人間の行動の隙を突いて、情報を盗み出す手法であるソーシャル・エンジニアリング。古典的な、ゴミ箱を漁る、あるいは背後からの覗き見などだけでなく、最近ではSNSの投稿や閲覧履歴から情報を拾い出すような手法に発展している。デジタルとリアルの両空間で脅威を高めるソーシャル・エンジニアリングについて、さまざまな手口とその対策を解説していく。
ソーシャル・エンジニアリングの脅威
ソーシャル・エンジニアリングとは、人間の心理的な隙や行動のミスなどにつけ込み、個人が持つ重要な情報を盗み出す手法のこと。もともとは、コンピューターセキュリティ関連の用語で、マルウェアなどを用いずにIDとパスワードを不正に入手し、侵入することであり、ソーシャル・ハッキングとも呼ばれる。
ソーシャル・エンジニアリングの手法は巧妙化し、デジタル・リアルを問わず、ユーザーの行動の隙を狙う。ユーザーの知らぬ間に情報を拾い出し、攻撃に必要な情報の精度を高めることに利用する。スマートフォン(以下、スマホ)の普及で日常生活に浸透したデジタル空間では、まだまだセキュリティ意識の低いユーザーが多い傾向にあり、技術革新で生み出されたテクノロジーの悪用が被害につながることも少なくない。
攻撃者はあらゆる方法を使って入手した情報を自らが定める目標達成のために用いる。アカウントの不正利用による金銭詐欺といったものから、組織の一員になりすまして組織系統の混乱を図る、入手した情報をもって脅迫を行う、といった具合だ。ソーシャル・エンジニアリングの脅威は年々、着実に増加している。
ソーシャル・エンジニアリングの代表的な手法
さまざまな手法があるソーシャル・エンジニアリングのうち、古くから使われているものから、最近増えているものまで、どのような手法があるのかを解説する。
構内侵入
IDカードや指紋認証などで立ち入りを制限しているから安全と結論づけるのは早い。例えば、拾ったIDカードや偽造したIDカードを使う、社員の影に隠れる、あるいは清掃員や回収業者になりすますといった方法で侵入する可能性が考えられる。このようにして立ち入った犯罪者は、自らの目標達成に必要な情報を盗み出し、金銭等の収奪を行う。
なりすまし
架空請求や振り込み詐欺(オレオレ詐欺)のように、他人になりすまして情報やお金を奪おうとする手口も、ソーシャル・エンジニアリングの代表的な手口だ。例えば、取引先や上司になりすまして、電話でログイン情報などを聴取する、あるいはシステム管理者や契約プロバイダ、SIerなどになりすますといったことも考えられる。さらには、警察を名乗って個人情報などを聞き出す手口もある。
覗き見(ショルダーハッキング)
カフェなどの公共の場で、ノートパソコンを開いて仕事をしている際、後ろから肩越しあるいは離席時にパソコンの画面を覗いて情報を盗み見する、第三者が社内の関係者を装い、パソコンの画面を覗くという手口も古くから使われている。
トラッシング
ゴミ箱を漁って情報を盗むことをトラッシングと呼ぶ。例えば、ゴミ箱に捨てられている印刷された顧客データや機密文書、古い名刺やID・パスワードが書かれた付箋を盗んだりするのが代表的なトラッシングだ。他にも、廃棄物処理箱に捨てられているHDDやDVDメディアなどの記録媒体を盗み出し、保存された情報を盗むという手口もある。
SNSの悪用
ターゲットのSNSでの投稿などを監視することで、ターゲットの行動傾向や趣味嗜好など、詳細な情報を把握する。時には偽装アカウントでターゲットと接触し、相手を信頼させた上でメールでのやり取りを通じてターゲットの不在のタイミングを確認。そして、その不在の時間帯を狙って空き巣に入る、ターゲットのストーキングを行うといった複雑かつ狡猾な手口も増えてきている。
ソーシャル・エンジニアリングによる被害事例
ソーシャル・エンジニアリングによる被害は年々拡大している。代表的な被害としては、2017年に国内の大手航空会社が取引先を装ったメールに騙され、3.8億円を詐取された事件や、2018年に公立病院で医師をかたった攻撃者によって、研修医52名分の氏名と携帯電話番号が漏えいした事件などがある。また、2018年に起きた大手暗号資産(仮想通貨)取引所からの暗号資産の流出も、攻撃者が半年前から、社員に対してメールや電話を頻繁に繰り返して信頼関係を結んだ後、マルウェアを仕込んだメールを送信したことが原因であり、ソーシャル・エンジニアリングの代表的な手口である。
ソーシャル・エンジニアリングへの有効な対策とは
