ソーシャルエンジニアリングを用いた攻撃は、人間の心理を巧みに利用し、個人を騙して機密情報を開示させたり、個人や所属企業に損害を与える可能性のある行為を行わせたりしようとする一種の操作です。この種の攻撃は、フィッシングメールや電話詐欺など、様々な形で行われ、最先端の技術的防御さえも容易に突破することができます。この記事では、様々な形態のソーシャルエンジニアリング攻撃、それらを見分ける方法、そしてこうした詐欺の被害に遭わないための対策について解説します。
フィッシング
フィッシングは、ソーシャルエンジニアリングの中でも最も一般的な手口の一つです。攻撃者が、銀行や有名企業など、信頼できる送信元を装ったメッセージやメールを送信し、受信者を騙して個人情報を提供させたり、危険なリンクをクリックさせたりしようとする行為は、フィッシング攻撃の一例です。これらのメールは、多くの場合、慌ただしい言葉遣いや緊迫感を装い、受信者が事前に考えることなく即座に行動を起こそうとします。フィッシング詐欺に遭わないためには、迷惑メールを受け取った際には疑いを持ち、リンクをクリックする前にURLを確認し、迷惑メールに返信して個人情報を提供しないようにすることが重要です。
ヴィッシング
ヴィッシングは、音声起動型の自動音声応答システム(VR)を用いて相手を欺き、機密情報を提供させようとする、ソーシャルエンジニアリングの一般的な手法です。銀行などの金融機関の「担当者」を装った人物から、テキストメッセージや電話が届くこともあります。「あなたのアカウントに不審なアクティビティがあった」といった脅迫的な手法は、被害者に個人情報やログイン情報を提供させる際によく用いられます。例えば、「あなたのアカウントに不審なアクティビティがあった」などと言われるかもしれません。ヴィッシング攻撃から身を守るためには、電話で個人情報を決して明かさず、依頼していない電話には注意し、常に電話をかけてきた相手の身元を個別に確認することが重要です。
プリテキスティング
ソーシャルエンジニアリングのもう一つの形態として、ますます人気が高まっているのがプリテキスティングです。攻撃者が架空の人物や設定を作り上げ、被害者を欺いて個人情報を漏らすという手法は、「ソーシャルエンジニアリング」と呼ばれています。被害者から機密情報を取得するために、例えば、攻撃者は金融機関や政府機関の職員を装うことがあります。プリテキスティング攻撃から身を守るためには、一方的に個人情報を要求された場合には疑いを持つこと、要求者の身元を独自に確認すること、そして相手の身元が確実でない限り個人情報を提供しないことが不可欠です。一方的に個人情報を要求された場合には疑いを持つことで、プリテキスティング攻撃を防ぐことができます。
餌付け
ソーシャルエンジニアリング攻撃の一種に「ベイティング」と呼ばれるものがあります。これは、価値のある何かを約束することで個人を騙し、個人情報を提供させたり、本人や所属組織に損害を与える可能性のある行動を取らせたりするものです。ベイティングはソーシャルエンジニアリングの一例に過ぎません。例えば、攻撃者は、受信者の個人情報と引き換えに、無料ギフトカードや特典を獲得する機会をちらつかせることがあります。ベイティングを用いた攻撃から身を守るためには、招待されていないオファーには注意し、価値のある何かを約束する代わりに個人情報を提供しないことが不可欠です。
スケアウェア
スケアウェアはソーシャルエンジニアリング攻撃の一種で、攻撃者が恐怖心を煽り、マルウェアをダウンロードさせたり、必要のないソフトウェアに金銭を支払わせたりすることで発生します。例えば、攻撃者はコンピューターに突然メッセージを表示させ、対象のデバイスがウイルスに感染しており、感染を駆除するには特定のアプリケーションを実行する必要があると伝えることがあります。スケアウェアから身を守るためには、ポップアップウィンドウから要求していないソフトウェアをダウンロードしないようにし、ウイルス対策ソフトウェアを常に最新の状態に保ち、必要のないソフトウェアに金銭を支払わないようにする必要があります。
ソーシャルエンジニアリングによる攻撃はますます複雑化しており、対抗するのは非常に困難です。しかしながら、あなたとあなたの企業が被害から身を守るために実行できる対策があります。迷惑メール、電話、個人情報の要求に対して健全な疑いの目を向けること、要求者の身元を独自に確認すること、そして価値あるものと引き換えに個人情報を提供しないことで、個人情報窃盗の被害に遭う可能性を大幅に減らすことができます。