人の心につけ込む!?ソーシャルエンジニアリングにご用心
ICTを知りたい
「ソーシャルエンジニアリング」って、人の心理的な隙を狙うって言うけど、具体的にどんな風にだまされちゃうの?
ICT研究家
良い質問ですね!例えば、あなたが会社の社員だとします。そこに見知らぬ人から電話がかかってきて、「システム担当ですが、システム更新のためにお客様のパスワードを教えて下さい」と言われたらどうしますか?
ICTを知りたい
えーっと、システム更新なら…って教えてしまいそうになります…
ICT研究家
そうですよね。でも、よく考えるとおかしいですよね? 本当にシステム担当者であれば、パスワードを直接聞くなんてことはありえません。このように、私たちはつい信じてしまいそうになる心理的な隙を突いて、情報を盗み取ろうとするのがソーシャルエンジニアリングなんです。
ソーシャルエンジニアリングとは。
「情報通信技術に関わる言葉で、『ソーシャルエンジニアリング』というものがあります。これは、コンピューターやネットワークを使わずに、人の言葉巧みに騙したり、人の心の隙につけ込んだりして、システムのパスワードなどの大切な情報を盗み出す方法です。ずる賢い攻撃者は、人の行動や心の動きをよく見ています。例えば、会社のコンピューターを管理している人になりすまして社員に電話をかけ、『システムを新しくするのでパスワードを教えてください』と嘘をついて聞き出したり、掃除の人になりすまして会社のゴミ箱から、うっかり捨てられた大切な書類を盗んだりします。このような被害を防ぐためには、パスワードなどの秘密は誰にも教えない、書類は細かく裁断してから捨てるといったルールを徹底したり、社員一人一人がセキュリティについてしっかり学ぶことが大切です。」
ソーシャルエンジニアリングとは
– ソーシャルエンジニアリングとはソーシャルエンジニアリングとは、巧妙な話術や人間関係の構築を通じて人の心理的な隙につけ込み、パスワードや個人情報などの機密情報を不正に入手する攻撃手法です。コンピューターウイルスやハッキングのように高度な技術を用いるのではなく、人間の心理的な弱点を突くことで情報を盗み出すため、セキュリティソフトやシステムでは防ぐことが難しいという特徴があります。例えば、実在する企業の担当者を装って電話をかけ、システムトラブルを口実にパスワードを聞き出す、あるいは、困っている人を装って親切心を悪用し、重要な情報を盗み出すといった手口が考えられます。また、近年は、実在の人物になりすました偽のSNSアカウントを利用して、標的との信頼関係を築き、情報を詐取するケースも増えています。ソーシャルエンジニアリングの恐ろしさは、情報セキュリティ対策が万全であっても、人の油断につけ込むことで、いとも簡単に重要な情報が漏洩してしまう点にあります。そのため、不審なメールや電話には安易に応じない、個人情報をむやみに教えたり、入力したりしないなど、一人ひとりがセキュリティ意識を高め、適切な行動をとることが重要です。そして、企業においては、従業員に対するセキュリティ教育を徹底し、ソーシャルエンジニアリングの手口や対策について周知することが重要です。
| 項目 | 内容 |
|---|---|
| 定義 | 巧妙な話術や人間関係の構築を通じて人の心理的な隙につけ込み、パスワードや個人情報などの機密情報を不正に入手する攻撃手法 |
| 特徴 | 高度な技術を用いず、人間の心理的な弱点を突くため、セキュリティソフトやシステムでは防ぐことが難しい |
| 例 | – 実在する企業の担当者を装って電話をかけ、システムトラブルを口実にパスワードを聞き出す – 困っている人を装って親切心を悪用し、重要な情報を盗み出す – 実在の人物になりすました偽のSNSアカウントを利用して、標的との信頼関係を築き、情報を詐取する |
| 危険性 | 情報セキュリティ対策が万全であっても、人の油断につけ込むことで、いとも簡単に重要な情報が漏洩してしまう |
| 対策 | – 不審なメールや電話には安易に応じない – 個人情報をむやみに教えたり、入力したりしない – 一人ひとりがセキュリティ意識を高め、適切な行動をとる – 企業においては、従業員に対するセキュリティ教育を徹底し、ソーシャルエンジニアリングの手口や対策について周知する |
巧妙化する手口:具体的な事例
近年の情報通信技術の進歩に伴い、人の心理的な隙や行動の癖を突いて情報をだまし取るソーシャルエンジニアリングと呼ばれるサイバー攻撃の手口が巧妙化し、その被害が拡大しています。
例えば、企業の従業員を標的に、あたかも社内のシステム担当者のように振る舞い、「システムに不具合が発生しており、対応のためにパスワードを教えてほしい」などと電話で連絡を取り、重要な情報を盗み取ろうとする事例が報告されています。
