15種類のソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃は、急速に発展するデジタル環境において個人や企業が直面する最大の脅威の一つと言えるでしょう。典型的なサイバー攻撃がソフトウェアやネットワークの脆弱性を攻略することを主眼とするのに対し、主要なソーシャルエンジニアリング攻撃は最も脆弱なリンク、すなわち人間を悪用します。攻撃者は信頼、好奇心、恐怖、プレッシャーといった人間の自然な傾向を利用し、機密情報を提供させたり、自身のセキュリティだけでなく組織全体のセキュリティをも危険に晒す行動を取らせます。実際、サイバー攻撃の98%はソーシャルエンジニアリング戦術に依存しており、攻撃者が目標達成のためにいかに人間の行動操作に依存しているかを示しています。悪意ある攻撃の広範なカテゴリーは、欺瞞と人間同士の相互作用に基づいています。攻撃者は信頼できる存在を装い、被害者に機密情報の開示やセキュリティチェックの回避を納得させます。こうした手法には、フィッシングメール、詐欺電話、対面でのなりすましなどが含まれ、セキュリティ意識が欠如した環境では特に蔓延します。技術の進歩に伴い、ソーシャルエンジニアリングの手口も高度化しており、検知と防御はますます困難になっている。まさにこうした手法を理解することが、本質的に相互接続された世界において、個人や企業がデータとシステムをさらに保護するために不可欠である。

本記事では、ソーシャルエンジニアリング攻撃とは何かを解説し、様々な形態の攻撃の詳細について深く掘り下げていく。

ソーシャルエンジニアリング攻撃の15の種類

ソーシャルエンジニアリング攻撃人間の心理を悪用し、機密情報の取得や個人の行動に影響を与えてセキュリティを侵害します。ソーシャルエンジニアリングは、複数の手段を用いた欺瞞や説得に依存するため、従来のハッキングとは全く異なります。技術が変化するように、サイバー犯罪者の戦術も変化します。したがって、防御のための最も重要なツールは、認識と教育です。最も一般的なソーシャルエンジニアリング攻撃の種類を以下に示します。それぞれに固有の手法と目的があります：

