人間の心理的な隙を狙って情報を詐取する手法。不特定多数ではなく特定の相手を標的とし、標的相手の関係者に偽装したメールを送り付け、マルウェアに感染させたり個人情報を窃取したりする。非常に巧妙な手口が多いのが特徴である。

一般的には、何気なく相手の隙を突いて望ましい行動を起こさせたり、個人や集団を自分たちに都合の良い方向へと心理的に誘導することを意味し、その場合は「社会工学」とも訳される。

しかし、情報セキュリティにおいて用いられる場合には、大半は何らかの偽装や悪意もしくは詐欺を含んでおり、「ソーシャル・エンジニアリング」と表記される。サイバー空間の外であれば、電話を用いた「振り込め詐欺」が典型例となる。

相手をだますための手法はさまざまであるが、多くの場合はインターネットが利用され、信頼性があり疑われにくい企業や機関から送られたメールを装ったり、本物と見分けのつかないWebサイトに誘導されたりする。

ソーシャル・エンジニアリングを仕掛ける攻撃者の目的は、主に個人情報の窃取やマルウェアの感染であり、その結果、最終的には金銭を獲得しようとしている。

代表例として「なりすましメール」がある。メールの差出人が普段やりとりをしている人物に偽装されており、メール本文も内容的に非常に信憑性のある内容になっている。しかも、添付ファイルも、ほとんど不審を抱かせないような件名が付けられている。しかしこの添付ファイルをクリックするとマルウェア感染してしまうのである。

添付ファイルによるマルウェア攻撃の多くは、無数の不特定多数のメールアドレスに送られるため、件名も本文も添付ファイル名も、汎用性の高い内容が選ばれることが多いが、なりすましメールの場合、明らかに特定の相手を狙って周到に準備されて送られてくるため、細心の注意を払っていたとしても、うっかり添付ファイルをクリックしてしまう。それこそがソーシャル・エンジニアリングたるゆえんである。

人間の心理に付け込んでいる場合が多いため、いくら注意していてもだまされる可能性がないとはいえないため、対策には、そうした判断力にのみ依存することなく、セキュリティ対策ソフトウェアを導入し、正しく活用するのが最も望ましい。