ソーシャルエンジニアリングとは？攻撃の種類や手口から対策解説

ここでは、ソーシャルエンジニアリング攻撃の特徴について紹介します。

攻撃者は取引先企業や銀行、警察などの信頼できる組織を装い、被害者の警戒心を解いて機密情報や金銭を不正に入手します。これは、権威や信頼のある組織からの連絡に対して無意識に信用してしまう心理「権威への服従バイアス」を悪用した手口です。

たとえ取引先や公的機関を名乗る連絡であっても、金銭や機密情報の提供を求められた場合は要注意です。

メール内のリンクや記載された電話番号をそのまま使わず、公式サイトなどから正しい連絡先を調べ、本人確認を行ってください。

攻撃者は、正規のサービスや手続きを装い、「安全な対応だ」と被害者に信じ込ませたうえで、個人情報やログイン情報を不正に取得することがあります。代表的な手口がフィッシング攻撃です。

攻撃者は本物そっくりの偽サイトを作成し、実在するブランドのロゴやデザインを巧妙に模倣して、利用者の警戒心を和らげます。「セキュリティ強化のため」「不正アクセスを検知したため」といったもっともらしい理由を提示し、個人情報の入力を促すのが特徴です。

メールやSMS内のリンクは安易にクリックせず、公式サイトをブラウザーで直接開いて確認するなどの対応が効果的です。

また、パスワードや暗証番号をメールやSMSで求めることは、正規の企業では行われないことを理解しておくと適切な対応ができます。

攻撃者は「お使いのアカウントを停止します」「ウイルスに感染しました」などの脅迫的なメッセージで、被害者に恐怖や焦りを感じさせ、冷静な判断を奪う手口を用います。

「今すぐ対応しなければ大変なことになる」といった緊急性を装う演出によって、被害者に誤った行動を取らせるのが特徴です。

このようなメッセージを受け取った場合は、一度立ち止まり、メールを閉じる・電話を切るなどして心理的距離を取ることが重要です。

そのうえで、公式サイトや正規の窓口から自分で問い合わせを行い、内容の真偽を確認してください。

ここでは、ソーシャルエンジニアリング攻撃の種類と手口について、以下8つを紹介します。

手口の特徴を理解して、適切な方法で対策・対処できるようにしてください。

フィッシングとは、正規の企業や公的機関を装った偽メールなどを送り、偽のウェブサイトへ誘導してログイン情報や個人情報を盗み取る攻撃手法です。攻撃は主にメールやSMS、電話、ソーシャルメディアなどを通じて行われます。

銀行や通販サイトを装って「アカウントに問題があります」などの偽メールを送り、記載されたリンクから偽サイトに誘導して情報を入力させる手口が代表的です。

本物そっくりのロゴや文面で巧妙に偽装されているため、正規の連絡だと誤信してしまうケースも少なくありません。

対策としては、メール内のリンクや添付ファイルを不用意に開かないこと、公式サイトにはブラウザーから直接アクセスして確認することが重要です。

また、パスワードの使い回しを避け、多要素認証を導入することで、万が一情報を盗まれた場合でも被害を最小限に抑えられます。

ショルダーハッキングとは、カフェや電車など公共の場で他人がパスワードやPINコードを入力する様子を肩越しに覗き見し、機密情報を盗み取る物理的な手口です。

特別な技術を必要とせず、視覚的に観察するだけで情報を入手できるため、攻撃のハードルが低いのが特徴です。スマートフォンやノートパソコンの普及にともない、公共の場で重要な情報を入力する機会が増えたことでリスクは高まっています。

業務用システムにログインする際は、背後や周囲に人がいないか確認し、覗き見防止フィルムを使うなどして画面の覗き見対策を徹底してください。

ベイティングとは、「餌（bait）」を使って標的の好奇心や欲求を刺激し、マルウェア感染や情報窃取を狙う攻撃手法です。「無料」「限定」「お得」といった言葉で、注意を引くのが典型的なパターンです。

たとえば、「給与データ」と書かれたUSBメモリをあえて社内に落とし、拾った従業員が興味本位でパソコンに接続することで、マルウェアに感染させる手口があります。

また「最新映画を無料ダウンロード」「人気ゲームの攻略ツール」といった甘い誘い文句で、偽ファイルをダウンロードさせ、ウイルスを仕込むケースもあります。

出所不明のUSBメモリは使用せず、ファイルのダウンロードは必ず公式サイトから行うことが重要です。

トラッシングとは、ゴミ箱や廃棄物から機密情報を探し出し、不正に入手する物理的な情報収集型攻撃のことです。デジタルセキュリティーに注力する企業は多い一方で、紙資料や記録媒体の廃棄管理が甘いケースは少なくありません。

