ソーシャルエンジニアリングの本来の意味は、人間の心理的な隙、日常の行動におけるミスにつけ込んで相手に害を与える行為のこと。振り込め詐欺などはその典型例といえるでしょう。

ITの世界では、「心理的な隙をついて機密情報を盗み出す手法」を指します。

代表的な例では
「上司や顧客、親族などになりすまして電話をかけ、言葉巧みに情報を聞き出す」
「パスワード入力中に、画面を背後から覗き込む」
「ごみとして捨てられた紙や記憶媒体から必要な情報を探し出す」
などがあります。このように人のミスや油断につけ込むのがソーシャルエンジニアリングの特長です。

SNSを悪用したソーシャルエンジニアリングが横行

近年では、利用が拡大するFacebookやTwitter、LINEといったSNSのサービスやメールなどを使った手口が横行しています。フィッシング詐欺やなりすましメール、標的型攻撃などは、新しいタイプのソーシャルエンジニアリングといえるでしょう。

「いや、自分は騙されないぞ」と自信を持っている人も多いかもしれませんが、次のようなケースに遭遇した場合はどうでしょうか。

ケース1　SNSで個人の趣味を把握してから攻撃

応援している野球チームから、試合の入場券が当たる抽選案内が来た。興味を持ち、添付ファイルを開くと、マルウェアに感染した。好きな野球チームの情報をSNSで事前に調査していたようだ。

ケース2　応募してきた履歴書ファイルに仕込まれたマルウェア

新卒の採用募集を開始したところ、人事部にメールで履歴書が届いた。添付されていたファイルを開いたらマルウェアに感染した。

ケース3　購入客からのクレームのふりをしたマルウェア添付メール

ショッピングサイトのお客様問い合わせ窓口に、「到着した商品が破損していた」というクレームとともに添付ファイルで画像が届いた。確認しようとファイルを開いたらマルウェアだった。

ケース4　インターネットバンキングを騙るフィッシング詐欺

インターネットバンキングのヘルプデスクからメールが来た。アカウントのセキュリティ確認のため、ログインするよう指示があり、記載されていたURLにアクセスし、パスワードや暗証番号を入力したが、実際はフィッシグサイトだった。

こうしたケースでも「自分は絶対に騙されない」と言い切れるでしょうか。しかも、これらはあくまで一例に過ぎないのです。

信用させてから攻撃する「やり取り型標的型攻撃」も登場

最近では、さらに手の込んだ「やり取り型」標的型攻撃が増加傾向にあります。これは従来の「ばらまき型」攻撃（メールを多数に送りつけて感染数を増やす手法）とは異なり、攻撃対象と複数回にわたってメールのやり取りをし、信頼関係を構築したうえでマルウェア添付メールを送りつけるというものです。

たとえば、ある企業を攻撃対象と定めたとします。まずはその会社の製品に関する質問や不具合の報告メールを問い合わせ窓口に送りますが、その段階ではまだ攻撃しません。企業からの返信を待ち、無害なやり取りを数回行って相手を信用させ、添付ファイルを開く自然な流れを作ってから、いよいよマルウェアに感染させる攻撃メールを送るのです。

この「やり取り型」標的型攻撃の特長は、被害者が「騙されている」と自覚しにくいこと。ユーザーサポートという通常業務をしていただけなので、「その過程で、自分のパソコンがマルウェアに感染させられた」とはなかなか気が付きません。その間にネットワークへマルウェアが侵入し、企業の機密情報を盗み出されてしまうのです。

ウイルス対策ソフトなどのツールのほか、社員のセキュリティスキルの向上を

このような巧妙な手口に対し、どのような防御策をとるべきでしょうか。人間の心理的な隙やミスにつけ込むなど、「人間の脆弱性」を狙って攻撃するのがソーシャルエンジニアリングですから、従業員の教育や啓発が不可欠になります。攻撃の手口についての知識を深め、疑似攻撃によるトレーニングを行うことで、攻撃に対する心構えができます。

また、セキュリティポリシーを策定し、個人情報やパスワードの取り扱いに関する規定、SNS利用時のルールなどを徹底させることも重要です。

しかし、人的な対策には限界があります。そこで、まずは、脆弱性を解消したり、プロアクティブな機能を備えるウイルス対策ソフトやセキュリティ対策ソフトを活用しましょう。あわせて、不正侵入防止（IPS/IDS）や高機能ファイアウォール、ログ監視製品（SIEM）など、複数の技術的な対策を組み合わせた多重防御を検討する必要があります。