このようにソーシャル・エンジニアリングによる被害は後を絶たない。大企業だけでなく、個人を狙った窃盗やストーキングも大きな脅威となってきている。しかし、以下に挙げるような対策を講じることで、被害に遭う危険性を大きく減らすことができる。
電話口でIDやパスワードを他人に伝えないようにする
上司や取引先を装った手法は一般化しつつある。電話は音声だけであり、相手がはっきりとわからないといった弱点があるため、注意を払うべきだろう。どうしても遠隔地にいる相手にIDやパスワードの情報を伝える必要がある場合は、電話口でID、パスワードはメールで、といったように複数の手段を併用して伝達することが望ましい。
ディスプレイにプライバシーフィルターを装着、プライバシー機能をオンにする
パソコンやスマホなどのディスプレイにプライバシーフィルターを装着することで、左右の視野角を狭めることができる。こうすることで斜め後ろからの覗き見を予防できる。視野角を狭くするプライバシー機能を備えている製品の場合は、プライバシー機能をオンにすることで同様の効果を得ることができる。
重要な情報を机の上に置いたまま離席しない
IDやパスワード、顧客情報が印刷された書類などを机の上に置いたまま離席すると、第三者に見られてしまう可能性がある。必ず重要書類を机の上などに放置せず、鍵のかけられる棚などに収納してから離席することを心がけたい。
情報を読み取られないように、書類はシュレッダーにかけてから捨てる
書類をそのままゴミ箱に捨てると、中身を盗まれて解読される恐れがある。手で2、3度破ったことでOKとみなす人もいるが、その程度の細断はほとんど意味をなさない。マクロカットレベルの細かさに細断できるシュレッダーや、一定量がまとまった時点で回収してくれる、機密文書の回収サービスなどを利用すれば、そうした心配はなくなる。
記憶媒体は確実に消去してから捨てる
不要になった記憶媒体は、専用ソフトウェアを用いて確実にデータ消去を行う。あるいはハードディスクドライブなどはハンマーなどを用いて物理的に破壊してから捨てるようにする。それぞれメディアには記憶メカニズムがあるため、それを理解したうえで適切な対処を行えば、廃棄した記憶媒体から情報を盗まれる心配はほとんどなくなる。
SNSで自分の行動予定や会社の情報などをむやみに公開しない
SNSで自分の今後の行動予定や会社の情報などを公開してしまう行為は、多くの人が集う場所において大声で叫んでいることと変わらないという認識を持つべきだ。自身の不在が明らかになれば、空き巣に入られる可能性が生じるだろう。あるいは、自身の趣味・嗜好・行動についてオープンにしてしまえば、ストーカーされる懸念もある。また、そのように収集した情報を元にパスワードを推測するといった方法もある。実際、自分の配偶者との結婚記念日をPINコードに設定したことで、簡単に見破られてしまったという事例も起きている。
SNSのダイレクトメッセージには注意する
見知らぬ人から送られてくるSNSのダイレクトメッセージには特に注意すること。何度か言葉を交わした相手からきたダイレクトメッセージであっても、うかつにメッセージ内に記載されたリンクを開くようなことはすべきではない。特に最近はアカウントを乗っ取ってスパムメールを発信することは常とう手段となっている。仮に開く必要がある場合は、セキュリティソフトがしっかりとインストールされている環境に限定すべきだろう。
それぞれの意識を高めておくことが必要な時代に
ソーシャル・エンジニアリングは、人間の心理的な隙を突き、目的達成を図るものである。個人、従業員という区別を問わず、今後もソーシャル・エンジニアリングによる攻撃は、増加の一途をたどることは間違いないだろう。先述した7つの対策に共通することは「危険性と隣り合わせであることを踏まえ、常に警戒を怠らない」ということだ。
ソーシャル・エンジニアリングは特に、人間の油断をつく手法であるがゆえ、結局のところ人間が主体的に考え行動しない限り、どこかに脆弱なポイントが存在する状況は続くことになる。そのため、セキュリティソフトをはじめとした安全性を高めるツールを使える環境であれば、積極的に活用を検討したいところだ。
デジタル空間におけるサービスを利用する時間、機会が増えれば増えるほど、ソーシャル・エンジニアリングによる被害の危険性が高まるということを認識し、その危険性を踏まえた上で「どう行動をしていくのか」という観点が求められる時代となってきている。