ソーシャルエンジニアリングとは？

最近の研究によると、サイバー犯罪者は、サイバー攻撃の98％にソーシャルエンジニアリング技術を使用しており、企業やユーザーにとって重要な話題となっています。ソーシャルエンジニアリングとは、人を操って機密情報を吐かせる技術のことです。犯罪者がソーシャルエンジニアリングの手法を用いるのは、ソフトウェアをハッキングする方法を見つけるよりも、人を信じようとする自然な傾向を利用する方が通常は簡単だからです。マネージドサービスプロバイダ（MSP）の方は、ソーシャルエンジニアリングの仕組みと、顧客のビジネスを攻撃から守るためにできることをご確認ください。

● サイバー攻撃の98％はソーシャル・エンジニアリングに依存しています。

● IT担当者の43％が、過去1年間にソーシャルエンジニアリングの標的になったことがあると回答しています。

● 現在または過去の従業員の21%が、金銭的な利益を得るため、復讐のため、好奇心から、または楽しみのためにソーシャル・エンジニアリングを利用しています。

● フィッシングまたはソーシャル・エンジニアリング攻撃の43％が中小企業を標的にしていました。

● 出典：PurpleSec PurpleSec, 2021 Cyber Security Statistics

ソーシャルエンジニアリングとは、対面、電話、オンラインなどで個人を騙して、さらなる攻撃を受けやすくなるような行動を取らせることです。ソーシャルエンジニアリングは、人間の弱点を利用して、個人情報や保護されたシステムにアクセスすることを目的としています。ソーシャル・エンジニアリングは、コンピュータ・システムをハッキングするのではなく、個人を操作してターゲットのアカウントに侵入することを目的としています。実際、デジタルの世界では、人を騙して罠にはめることが現実よりも簡単にできるため、オンラインソーシャルエンジニアリングは広く普及しており、危険な行為となっています。

ソーシャルエンジニアリングとは、対象者を操作して重要な情報を吐かせることです。ソーシャルエンジニアリングは、個人のアイデンティティを盗んだり、クレジットカードや銀行口座を侵害したりするだけでなく、企業の営業秘密を入手したり、国家安全保障を悪用したりするためにも適用されます。ソーシャルエンジニアリングは、人の感情を利用して何かをさせることで、犯罪者が個人のオフィスやビルへの物理的なアクセスや、企業のシステムへのオンラインアクセスを可能にします。ここでは、犯罪者が個人を騙し、さらなる攻撃を仕掛けるための情報を得て、認証情報を搾取し、データや金銭を盗むために使用する一般的なソーシャルエンジニアリングの手法を紹介します。

恐怖心を煽ります。自分は内国歳入庁の人間で、税金を払うためにクレジットカードの番号を教えなければ、すぐに逮捕されるという内容のメールを受け取ります。

欲を利用します。FacebookMessengerで、無料のノートパソコンが当たったというメッセージを受け取り、引き換えのためにさらに個人情報を提供するために「悪意のある」リンクをクリックするように言われます。

好奇心につけ込みます。フェデックスからテキストメッセージが届き、住所が間違っているため郵便物を配達できないという内容です。このメッセージには、住所などの個人情報を入力するためのリンクが記載されていますが、そのリンク先が悪意のあるサイトで、ユーザーの端末を自動的にマルウェアに感染させる可能性もあります。

助けを求めます。同僚と思われる人物（同僚になりすましたサイバー犯罪者）から、外国にいて、強盗に遭い、家に帰るためのお金が必要だという内容のテキストメッセージを受け取ります。メッセージでは、リンクをクリックして資金を送金するか、クレジットカードで支払うように求めています。

共感や同情を誘います。あなたがパスキーを使ってオフィスビルに入ろうとしていると、身なりの良い、慌てた女性があなたの後ろについてきて、パスキーをなくしてしまい、重要な会議に遅れそうだと言い、あなたの同情心を利用してビルに入れてもらおうとしています。

