What is a social engineering attack?

ソーシャルエンジニアリング攻撃では、被害者は悪意のある目的で使用される機密情報を提供するよう心理操作されます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ソーシャルエンジニアリングを定義する
  • いくつかのタイプのソーシャルエンジニアリング攻撃を概説する
  • ソーシャルエンジニアリング攻撃の被害者にならないようにするためのベストプラクティスを理解する

記事のリンクをコピーする

ソーシャルエンジニアリングとは?

大まかに言えば、ソーシャルエンジニアリングとは、機密情報を提供させるようにするマインドコントロール(心理操作)のことです。ソーシャルエンジニアリング攻撃は、強盗が配達員になりすまして建物に侵入しようとするように、対面で発生することもあります。この記事では、サイバー攻撃へとつながるソーシャルエンジニアリングに焦点を当てます。こうした攻撃のほとんどは、ログイン情報または機密/財務情報のいずれかを被害者に提供させることを目的としています。

  • 攻撃者は、被害者の連絡先リストに保存されている誰かになりすまして被害者に電子メールを送付します。この電子メールには、悪意のあるクロスサイトスクリプティング攻撃を実行する、または被害者を悪意のあるサイトに誘導する不審なリンクが含まれている場合があります。
  • 攻撃者は、人気のある映画やソフトウェアをダウンロードするリンクを用いてオンラインユーザーをおびき寄せますが、これらのダウンロードには悪意のあるペイロードが含まれています。
  • 攻撃者は、裕福な外国人を装って被害者に電子メールを送り付け、大量の資金を送金するのに米国の銀行口座情報が必要だと主張し、銀行口座情報を貸してくれたら資金の一部を渡すと申し出ます。実際には、攻撃者は被害者の口座から資金を引き出します。
ソーシャルエンジニアリングの例

こうした小規模で個人を標的としたソーシャルエンジニアリング詐欺に加えて、たとえば「サムドライブドロップ」のように、企業全体に対して仕掛けるより巧妙なソーシャルエンジニアリング攻撃もあります。こうした攻撃は、インターネットにも接続されていない守りの固い会社のネットワークを標的にすることがあります。攻撃者は、標的とする会社の駐車場にUSBフラッシュドライブをいくつかばらまきます。「機密」といったような気を引くラベルを貼り付けて、好奇心旺盛な従業員が見つけてコンピューターに差し込むことが狙いです。こうしたドライブには、ローカルコンピューターからネットワークに侵入するため検出するのが困難な非常に破壊的なウィルスやワームが含まれている可能性があります。

悪名高いソーシャルエンジニアリング攻撃の事例

The 2011 data breach of RSA created a big stir, primarily because RSA is a trusted security company. This breach disrupted RSA’s popular two-factor authentication service, SecurID. While all the details of the attack have not been publicly disclosed, it is known that it began with a social engineering attack. The attack was initiated with a basic phishing attack, where the attackers sent low-level RSA employees emails that appeared to be company emails regarding recruiting. One of these employees opened an attachment in this email which triggered the attack.

AP通信は、2013年にソーシャルエンジニアリング攻撃の被害に遭い、1360億ドルの株式市場の下落を招きました。この攻撃も従業員に送付されたフィッシングメールによって実行されました。1人の従業員が電子メールのリンクをクリックしたことで攻撃が実行されました。AP通信のTwitterアカウントをハッキングした攻撃者は、ホワイトハウスで爆発があったという偽のニュースをツイートしました。この偽のニュースは瞬く間に広まり、ダウ工業株30種平均は150ポイント急落しました。シリアのハッカーグループ「Syrian Electronic Army(シリア電子軍)」がこの攻撃を実行したと主張しましたが、証拠は提示されませんでした。

2013年にTargetを標的としたデータ漏えい攻撃は、その巧妙さから史上最も悪名高いサイバー攻撃の1つとされています。前述したほかの攻撃と同様に、この攻撃もソーシャルエンジニアリングが発端となっていますが、攻撃者はTargetの従業員を標的にしませんでした。その代わりに、攻撃者は、Target店舗にハイテク空調設備を設置した空調設備会社の従業員に電子メールを送付したのです。こうした空調設備はTargetの自社コンピューターシステムと連動していて、攻撃者はこのサードパーティベンダーのシステムに侵入した後、Targetのネットワークをハッキングして店舗の数千のクレジットカードスキャナーからクレジットカード情報を引き出しました。4000万人近くのTargetの顧客の財務データが侵害を受けました。

ソーシャルエンジニアリング攻撃を防止する方法

While automated security features like email screening can help prevent attackers from contacting victims, the best defense against social engineering attacks is common sense combined with an up-to-date knowledge of popular social engineering attacks. The United States Computer Emergency Readiness Team (US-CERT) advises citizens to be wary of any suspicious communications, and to only submit sensitive information over the web on secure web pages (HTTPS and TLS are good indications of website security). They also recommend avoiding clicking on links sent in emails, and instead typing the urls of trusted companies directly into the browser. Website owners can do their part by using a service like the Cloudflare CDN which will alert them when attackers are using their domain in phishing attacks.