たとえば、請求書・見積書・名刺・印刷ミスした資料などが、そのままゴミとして捨てられていると、攻撃者はそこから個人情報や企業機密を簡単に入手できます。

そのため、機密情報を含む書類は必ずシュレッダーで細断してから廃棄することが基本です。

また、古いハードディスクやUSBメモリなどの記録媒体は、専用ソフトで完全消去するか、物理的に破壊してから処分することが重要です。

マルウェア（スパイウェア）とは、ユーザーの行動を密かに監視し、キーボード入力・画面表示・ファイル内容などの機密情報を外部に送信するソフトウェアです。ユーザーに気づかれないように動作するため、発見や除去が遅れやすいのが特徴です。

感染経路は、フィッシングメールの添付ファイルや偽のソフトウェア更新通知、ベイティングによる無料ダウンロードなどが代表的です。一度感染すると、ユーザーが気づかないまま長期間にわたって情報が盗まれ続け、被害が拡大するおそれがあります。

対策としては、不審なメールの添付ファイルを開かないこと、ソフトウェアの更新通知が表示された場合は、必ず公式サイトや正規アプリから確認することが重要です。

あわせて、ウイルス対策ソフトを最新の状態に保ち、定期的にスキャンを実施することで、感染の早期発見につながります。

スミッシング（SMSフィッシング）とは、SMS（ショートメッセージサービス）を悪用して偽サイトへ誘導し、個人情報や認証情報を盗み取る攻撃のことです。

宅配業者や金融機関を装って「再配達のお知らせ」「口座情報の確認が必要です」といったメッセージを送り、記載されたリンクから偽サイトへ誘導して情報を入力させます。

多くの人はメールよりもSMSに対して警戒心が薄く、開封率が高い傾向があります。さらに、スマートフォンの小さな画面ではURLの全体を確認しづらく、偽サイトを見抜きにくいのも、攻撃が成功しやすい理由のひとつです。

SMSに記載されたリンクは安易にクリックせず、配送状況や口座情報などの確認は、必ず公式アプリや公式サイトに直接アクセスして行ってください。

リバース・ソーシャル・エンジニアリングは、攻撃者が意図的に問題を発生させ、その解決者として標的側の信頼を得ることで情報を盗む手法です。

通常のソーシャルエンジニアリングが攻撃者から能動的に働きかけるのに対し、リバース型は標的側から助けを求めさせるように仕向けるのが特徴です。

具体的には、まず攻撃者が標的企業のネットワークに軽微な障害やエラーを起こし、その後「新しいITサポート担当」や「ベンダーの技術者」を名乗って連絡を取ります。その後、「こちらの手順に従って設定を変更してください」などと依頼し、結果的に不正なソフトの導入や認証情報の入力を誘導します。

対策としては、自社から連絡していない相手からの「ヘルプ提供」や「修復依頼」には慎重に対応し、公式の窓口や既存の担当者経由で真偽を確認することが重要です。

スピアフィッシングとは、特定の個人や組織を狙い、事前に収集した情報をもとに精巧にカスタマイズされたフィッシング攻撃を行う手法です。通常のフィッシングが不特定多数を対象とするのに対し、スピアフィッシングは特定の標的に焦点を絞るのが特徴です。

攻撃者は、企業の公式サイトやSNS、ニュース記事などから標的の役職・担当業務・取引先・人間関係といった情報を入念に調査します。そのうえで、実際の取引メールや社内連絡を装った本物そっくりのメールを作成し、添付ファイルやリンクを通じて情報を盗み取ります。

どれほど自然に見えるメールでも、添付ファイルを開く前・リンクをクリックする前に、送信元を別の手段で確認する習慣を徹底してください。

信頼できる取引先や上司を名乗っていても、少しでも違和感を覚えた場合は直接本人に確認することが、被害を防ぐ確実な方法です。

ここでは、ソーシャルエンジニアリング攻撃を防ぐための対策方法を紹介します。

ソーシャルエンジニアリング攻撃から、自社を守るヒントにしてください。

多要素認証は、パスワード情報が盗まれた場合でもアカウントへの不正アクセスを防ぐ、効果的なセキュリティー対策のひとつです。

万が一、ソーシャルエンジニアリング攻撃によってパスワードが漏えいしても、多要素認証を有効化していれば、攻撃者は第二の認証要素を突破できず、侵入を防止できます。

代表的な認証方法には、以下のようなものがあります。

なお、SMS認証はスミッシング攻撃で乗っ取られるリスクがあるため、認証アプリや物理セキュリティーキーの利用が推奨されます。

パスワードの強化は、ソーシャルエンジニアリング攻撃を防ぐうえで有効な対策です。

複数のサービスで同じパスワードを使い回すと、盗んだ認証情報を他のアカウントへの不正ログインに悪用する「パスワードリスト攻撃」につながるおそれがあります。

そのため、各サービスで異なるパスワードを設定し、以下のような安全なパスワードの条件を満たすことが重要です。

また、複雑なパスワードを安全に管理するためには、パスワードマネージャー（管理ツール）の利用もおすすめです。サービスごとに異なる強固なパスワードを自動生成・保存できるため、ユーザーがすべてを記憶する必要がありません。