1. フィッシング: フィッシングは最も一般的なソーシャルエンジニアリング攻撃の一つです。この攻撃では、被害者から機密情報を引き出すために設計された悪意のあるメール、メッセージ、またはウェブサイトが使用されます。多くの場合、詐欺は銀行口座や信頼できる企業などの正当な情報源を装い、人々を騙して悪意のあるリンクをクリックさせたり、個人認証情報を提供させたりします。その結果、個人情報の盗難、金銭的損失、または機密データへの不正アクセスが発生する可能性があります。マスフィッシング攻撃は、成功確率を高めるため数百万の受信者に送信されます。フィッシング攻撃に引っかかった被害者は、窃盗犯に機密情報を盗まれ、その結果として個人情報の盗難、不正アクセス、または金融詐欺に遭う可能性があります。
2. スピアフィッシング: スピアフィッシングはより標的を絞ったフィッシング手法です。ここでは、サイバー攻撃者は個人や組織についてより深い調査を行い、成功の可能性を高めるような高度にパーソナライズされたメッセージを作成します。一般的に一括送信される一般的なフィッシング攻撃は、経営幹部や重要従業員といった高価値ターゲットに焦点を当てる傾向があります。こうした攻撃は企業スパイ活動や重要データの窃取の基盤となるため、非常に壊滅的な結果をもたらす可能性があります。問題は、スピアフィッシングが高度にカスタマイズされるため、警戒心の強い人々でさえフィッシング攻撃の被害者となり、機密情報を漏洩してしまう可能性があることです。スピアフィッシング攻撃の大半は、内部システムへの侵入に成功した場合、企業スパイ活動やビジネス上重要なデータの窃取へと発展します。組織全体のセキュリティ侵害は、内部システムへの侵入後に発生することが多い。
3. Vishing（ボイスフィッシング）:Vishingとは、音声通信（通常は電話）を用いて被害者から機密情報を引き出すフィッシングの一種です。サイバー攻撃者は、銀行担当者や政府職員など、被害者が信頼する権威ある人物を装い、個人データの提供を促します。音声によるやり取りはコンピュータベースのフィッシング攻撃よりも個人的で本物らしく感じられるため、特に発信者番号を偽装した場合、ヴィッシング攻撃は効果的になりがちです。また、ヴィッシングは人的なやり取りに大きく依存するため、サイバーフィッシングよりも正当性や真実味を帯びて見える場合があります。発信者番号の偽装もこの種の攻撃における欺瞞の一環です。表示される発信者番号情報に基づき、電話は正当な発信元からのものとして認識されます。
4. スミッシング（SMSフィッシング）:これはフィッシングの別の手法である。サイバーハッカーが標的とする技術で、信頼できる送信元を装った、あるいはウェブサイトを開くためのリンクを含むと主張する短いテキストメッセージ（SMS）を送信する。SMSはユーザーに直接個人情報の入力やシステムへのマルウェアダウンロードを要求します。SMSはメールとは異なり即座に返信されるため、モバイル端末はスミッシングに最適です。攻撃者が携帯電話を悪用しやすい理由は、メールよりもSMSへの反応が瞬時である点にあります。SMSの即時性がユーザーに思考停止状態での反応を促すのです。一方、スミッシングのリンクは、本物組織を装ったウェブサイトへ誘導し、被害者に個人情報を渡すよう騙す可能性があります。
5. プレテクスティング: プレテクスティングとは、攻撃者が被害者にアクセス権や情報を提供させるため、シナリオや口実を作り出す行為を指します。例えば、攻撃者は同僚やITサポート、あるいは正当な業務活動の一環として機密情報を問い合わせる法律関係者などを装うことがあります。プレテクスティングの成功は、攻撃者が被害者に対してどれほど信頼と信憑性を確立できるかに依存します。攻撃者は、助けたいという欲求や権威への従順さを利用することで、ログイン認証情報や個人識別情報などの貴重なデータを抽出することが可能です。したがって、プレテクスティングは、特に企業環境において、無自覚な従業員が知らずに不正アクセスを許可してしまう深刻なデータ侵害を引き起こす手法である。
6. ベイト（餌）攻撃: ベイト攻撃は、無料ソフトウェア、無料音楽、音楽、さらには金銭など、被害者が欲するものを約束することで誘い込む。攻撃者は物理的な餌（例：公共の場所にUSBメモリを放置）を用いる場合がある。警戒心のない人がそのメモリをコンピュータに挿入すると、マルウェアがインストールされ、攻撃者がシステムにアクセスできるようになる。無料または魅力的なアイテムは、被害者を危険な決断へと誘い込む可能性がある。ベイト攻撃は、人間の好奇心や欲求を利用して被害者を危険な選択へと誘導する。このような餌を通じてマルウェアがインストールされると、ネットワーク全体のセキュリティを侵害することが可能になります。これにより、最終的にはコンピューターに関連する様々なセキュリティ対策が破られる可能性があります。ベイト攻撃はサイバー空間でも見られ、ユーザーは一見完全に正当に見えるが隠されたマルウェアを含むファイルをダウンロードするよう騙されることがあります。
7. 見返り型攻撃（Quid Pro Quo）: 見返り型攻撃では、攻撃者が情報と引き換えにサービスや利益を提供します。典型的な例として、サイバー犯罪者がITサポートを装い、システムの問題を解決すると主張しながら、事前に被害者のアカウント認証情報を要求するケースが挙げられます。この手法は、被害者が支援やサポートを望む心理を利用し、攻撃者が機密情報を入手しやすくする。クイド・プロ・クオ攻撃は、被害者が何らかの支援を必要としている事実を悪用し、機密データの提供を促す。攻撃者が認証情報を入手すると、システムへのアクセス、情報抽出、コンピュータへの悪意あるコードのインストールが可能となる。従業員が技術的な問題をできるだけ早く解決したいと切望している企業環境では、これは非常に危険です。