また、メールを用いた攻撃も後を絶ちません。
「緊急性の高い内容なので、すぐに対応が必要」などと書かれたメールを送りつけ、文中のリンクをクリックさせることで、本物そっくりに偽造されたウェブサイトに誘導し、パスワードやクレジットカード情報などの個人情報を入力させて盗み取ります。
さらに近年では、SNSの普及を悪用した手口も増加しています。
ターゲットの公開情報を収集し、趣味や交友関係などを把握した上で、まるで古くからの友人や家族のように振る舞い、金銭を要求するといった巧妙な事例も確認されています。
このように、ソーシャルエンジニアリングの手口は日々巧妙化しており、誰もが被害に遭う可能性があります。
そのため、身に覚えのない連絡には安易に応じない、不審なリンクはクリックしないなど、日頃から情報セキュリティに対する意識を高めておくことが重要です。
| 攻撃手法 | 概要 | 例 |
|---|---|---|
| 電話による攻撃 | 企業の従業員などを標的に、社内関係者を装って電話をかけ、パスワードなどの重要な情報を聞き出す。 | システム担当者を装い、「システムに不具合が発生したので、パスワードを教えてほしい」と電話をかける。 |
| メールによる攻撃 | 緊急性を装ったメールを送りつけ、偽のウェブサイトに誘導して、パスワードやクレジットカード情報などの個人情報を入力させて盗み取る。 | 「緊急性の高い内容なので、すぐに対応が必要」などと書かれたメールを送り、偽のウェブサイトに誘導する。 |
| SNS を悪用した攻撃 | ターゲットの公開情報を収集し、趣味や交友関係などを把握した上で、友人や家族のように振る舞い、金銭を要求する。 | 古くからの友人や家族のように振る舞い、金銭を要求する。 |
被害に遭わないための対策
巧みな話術で人を騙し、情報を盗み取ったり、金銭をだまし取ったりする「ソーシャルエンジニアリング」という犯罪が増加しています。こうした被害に遭わないためには、セキュリティソフトを導入するだけでなく、私たち一人ひとりがセキュリティ意識を高め、日頃から対策をしておくことが重要です。
まず、知らない人からの電話やメールを受け取った際には、安易に信用してはいけません。相手が誰なのか、何を求めているのか、まずは冷静になって、相手の身元や要求内容をきちんと確認しましょう。特に、個人情報やパスワードなどを聞かれた場合には、注意が必要です。
どんなに丁寧な言葉遣いであっても、あるいは、困っている様子であっても、安易に教えてはいけません。パスワードなどの重要な情報は、どんな理由があっても他人に教えてはいけない、ということを、常に心に留めておきましょう。また、メモ用紙や付箋などに書き留めるのも危険です。誰かに見られる可能性を常に意識しましょう。
企業においては、従業員一人ひとりのセキュリティ意識を高めることが重要です。定期的にセキュリティ研修を実施し、従業員が常に最新の知識を身につけることができるようにするとともに、情報管理のルールを明確化し、徹底することが大切です。
| 対策の対象 | 具体的な対策 |
|---|---|
| 個人 |
|
| 企業 |
|
まとめ:セキュリティ意識の向上が重要
昨今では、巧みな話術を駆使して個人情報を盗み出す「ソーシャルエンジニアリング」と呼ばれる犯罪が増加しています。この犯罪の恐ろしい点は、高度な技術や専門知識がなくても実行できるため、誰もが被害者になり得ると同時に、加害者にもなり得るという点です。
巧妙化する手口から身を守るためには、私たち一人ひとりが情報セキュリティに関する正しい知識を身につけ、日頃から警戒心を持ち続けることが重要です。セキュリティ対策というと、コンピューターシステムの防御をイメージしがちですが、実際には、人間の意識と行動という、最も脆弱でありながら、最も重要な部分を強化することから始まるのです。
例えば、知らない電話番号からの電話に出ない、怪しいリンクはクリックしない、個人情報を不用意に教えないなど、基本的な心がけが重要です。また、企業においては、従業員一人ひとりがセキュリティ意識を高め、適切な行動をとれるよう、定期的な研修の実施や情報共有の徹底が求められます。
セキュリティ対策は、システムと同様に、人間の意識と行動を常に最新の状態に保つことが重要です。他人事と考えず、自分自身を守るため、そして社会全体の安全を守るためにも、セキュリティ意識の向上に積極的に取り組みましょう。
| 脅威 | 対策 | 対象 |
|---|---|---|
| 巧妙化するソーシャルエンジニアリング | 情報セキュリティ知識の習得、警戒心の保持 – 不明な発信源からの電話に出ない – 怪しいリンクをクリックしない – 個人情報を不用意に教えない |
個人 |
| 従業員へのセキュリティ研修、情報共有の徹底 | 企業 |