ソーシャルエンジニアリング攻撃とは?

ソーシャルエンジニアリング攻撃では、被害者は悪意のある目的で使用される機密情報を提供するよう心理操作されます。

Share facebook icon linkedin icon twitter icon email icon

ソーシャルエンジニアリング

学習目的

この記事を読み終えると、以下のことができます。

  • ソーシャルエンジニアリングを定義する
  • いくつかのタイプのソーシャルエンジニアリング攻撃を概説する
  • ソーシャルエンジニアリング攻撃の被害者にならないようにするためのベストプラクティスを理解する

ソーシャルエンジニアリングとは?

大まかに言えば、ソーシャルエンジニアリングとは、機密情報を提供させるようにするマインドコントロール(心理操作)のことです。ソーシャルエンジニアリング攻撃は、強盗が配達員になりすまして建物に侵入しようとするように、対面で発生することもあります。この記事では、サイバー攻撃へとつながるソーシャルエンジニアリングに焦点を当てます。こうした攻撃のほとんどは、ログイン情報または機密/財務情報のいずれかを被害者に提供させることを目的としています。

  • 攻撃者は、被害者の連絡先リストに保存されている誰かになりすまして被害者に電子メールを送付します。この電子メールには、悪意のあるクロスサイトスクリプティング攻撃を実行する、または被害者を悪意のあるサイトに誘導する不審なリンクが含まれている場合があります。
  • 攻撃者は、人気のある映画やソフトウェアをダウンロードするリンクを用いてオンラインユーザーをおびき寄せますが、これらのダウンロードには悪意のあるペイロードが含まれています。
  • 攻撃者は、裕福な外国人を装って被害者に電子メールを送り付け、大量の資金を送金するのに米国の銀行口座情報が必要だと主張し、銀行口座情報を貸してくれたら資金の一部を渡すと申し出ます。実際には、攻撃者は被害者の口座から資金を引き出します。
ソーシャルエンジニアリングの例

こうした小規模で個人を標的としたソーシャルエンジニアリング詐欺に加えて、たとえば「サムドライブドロップ」のように、企業全体に対して仕掛けるより巧妙なソーシャルエンジニアリング攻撃もあります。こうした攻撃は、インターネットにも接続されていない守りの固い会社のネットワークを標的にすることがあります。攻撃者は、標的とする会社の駐車場にUSBフラッシュドライブをいくつかばらまきます。「機密」といったような気を引くラベルを貼り付けて、好奇心旺盛な従業員が見つけてコンピューターに差し込むことが狙いです。こうしたドライブには、ローカルコンピューターからネットワークに侵入するため検出するのが困難な非常に破壊的なウィルスやワームが含まれている可能性があります。

悪名高いソーシャルエンジニアリング攻撃の事例

2011年のRSAのデータ漏えいが大きな波紋を投げかけたのは、RSAが信頼されるセキュリティソフトウェア開発会社だったからです。このデータ漏えいは、人気のあったRSAの二要素認証サービス「SecurID」を停止させました。攻撃の詳細については公表されていませんが、ソーシャルエンジニアリング攻撃が発端だったことはわかっています。この攻撃の発端となったのは基本的なフィッシング攻撃でした。攻撃者は、採用に関する社内メールを装って下位レベルのRSA従業員に電子メールを送付しました。従業員の1人がこの電子メールの添付ファイルを開いたため攻撃が実行されました。

AP通信は、2013年にソーシャルエンジニアリング攻撃の被害に遭い、1360億ドルの株式市場の下落を招きました。この攻撃も従業員に送付されたフィッシングメールによって実行されました。1人の従業員が電子メールのリンクをクリックしたことで攻撃が実行されました。AP通信のTwitterアカウントをハッキングした攻撃者は、ホワイトハウスで爆発があったという偽のニュースをツイートしました。この偽のニュースは瞬く間に広まり、ダウ工業株30種平均は150ポイント急落しました。シリアのハッカーグループ「Syrian Electronic Army(シリア電子軍)」がこの攻撃を実行したと主張しましたが、証拠は提示されませんでした。

2013年にTargetを標的としたデータ漏えい攻撃は、その巧妙さから史上最も悪名高いサイバー攻撃の1つとされています。前述したほかの攻撃と同様に、この攻撃もソーシャルエンジニアリングが発端となっていますが、攻撃者はTargetの従業員を標的にしませんでした。その代わりに、攻撃者は、Target店舗にハイテク空調設備を設置した空調設備会社の従業員に電子メールを送付したのです。こうした空調設備はTargetの自社コンピューターシステムと連動していて、攻撃者はこのサードパーティベンダーのシステムに侵入した後、Targetのネットワークをハッキングして店舗の数千のクレジットカードスキャナーからクレジットカード情報を引き出しました。4000万人近くのTargetの顧客の財務データが侵害を受けました。

ソーシャルエンジニアリング攻撃を防止する方法

電子メールスクリーニングのような自動セキュリティ機能は、攻撃者が被害者に連絡するのを防止するのに役立ちますが、一般的な常識とソーシャルエンジニアリング攻撃の最新知識を持ち合わせることが、ソーシャルエンジニアリング攻撃に対する最良の防御策となります。米コンピューター緊急事態対策チーム(United States Computer Emergency Readiness Team、US-CERT)は、不審な通信に警戒し、安全なWebページ上で高レベルのプロトコルを介してのみ機密情報を送信するよう提言しています(HTTPSやTLSはWebサイトのセキュリティレベルを見分ける目安となります)。また、電子メールに含まれているリンクをクリックせずに、信頼できる企業のURLをブラウザーに直接入力することも推奨しています。Webサイトの所有者は、攻撃者がフィッシング攻撃にドメインを使用しているときにアラートを通知するCloudflare CDNのようなサービスを使用することでセキュリティを確保することができます。