CSOオンラインによると「ソーシャルエンジニアリングとは、技術的なハッキング技術ではなく、人間の心理を利用して建物やシステム、データにアクセスする技術のことです。」ということです。

ソーシャルエンジニアリング攻撃は、攻撃者が何らかの個人情報を収集し、それをフィッシング攻撃などの次の攻撃に利用するための最初のステップです。ソーシャルエンジニアリング攻撃では、人に助けを求めるなど、意外と単純な手法が用いられます。また被災者を利用して、行方不明者や亡くなった方の旧姓、住所、生年月日、社会保障番号など、個人を特定できる情報の提供を求める手口もあります。なぜか？これらの情報は、後に個人

情報の窃盗に利用できるからです。例えば、攻撃者が従業員を誘惑してパスワード情報を提供させた場合、攻撃者はその情報を使って従業員のデバイスにアクセスし、企業ネットワーク上で他の攻撃を仕掛けます。ソーシャル・エンジニアリング攻撃にはいくつかの形態があります。

ベイティング攻撃は、魅力的で大幅に割引された、あるいは無料の製品やサービスで人々を誘い、悪意のあるリンクをクリックしたり、クレジットカード番号などの個人情報を提供したりして、反応するように仕向けます。

スケアウェアとは、ソーシャルエンジニアリング攻撃の一種で、ユーザーを「怖がらせて」攻撃につながる行動を取らせるものです。例えば、コンピュータで作業をしていると、正規のマルウェアベンダーと思われる広告がポップアップし、「あなたのコンピュータは感染しており、マルウェアを駆除するための無料体験版をダウンロードしてください」という内容が表示されます。無料体験版をダウンロードするためのリンクをクリックすると、実際にはマルウェアに感染してしまいます。

物理的侵害とは、犯人が権力者や困っている人になりすまして、個人に命令を実行させたり、助けを求めたりする対人攻撃のことです。例えば、攻撃者は警察官になりすまし、犯罪が進行中であると見せかけて、フロントデスクの受付係にオフィスビルへの出入りを許可するよう命令することができます。

口実攻撃とは、サイバー犯罪者が個人情報や機密情報を得るため、あるいは重要なタスクを実行させるために、意図したターゲットとの信頼できる関係を構築するために使用するものです。まず、攻撃者はターゲットを調査して、ターゲットの勤務先同僚、取引銀行、友人関係など、個人的かつ公開されている情報を収集します。次に、攻撃者はオンライン上でペルソナを作り、信頼できる個人や企業を装って、ユーザーにある行動を実行するように促します。例えば、ABC社の財務担当者である典子さんは、社長からパートナー企業に資金を送金するという緊急のメッセージをメールで受け取ります。典子さんはこのメールを善意のものと信じて指示通りに送金しましたが、後になって口実攻撃の被害者であることが判明します。

ここでは、過去数年間に発生した最もコストのかかるソーシャル・エンジニアリング攻撃の例をいくつかご紹介します。

GoogleとFacebookは、史上最大のソーシャル・エンジニアリング攻撃の被害に遭いました。リトアニア人の攻撃者とそのチームは、両社と取引のあるコンピュータメーカーを装った偽の会社を設立しました。また、偽の会社の銀行口座を開設し、本物のメーカーが提供する製品やサービスの請求書を発行した上で、偽の銀行口座に入金するよう指示しました。2013年から2015年にかけて、攻撃者は2つのハイテク企業から1億ドル以上を騙し取っていました。

2020年、テレビ番組「Shark Tank」の審査員兼司会者であるバーバラ・コーコランは、ソーシャルエンジニアリング攻撃の被害に遭い、約40万ドルの損害を被りました。攻撃者は、コーコラン氏のアシスタントのものと思われるEメールアドレスを作成しました。このメールには、ドイツの正規企業であるFFH Concept GmbHからの、不動産のリノベーションに関する388,700.11ドルの偽の請求書が含まれていました。コーコラン氏は不動産に投資し

