキュリティ意識プログラム、行動分析、専任のインサイダー脅威対策には十分な投資をしていません。SANS 2025レポートで80%の組織がソーシャルエンジニアリングを最重要人的リスクとする中、脅威現実と防御投資の乖離が明らかです。
2. 行動変化の測定ではなくセキュリティ意識のパフォーマンス。年次セキュリティトレーニングは修了率のみを測定し、実際の行動変化は測定しません。従業員はコンプライアンス動画を視聴し、モジュールをクリックしてすぐに内容を忘れます。
3. インサイダー脅威カテゴリの区別を怠る。全従業員に一律の監視を適用したり、プライバシー懸念からインサイダー脅威プログラム自体を回避したりすると、死角が生まれます。Verizon DBIRによると、アクセスを意図的に悪用する悪意のあるインサイダー、ミスによる不注意な行為者、イデオロギー的動機による良心的反対者には、差別化されたアプローチが必要です。
4. マシンアイデンティティの攻撃面を無視する。IAMプログラムが人的アイデンティティのみに集中すると、サービスアカウント、APIキー、コンテナ認証情報、自律プロセスアイデンティティがガバナンスなしに増殖します。SANSの調査は、攻撃者が体系的に悪用する大規模な死角を明らかにしています。

これらのミスを回避するには、実証済みの防御フレームワークの導入が必要です。

HUMINT防御のベストプラクティス

人的要素を標的とした攻撃への効果的な防御には、CISAの4フェーズフレームワーク（定義、発見と特定、評価、管理）に従った統合プログラムが必要です。これは、インサイダー脅威の発見のための行動分析、測定可能な成果を伴うセキュリティ意識トレーニング、セキュリティ・人事・法務・経営を横断する連携を組み合わせたものです。

• CISAの4フェーズフレームワークに従ったインサイダー脅威プログラムを実装する。自組織の文脈に合わせてインサイダー脅威を定義し、インサイダーを組織リソースへの認可アクセスまたは知識を持つすべての人物と認識します。技術的指標と行動シグナルを統合した監視機能を導入します。
• ベースラインを確立し異常を特定する行動分析を導入する。UEBAプラットフォームを導入し、認証パターン、アクセス行動、アクティビティシーケンスを分析して、確立されたベースラインからの逸脱を特定します。例えば、ユーザーアカウントが午前2時に異常な地理的位置からファイル共有にアクセスした場合、行動分析がこの逸脱を特定し、認証情報侵害の可能性を調査するようチームに警告します。
• 行動テストを伴う測定可能なセキュリティ意識プログラムを確立する。コンプライアンス重視のトレーニングを超え、個別シナリオによる現実的なフィッシングシミュレーションを通じて実際の行動変化を測定するプログラムを実施します。
• 継続的検証を伴うゼロトラストアーキテクチャを実装する。ISC2のゼロトラストアーキテクチャフレームワークによれば、ゼロトラスト実装には最小権限アクセス、ロールベースアクセス制御、 多要素認証、特権アクセス管理、継続的な監視とログ記録が必要です。
• 人的・マシンアイデンティティの両方を標的とするアイデンティティベース攻撃から保護する。 アイデンティティガバナンスプログラムを導入し、人的セキュリティ意識、行動分析、部門横断インサイダー脅威プログラム、人的・マシンアイデンティティ利用の継続的監視を組み合わせます。
• セキュリティ・人事・法務・経営を統合した部門横断インサイダー脅威チームを設立する。CISAガイダンスによれば、明確な役割、責任、情報共有プロトコルを持つ正式な連携構造を確立します。

これらのベストプラクティスを実装するには、エンタープライズ全体で行動異常を検出できる技術が必要です。

重要なポイント

HUMINTベースの攻撃は、技術的脆弱性ではなく人間の心理や正規の認証情報を悪用するため、現代の脅威環境を支配しています。2024年Verizon DBIRによると、盗まれた認証情報は依然として最も一般的な初期アクセス手法であり、2025年Ponemon Instituteの調査では多くの組織がインサイダー脅威の効果的な発見に苦戦していることが確認されています。これらの攻撃への防御には、行動分析、測定可能な成果を伴うセキュリティ意識、インサイダー脅威フレームワーク、ゼロトラストアーキテクチャ、部門横断的な連携を組み合わせた統合プログラムが必要です。 

Scattered Spiderのような攻撃者がヘルプデスク担当者を操作して認証情報を引き出す場合、防御の成否は、技術的コントロールでは見えない人的要素を標的とした攻撃を発見できる統合プログラムの実装にかかっています。