8. テールゲティング（ピギーバッキング）： テールゲティングは、物理的なソーシャルエンジニアリング攻撃の一種で、許可されていない人物が許可されたユーザーに続いて制限区域に入るものです。例えば、アクセスカードを忘れたと主張した人物が従業員に同行してドアを通過するケースが考えられます。これにより攻撃者は本来立ち入りが許可されていない区域に侵入し、データ侵害や窃盗を実行する可能性さえあります。内部に侵入したハッカーは許可されていない区域へ移動し、機密情報の窃取、データ侵害、さらには妨害行為に至るリスクをもたらします。テールゲティングは被害者の親切心や協力意欲を悪用するため、物理的セキュリティ対策を突破する比較的単純ながら効果的な手法である。この種の攻撃は、安全な環境においてアクセス制御を厳格に実施する必要性を示している。
9. ダンピングダイビング: ダンピングダイビングとは、攻撃者がゴミ箱を漁り、口座番号、パスワード番号、その他の機密情報を入手するハッキング手法である。通常、フィッシングやプレテクスティングなど、二次攻撃に活用できる情報を得るために用いられる。組織は適切な廃棄を保証し、この手法による攻撃の可能性を防止しなければならない。ダンピングダイビングは時に気づかれないこともあるが、攻撃者に暴露される可能性のある情報が確かに多く含まれている。したがって、組織内で使用された紙類は、シュレッダー処理や機密データの安全な削除など、適切な方法で廃棄し、この種の攻撃の対象とならないようにすべきである。一見無関係に見える些細な情報でさえ、攻撃者がより複雑なソーシャルエンジニアリング攻撃を仕掛ける手助けとなる可能性があります。
10. ウォーターホール攻撃: ウォーターホール攻撃では、特定のグループや組織が主に利用するウェブサイトをサイバー犯罪者がハッキングします。マルウェアに感染したウェブサイトは、訪問者が無防備にダウンロードした際に、そのノートパソコンにマルウェアを注入します。この攻撃は特定のユーザーグループを標的としており、ユーザーが共有デジタル環境を利用している組織にとって特に危険です。ウォーターホール攻撃は標的を絞った攻撃であり、共通のデジタルプラットフォームを共有する組織にとって特に危険です。マルウェアは検出されずに大量のデータを窃取したり、システムを完全に侵害したりします。これらの攻撃は、よく知られたウェブサイトへの信頼を利用するため、検出には高度なサイバーセキュリティ対策が必要です。
11. ビジネスメール詐欺（BEC）:ビジネスメール詐欺（BEC）は、サイバー詐欺師が正当なビジネスメールアカウントを乗っ取り、従業員を騙して金銭や機密情報を送金させる標的型攻撃です。多くの場合、上級管理職を装い、緊急性を強調して承諾を迫ります。BEC攻撃は破壊的であり、金銭的損失だけでなく情報窃取も引き起こします。そのため、攻撃者が正当なメールアドレスを使用することは特に説得力があります。企業は、多要素認証などの厳格なメールセキュリティルールを徹底し、こうしたBEC攻撃を防ぐ必要があります。
12. ハニートラップ: 攻撃者は、ハニートラップとも呼ばれる、インターネット上での感情的なチャットで被害者を誘い込みます。接触が開始されると、被害者はパスワード、企業秘密、さらには金銭さえも共有することで攻撃者の罠に陥ります。ハニートラップは被害者の感情を悪用し、操作されやすくします。攻撃者が数週間から数か月かけて信頼を勝ち取り、その後攻撃を仕掛けるため、非常に個別化された攻撃となります。被害者が組織内で機密性の高い職務に就いている場合、これらの攻撃は個人および金銭的な損失を大規模にもたらす可能性があります。
13. 不正セキュリティソフトウェア:サイバー攻撃者は、本物そっくりの偽セキュリティソフトを使用し、ユーザーのコンピューターに偽のマルウェア感染を報告します。ダウンロードされると、そのソフト自体がマルウェアをインストールし、データの窃取や身代金要求につながります。攻撃者は、止まらないポップアップや即座の対応を迫るセキュリティ警告で恐怖を煽ります。その結果、機密情報が漏洩したり、実際には存在しないサイバー犯罪に対して支払いがなされたりします。この攻撃により、本物のアンチウイルスプログラムが無力化され、システムが脆弱化する可能性があります。被害者は、例えば金融情報に関連するデータ窃盗など、個人情報の盗難やデータ侵害を受ける恐れがあります。
14. ソーシャルメディアの悪用: この高度に接続された世界では、ソーシャルネットワーキングサイトが情報、コミュニケーション、人間関係にとって不可欠な媒体となっています。一方で、悪意ある人物が自らの目的のためにユーザーを利用したり、悪用したりする温床ともなっています。サイバー犯罪者はソーシャルネットワーキングサイトを通じて標的に関する情報や知見を集め、様々な手口で人々を操作・欺き、機密情報を自らに開示させることが知られています。最も一般的な欺瞞手法の一つは、架空のプロフィールを使用したり、友人・親族・同僚、さらには公的機関や権威ある組織を装ったりすることです。
15. なりすまし攻撃: 攻撃者がITスタッフや管理者など、知られた信頼できる人物を装い、システムやデータへのアクセスを目的として行われる攻撃です。被害者と権威ある人物との間に存在する信頼関係を利用します。攻撃者は実際の名前、内部情報、企業用語を用いて本物のように装うため、偽装の検知は困難です。信頼された領域へのアクセスを得ると、機密システムやデータを入手し、深刻なセキュリティ侵害や機密情報の窃取に至る可能性があります。なりすましは、攻撃者が制限区域や機密アカウントに到達した場合、ほとんどの場合深刻な結果を招きます。