ているため、簿記係にはこの請求が正当なものに見え、簿記係はメールに記載されていた銀行口座に送金しました。詐欺が発覚したのは、ブックキーパーが元のメールに返信した際に、コーコランのリアルアシスタンスをコピーしたことがきっかけでした。

2019年、トヨタ自動車部品の大手サプライヤーであるトヨタ紡織株式会社は、攻撃者が電子メールを介して、金融権限を持つ従業員に電子送金の口座情報を変更するように仕向け、同社を騙したことを報告しました。同社は3,700万ドルを失ってしまいました。

2018年、ノースカロライナ州カバラス郡は、郡のサプライヤーから、新しい銀行口座への支払いを要求するメールを受け取りました。このメールは悪意のあるもので、攻撃者は郡のサプライヤーになりすましていました。カバラス郡はメールの指示通りに170万ドルを支払いましたが、その後、他の口座に資金が流用されました。

ソーシャル・エンジニアリング攻撃を発見する最善の方法は、ユーザーが「リンクする前に考える」ようにトレーニングと教育を行うことです。ユーザーは以下のようなトレーニングを受けなければなりません。

● タダで食べられるものなどないことを理解します。

● 予期しないメールや、知らない人からのメールは絶対に開かないようにします。

● 例えば、電話で確認したり、自分が知っているEメールアカウントを使って依頼者にEメールを送るなどして、他の方法で送金を依頼する場合は、その真偽を確認します。

● 個人情報や機密情報を要求する電子メールは、Googleなどの他のオンラインチャネルを使って調査します。

● 海賊版のソフトウェアやよくわからないソフトウェアをインストールしないようにします。

ソーシャルエンジニアリング攻撃を阻止するためには、従業員のトレーニングや教育に加えて、企業は多層的な保護が必要です。これには以下の組み合わせが含まれます。

ユーザーが悪意のあるサイトにアクセスするのを防ぐことも含むシステム、アプリケーション、データを悪意のある攻撃から保護するマルウェア対策ソフトウェアを使用します。

企業システムへの不正アクセスを防止するファイアウォールを使用します。

電子メールをスキャンしてスパムやフィッシングの内容を識別し、別のフォルダに隔離する電子メールフィルター。ユーザーは、スパムフィルターを強に設定し、スパムフォルダに正当な電子メールがあるかどうかを定期的にチェックするようにしてください。

ユーザーが本人であることを確認するために、少なくとも2つの証拠を提示することを要求する多要素認証を必ず使用します。

タイムリーなソフトウェアパッチにより、オペレーティングシステムやアプリケーションを常に最新の状態に保つようにします。

マネージドサービスプロバイダー(MSP) 向けに特別に設計されたAcronis Cyber Protect Cloudは、ベストオブブリードのバックアップ、マシン・インテリジェンス（MI）ベースのアンチマルウェア、保護管理を1つのソリューションに統合しています。Acronis Cyber Protect Cloudは、無料または従量課金制で、顧客のシステム、アプリケーション、データを保護するサービスを構築することができます。

サービスの機能を拡張するアドバンスドプロテクションパックにより、顧客の要求にさらに応えるサービスポートフォリオを拡張することができます。アドバンストバックアップ、アドバンストセキュリティ、アドバンストディザスターリカバリー、アドバンストメールセキュリティ、アドバンストマネジメントなどのアドバンストプロテクションパックをAcronis Cyber Protect Cloudに追加することで、サービスを拡張・カスタマイズして、各クライアントやワークロードに最適なレベルのサイバープロテクションを提供することができます。

1つのエージェントでインストールし、1つのコンソールで管理するAcronis Cyber Protect Cloudの集中管理により、複数のソリューションを使い分けることなく、顧客のシステムやデータを完全に保護することができます。ローカルおよびクラウドベースのバックアップの作成から、マシンインテリジェンス（MI）ベースのアンチマルウェアと防御機能によるゼロデイマルウェア攻撃の阻止まで、包括的なサイバー保護を提供するために必要な可視性とコントロールを単一のペインで提供します。

※このブログはAcronis.com英語ブログ”What is Social Engineering?"の抄訳です。