ソーシャルエンジニアリングとは、サイバー犯罪者が信頼できる情報源のまねをして人をだまして何かをさせる詐欺の手口です。これは信頼、無知、不注意などの人間の脆弱性を利用しています。
サイバー犯罪者は、電子メール、ボイスメール、またはテキストメッセージにより、送金したり、機密情報を提供したり、マルウェアが埋め込まれるファイルを社内ネットワーク上でダウンロードしたりするよう人々を説得できることを学びました。そのため、この攻撃は、他のサイバー攻撃と比べ、特にサイバーセキュリティの知識が不十分な人々に対して非常に効果的です。
ソーシャルエンジニアリング攻撃の流れ
まず、サイバー犯罪者は被害者を見つけ、彼らを誘い込んで個人情報を盗み、攻撃を行います。攻撃した後、攻撃者は被害者が気付かないまま静かに立ち去ります。
ソーシャルエンジニアリング攻撃の9つの一般的な事例
1. フィッシング
これはソーシャルエンジニアリング攻撃の最も普及している手法です。サイバー犯罪者は、詐欺的な電子メール、ウェブサイト、テキストメッセージを使って、疑いを持たない被害者から機密の個人情報や企業情報を盗みます。
フィッシングメールの手口はよく知られていますが、従業員の5人に1人が依然としてこれらの疑わしいリンクをクリックしています。
2. スピアフィッシング
スピアフィッシングは、特定の組織や人物を狙って標的型攻撃のことです。このメール詐欺は、潜在的なターゲットとその組織についての徹底的な研究が必要なため、通常のフィッシングメールよりも複雑です。
3. ベーティング(ベイト)
この種の攻撃は、オンラインでもオフラインでも実行できます。サイバー犯罪者は、個人情報と引き換えに被害者に賞品を約束することがよくあります。
4. マルウェア
これはランサムウェアを含む攻撃の一種です。被害者は緊急メッセージを受け取り、デバイスにマルウェアをインストールするようにだまされます。その後、送信者は料金を要求したり、情報を盗んだりしてさらなる攻撃を行います。
5. プリテキスティング
サイバー犯罪者は、銀行、クレジットカードの会社、公共事業会社など、大量の顧客データを持つ組織に成り済まして、被害者をだまして情報を提供させます。
6. Quid Pro Quo
この攻撃は、被害者に指示に従わせるための情報やサービスのやりとりを中心としています。サイバー犯罪者は技術の専門家に成り済まし、被害者に支援を提供し、サイバー攻撃につながります。
7. テールゲーティング
これは、犯罪者に安全な建物やエリアへのアクセスを与えることができる人を狙った攻撃であり、被害者の誤った行動のためにしばしば成功します。例えば、見知らぬ「従業員」のためにドアを開けたままにしてしまうなどが挙げられます。
8. ビッシング
サイバー犯罪者は、緊急の音声メッセージを残し、逮捕やその他のリスクから身を守るために被害者に迅速に行動するよう説得します。彼らは銀行、政府機関、法執行機関に成り済ますことがよくあります。
9. 水飲み場型攻撃 (Water-Holing) この攻撃は、高度なソーシャルエンジニアリング技術を使用して、ウェブサイトとウェブサイトの訪問者をマルウェアに感染させます。また、感染は頻繁にアクセスされる人気のあるウェブサイトなど、被害者の業界に特化したウェブサイトを介して広がることもよくあります。
ソーシャルエンジニアリング攻撃から情報を守る方法
組織レベル
- 攻撃を防ぐために適切なテクノロジーを導入します。
- 組織内でセキュリティ意識向上トレーニングのポリシーを実施します。セキュリティ管理者は、従業員がリスクを理解し、被害者にならないように従業員に対してトレーニングを行い、さまざまな攻撃の例を示す必要があります。
個人レベル
- 自分の本能を信じてください。何か変な感じがする場合は、何もせずに落ち着いて確認する必要があります。例えば、上司から不審なメールが届いた場合は、まず上司に電話して、そのメールが上司からのものであるかどうかを確認します。
- 誰かが電話をかけてきて、ユーザー名やパスワードなどの重要な情報を求めてきた場合は、すぐに電話を切ってください。企業に関わらず、カスタマーサービスやサポート チームがそのような情報を求めることは決してありません。
- 送信者を知らない場合や、送信者がメールを送信したかどうかわからない場合は、メール内のリンクをクリックしたり、添付ファイルを開いたりしないでください。サイバー犯罪者は知り合いや職場の同僚に成り済ます可能性がある事に留意してください。
- 自分がやっていることを慎重に検討し、確信のないことは無視し、他の誰かに影響されないようにする必要があります。
- サイバーリスクを意識し、常に用心深くいる必要があります。この世界には無料のものはないということを忘れないでください。また、見た目が良すぎるものは、気づかないうちに危険をもたらす可能性があります。
参照元:
https://terranovasecurity.com/examples-of-social-engineering-attacks/
https://th.safetydetectives.com/blog/what-is-social-engineering-th/
https://www.techtalkthai.com/what-is-social-engineering-by-sophos/
イメージ: freepik