結果として、利便性とセキュリティーの両立が可能になり、ソーシャルエンジニアリング攻撃への耐性を高められます。

ウイルス対策ソフトを常に最新の状態に保つことは、ソーシャルエンジニアリング攻撃を防ぐうえで有効な対策です。

攻撃者は、既知の脆弱性や古い定義ファイルをついて侵入を試みるケースが多いため、最新のウイルス定義やセキュリティーパッチを適用しておくことをおすすめします。

主要なウイルス対策ソフトには自動更新機能が搭載されているため、自動更新を有効に設定しておくと安心です。

ただし、近年では「偽のアップデート通知」を装ったフィッシング攻撃も確認されています。アップデートを実施する際は、必ず公式サイトや正規のアプリから手動で確認・実行してください。

送信元が不明なメールや電話には、原則として応じないようにします。

とくに、個人情報や金銭の提供を求める内容には細心の注意が必要です。正規の企業や公的機関が、電話やメールでパスワードや暗証番号を聞き出すことはありません。

たとえば、銀行や税務署を名乗る電話がかかってきた場合も、その場で情報を伝えず「確認して折り返します」と伝えて一度通話を終了してください。その後、銀行カードの裏面や公式サイトに記載された番号に自分からかけ直し、真偽を確認するのが安全です。

また「今すぐ」「24時間以内」などの緊急性をあおる表現も、ソーシャルエンジニアリングの典型的な手口です。焦らずに冷静な判断を心がけてください。

SNSや公共の場で、企業の業務内容や個人情報を安易に公開しないことも、ソーシャルエンジニアリング攻撃の事前調査を防ぐうえで重要です。

攻撃者は、SNS投稿や会話などから得た情報をもとに、信頼を装って接触してくることがあります。

とくに、出張スケジュール・進行中のプロジェクト名・取引先・社内の担当者名といった情報は、悪用されるリスクが高いため公開を避けてください。

また、カフェや電車など公共の場所でパソコンを使用する際は、覗き見防止フィルムの装着や周囲の状況確認を徹底します。画面の覗き見や会話の盗み聞きといった「物理的な情報漏えい」も、ソーシャルエンジニアリングの一種として悪用されるおそれがあります。

SNSや公共の場での何気ない発言や投稿が攻撃の糸口にならないよう、常に「見られている」意識を持つことが大切です。

不審なメールや電話を受けた際の報告先や対応手順を、あらかじめ明確に定めておくことが重要です。

多くの従業員は、不審なメールを受け取っても「自分の勘違いかもしれない」「上司に報告するのは気が引ける」と感じ、報告をためらう傾向があります。

実際に攻撃に引っかかってしまった場合も「叱責されるのではないか」という不安から報告が遅れ、結果的に被害の拡大を招くおそれがあります。

こうした事態を防ぐために、心理的安全性のある報告体制を整えることが大切です。もし自社にセキュリティーインシデントの報告フローがない場合は、IT部門やセキュリティー担当者と連携して早急に整備してください。

フローは複雑である必要はなく、「誰に・どのように連絡するか」が一目でわかるシンプルな設計が理想です。

従業員に対してセキュリティー研修や教育を実施することは、技術的な防御だけでは防ぎきれない攻撃への備えとして重要です。

人の不注意や判断ミスをつくソーシャルエンジニアリング攻撃は、最前線に立つ従業員の意識によって被害を防げる場合があります。

従業員一人ひとりが、攻撃の手口や攻撃者の心理的な誘導手法を理解することで、被害を未然に防止する力が身につきます。

サイバー攻撃の手法は常に進化しているため、一度の研修で終わらせず、定期的に教育を継続することが効果的です。

具体的な取り組みとしては、以下のようなものが挙げられます。

研修は最低でも年に2回、可能であれば四半期ごとのペースで行うのが理想です。継続的な教育によって、従業員全体のセキュリティー意識を維持できます。

ソーシャルエンジニアリングは、人間の心理を悪用して機密情報を盗み取る攻撃手法です。

攻撃者は取引先や公的機関を装い、恐怖心をあおって焦らせ、ターゲットの冷静な判断力を奪います。ソーシャルエンジニアリング攻撃による被害を最小限に抑えるには、技術と人の両面からの対策が必要です。

多要素認証やパスワード強化、個人情報の取り扱いルールを設けるなど、企業内でセキュリティー意識を高める対策を実施してください。

企業のセキュリティーを向上させたい方は、ぜひ富士フイルムビジネスイノベーションまでお気軽にお問い合わせください。