ソーシャルエンジニアリング攻撃を防ぐには？

ソーシャルエンジニアリング攻撃の防止には、教育、技術、定義されたプロセスを積極的な方法で導入する必要があります。サイバー犯罪者は人間の心理操作に基づいて活動するため、組織内でのセキュリティ意識の向上が極めて重要です。ソーシャルエンジニアリング攻撃のリスクを軽減する効果的な戦略を以下に示します：

• 従業員トレーニング： ソーシャルエンジニアリング攻撃の手口について従業員を教育することは、セキュリティ意識の高い文化を構築するのに役立ちます。定期的なトレーニングセッションは、従業員が不審な行動を識別し、様々なソーシャルエンジニアリングの手法を理解し、一般的な詐欺に引っかからないようにする助けとなるでしょう。フィッシング攻撃のシミュレーション演習などの双方向学習手法は、学習効果を高め、潜在的な脅威に遭遇した際に従業員が効果的に対応できるよう準備するのに役立ちます。継続的な教育により、従業員はサイバー犯罪者が使用する最新の戦術について最新情報を入手できます。

• 多要素認証（MFA）の使用： これにより、攻撃者が多要素認証を使用している場合、攻撃者がアクセスを得るのがはるかに困難になります。ログイン認証情報が盗まれた場合、MFAではログインプロセスを完了するために、モバイル端末に送信されるワンタイムコードや生体認証などの別の検証方法が必要となります。MFAを使用することで、組織がシステムやデータへの不正アクセスを受ける全体的なリスクを低減できます。

• 機密情報の要求確認: 機密情報の要求はすべて確認が必要です。特に送信元や経路が不明な場合に重要です。従業員は、メール・電話・SMSなどによる要求への対応方法について特に注意喚起されるべきです。従業員は慎重に対応し、既知の番号で依頼者に直接連絡するか、上司に連絡して適切に確認した上で、機密情報を開示する必要があります。

• メールフィルタリングソリューションの導入: フィッシングメールやその他の不審なメッセージが従業員の受信箱に届く前に検知できる高度なメールフィルタリング技術を適用する。事前定義された要素に基づくメールフィルターは、フィッシングリンクや添付ファイルを含む潜在的な悪意のあるコンテンツを検知し、詳細調査のためにフラグを立てることができる。フィルターの定期的な更新と微調整により、高度なフィルタリングを実現し、フィッシング攻撃の成功を防ぎ、脅威を是正する。

• 機密情報へのアクセス制限: 最小権限の原則を組織全体で実施し、機密データやシステムへのアクセス権限は正当な理由がある者にのみ付与します。これにより、攻撃者が不正アクセスに成功した場合の影響を軽減できます。役割と責任に基づいたアクセス権限の定期的な見直しと更新により、不要になったアクセス権限を速やかに削除します。

• 異常な活動の監視： ネットワーク活動とユーザー行動を注意深く監視し、特に不正ログイン、異常なデータアクセスパターン、不審なファイル転送などの悪意のある活動を重点的に探します。SIEMツールは組織によるリアルタイム異常検知を支援します。不審な行動に基づくアラートにより、脅威が深刻化する前に迅速に対応することが可能となります。

詳細はこちら：ソーシャルエンジニアリング攻撃の防止方法

結論

現代のサイバーセキュリティ環境において、ソーシャルエンジニアリング攻撃が増加し、ますます執拗になっているため、今日の脅威についてより深く考察することが不可欠です。ソーシャルエンジニアリング攻撃は、フィッシングやプレテクストといった最も単純な形態から、スピアフィッシングやウォーターホール攻撃といった高度な攻撃まで、人間の心理や社会的相互作用を悪用して機密情報やシステムへの不正アクセスを得る攻撃の一種です。

繰り返しになりますが、予防策は従業員の意識向上と教育から始まります。多要素認証、メールフィルタリング、ネットワーク監視といった堅牢なセキュリティ対策と併せて、セキュリティ意識の高い文化が根付くことで、これらのリスクは大幅に低減されます。

ソーシャルエンジニアリング攻撃に関するよくある質問