全ての記事
トレンド
セキュリティ
業務効率化
生産性向上
コスト削減AI時代に求められる新たなセキュリティ対策、進化したサイバー攻撃を防ぐには「人」への教育が必須
- セキュリティ
- 教育
- サイバー攻撃
- ../../../article/2024/09/knowbe4.html
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、人間の心の隙を狙ったサイバー攻撃手法の総称。攻撃者は、信頼できる相手になりすまして本人を騙したり、単純に覗き見をしたりして、個人情報や機密情報を窃取する。セキュリティシステムではなかなか防げないことや、AIによって巧妙化していることもあり、注意が必要。
ソーシャルエンジニアリングとは|概要
ソーシャルエンジニアリングとは、技術的なハッキングではなく、人の心理的な隙や行動のミスを巧みに利用する攻撃の総称です。具体的には、信頼、恐怖、好奇心といった人間の感情を操り、パスワードなどの機密情報を不正に盗み出します。どんなに強力なセキュリティシステムを導入していても、人が騙されてしまえば簡単に突破されてしまいます。
なぜ私たちは騙されてしまうのでしょうか。攻撃者は、私たちが無意識に持っている以下のような心理を悪用してきます。
| 悪用される心理 | 概要 | 具体例 |
|---|---|---|
| 権威への服従 | 権威ある立場からの指示に従いやすい心理 | 「社長の指示で至急振り込んでください」という経理部宛のメール |
| 緊急性・希少性 | 「今すぐ」「限定」などで判断を急がせる心理 | 「24時間以内に対応しないとアカウントが停止します」という警告メッセージ |
| 親近感・共感 | 信頼関係や親しさを利用して警戒心を下げる心理 | 友人からSNSで「このアンケートに協力して」と頼まれる |
| 好奇心・恐怖 | 興味や不安を煽り、行動を誘導する心理 | 「ウイルスに感染しました」という偽の警告画面 |
| 一貫性 | 小さな要求に応じると、次の要求を断りにくくなる心理 | 簡単なアンケートに答えさせた後、より詳細な個人情報を聞き出す |
ソーシャルエンジニアリングの代表的な手口
ソーシャルエンジニアリングの手口は非常に多様ですが、大きく「オンライン(デジタル)」と「オフライン(物理的)」の2種類に分類できます。
オンラインの手口
フィッシング:Eメールで金融機関やECサイトを装い、偽のWebサイトへ誘導してIDやパスワードを入力させる
スミッシング:SMSで「お荷物のお届け」と称して不在通知を送り、不正なアプリをインストールさせる
ビッシング:電話でサポートを名乗り、「PCがウイルスに感染している」などと偽ってサポート料金を請求する
プリテキスティング:事前に標的の組織を調査し、巧妙なシナリオ(プリテキスティング)を用意して接触
代表的なものにビジネスメール詐欺(BEC)があり、経営者や取引先になりすまし、偽口座へ送金させる
スケアウェア:「ウイルスに感染しました」などの偽警告で利用者の恐怖心を煽り、不要なセキュリティソフトの購入を促す
オフラインの手口
ショルダーハッキング:公共の場やオフィスで背後や肩越しに画面を覗き見て、ATMの暗証番号やPCのパスワードなどを盗む
トラッシング:ゴミ箱に捨てられた書類や記憶媒体から、機密情報や次のサイバー攻撃に参考となる情報(従業員名簿や領収書など)を回収する
ベイティング:「機密情報」などと書いたUSBメモリをわざと置き忘れ、拾った人がPCに接続するのを待つ
テールゲーティング:正規の従業員の直後についていき、認証が必要なドアを一緒に通過して不正に侵入する
リバース・ソーシャルエンジニアリング:攻撃者が「専門家」として標的から頼られる状況を作り出し、標的側から情報を引き出す
【最新動向】AIで巧妙化するソーシャルエンジニアリング
近年、AI技術の進化が、ソーシャルエンジニアリング攻撃をさらに巧妙で危険なものに変えています。これまでのような「少し不自然な日本語」といった見破るヒントが、AIによって無くなりつつあるのです。
| 従来の攻撃 | AIによる攻撃 | |
|---|---|---|
| 文章の質 | 文法的な誤りや不自然な表現 | ターゲットの文体を学習し、極めて自然で人間らしい文章を自動生成 |
| 個別化 | 不特定多数に同じ内容のメールを送付 | SNSなどから個人情報を収集・分析し、趣味や業務に合わせた内容を個別に作成 |
| なりすまし | メールやテキストでのなりすまし | ディープフェイク技術で声や映像を偽装し、電話やビデオ会議でなりすまし |
| タイミング | 手動 | ターゲットの行動を分析し、最も油断しやすい時間帯(疲労時など)を狙う |
