ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、コンピューターのシステムやネットワークの脆弱性を直接攻撃するのではなく、人間の心理的な隙や行動のミスを利用して、機密情報や個人情報を不正に入手する手口の総称です。具体的には、パスワードやID、個人情報などを、相手をだまして聞き出したり、盗み見たり、あるいはゴミ箱から探し出したりする行為を指します。
この手口は、高度なIT技術を必要としない場合が多く、情報セキュリティ対策がしっかりしている企業や組織でも、従業員がだまされることで情報漏えいにつながる可能性があります。例えば、会社の関係者を装って電話をかけ、パスワードを聞き出そうとしたり、偽のメールを送ってログイン情報を入力させようとしたりするケースが代表的です。
なぜ今、話題なの?
近年、企業や個人の情報セキュリティ意識が高まり、技術的な対策が進んでいます。しかし、その一方で、技術的な防御を突破することが難しくなった攻撃者は、より容易な「人の弱点」を狙う傾向が強まっています。特に、新型コロナウイルス感染症の拡大以降、テレワークが普及し、社外での情報管理が複雑になったことで、ソーシャルエンジニアリングの機会が増加しました。
また、フィッシング詐欺 [blocked]やビジネスメール詐欺など、巧妙な手口が増えており、一見すると正規の連絡と区別がつきにくいケースも少なくありません。これにより、多くの人が知らず知らずのうちに重要な情報を渡してしまうリスクが高まっています。企業だけでなく、個人にとっても身近な脅威となっているため、その対策が重要視されています。
どこで使われている?
ソーシャルエンジニアリングの手口は、私たちの日常生活やビジネスシーンの様々な場所で使われています。主な例を挙げます。
- フィッシング詐欺: 銀行やECサイト、宅配業者などを装った偽のメールやSMSを送りつけ、偽サイトに誘導してIDやパスワード、クレジットカード情報などを入力させる手口です。
- ビジネスメール詐欺 (BEC): 企業の経営者や取引先になりすまし、偽の指示で金銭を振り込ませたり、機密情報を送らせたりする手口です。
- なりすまし: 会社のIT担当者やサポート担当者、あるいは清掃員などを装って、オフィスに侵入したり、従業員から直接パスワードを聞き出したりする手口です。
- ショルダーハッキング: 電車内やカフェなどで、他人の後ろからスマートフォンの画面やATMの操作画面を盗み見て、パスワードや暗証番号を盗む手口です。
- トラッシング (スカベンジング): ゴミ箱や不要になった書類の中から、個人情報や機密情報が記載された書類を探し出す手口です。
これらの手口は、いずれも「人間が情報を信じやすい」「人間がうっかりミスをする」という心理や行動の特性を利用しています。
覚えておくポイント
ソーシャルエンジニアリングから身を守るためには、以下のポイントを覚えておくことが重要です。
- 不審なメールやメッセージに注意する: 送信元が不明なメールや、内容に違和感があるメッセージは安易に開かない、添付ファイルを開かない、記載されたURLをクリックしないようにします。正規のサービスからの連絡であっても、公式アプリやブックマークからアクセスして確認する習慣をつけましょう。
- 安易に情報を教えない: 電話やメールでパスワードや個人情報を求められても、安易に教えないようにします。企業や組織が電話やメールでパスワードを尋ねることは、一般的にありません。もし要求された場合は、一度電話を切り、公式の連絡先に自分でかけ直して確認しましょう。
- パスワードの管理を徹底する: 他人に見られないようにパスワードを設定し、定期的に変更します。使い回しは避け、可能であれば二段階認証などを利用してセキュリティを強化しましょう。
- 周囲に注意を払う: 公共の場所でパソコンやスマートフォンを操作する際は、画面を覗き見されていないか周囲に注意を払う「ショルダーハッキング」対策を意識します。また、不要な書類はシュレッダーにかけるなど、適切な方法で処分しましょう。
ソーシャルエンジニアリングは、技術的な対策だけでは防ぎきれない脅威です。一人ひとりが常に「だまされない」意識を持つことが、最も効果的な防御策となります。