作成日:2014/11/17
更新日:2015/05/21

皆さんはソーシャルエンジニアリングという言葉を聞いたことはあるでしょうか。
ソーシャルエンジニアリングとは、いわゆるハッカーによる攻撃手法の一つです。一般に想起される、システムの脆弱性に対する攻撃とは異なり、「人間」の心理的な脆弱性に対して行われる攻撃手法です。
従来はのぞき見や廃棄書類の取得、あるいは対話や電話等の直接的なコミュニケーションで行われていましたが、近年では電子メールやSNS等のネットワーク上のコミュニケーションにまで拡大してきています。
システム上の脆弱性は高度なセキュリティ製品の購入、社外ネットワークからのアクセス状況のモニタリング、セキュリティパッチの適用、といった手法で対処することは可能ですが、システムを操作する人間に知識や注意力が欠けている場合は、最も脆弱なポイントとなってしまいます。しかも、新しいテクノロジーやセキュリティパッチで解決するものでもありません。
昨今話題になっている標的型攻撃は、特定の組織や個人をターゲットにしてコンピュータやシステムへの不正侵入を行うための攻撃です。その際に事前の偵察や情報収集の中でソーシャルエンジニアリングの手法が使われています。
今回はソーシャルエンジニアリングについて確認していきます。

 

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、コンピュータシステムや重要データに不正にアクセスするために、テクノロジーベースの手段を利用するのではなく、アクセスに必要な情報(ID/パスワード等)を物理的、または心理的な手段によって獲得する行為のことです。現実の世界だと、いわゆる「振り込め詐欺」もソーシャルエンジニアリングに手法による不正行為とみなすことができます。
ソーシャルエンジニアリングの具体的な攻撃方法はいくつかの種類がありますが、代表的な手口は以下の通りです。

  1. 構内侵入
  2. のぞき見
  3. トラッシング
  4. なりすまし
  5. フィッシング

1.構内侵入
従業員でない者が実際に建物やオフィス内に侵入する行為です。オフィスの中には様々な情報が容易に入手可能です。以下のような方法が考えられます。

  • 偽造または拾得したIDカードで入館/入室する
  • 電子ロックされたゲートや扉が開いた際に、開錠者の後ろについていく
  • 清掃員、回収業者等として入館/入室する
  • 別件で訪問したついでに、自分とは関係のない他部署に立ち入る

2.のぞき見
オフィス内外で露出している情報を、文字通りのぞき見て必要な情報を収集する方法です。
具体的には以下が考えられます。

  • 入力中のパスワードやディスプレイの表示内容を背後からのぞき見る
  • 机上に放置された文書や資料を見る
  • ディスプレイの周りに貼られている、ID/パスワードが記入された付箋を見る
  • 従業員同士の会話を盗み聞きする
  • プリンターや会議室等に放置された書類(共有エリアを片付ける人がいない)を拾う

3.トラッシング
ゴミや廃棄書類等、オフィス内で不要となった書類やCD-R等の媒体から、目的とする情報を探して取得する方法です。具体的には以下が考えられます。

  • 深夜に、標的とする企業のゴミ集積所に行き、重要な情報を探す
  • 清掃員や回収業者として、標的とする企業からゴミを持ち去る
  • 裏紙を活用する企業や部署で、口実をつけてメモをもらう

4.なりすまし
ターゲットとする部署や個人に対して電話し、システムへのアクセスに必要な情報を聞き出す方法です。例として、以下が考えられます。

  • 新入社員を装ってシステム管理者に電話し、パスワードを教わる/リセットしてもらう
  • 面識のない上司やエグゼクティブになりすまし、高圧的な態度で迫ることで必要な情報を聞き出す
  • 委託先のシステム管理者になりすまし、メンテナンスや調査を理由に必要な情報を聞き出す

5.フィッシング
実在する企業(金融機関、信販会社、オンラインショップ、等)になりすましたWebサイトや電子メールによって、アクセス情報(ID/パスワード)や個人情報(住所、電話番号等)、その他重要情報(暗証番号、クレジットカード番号、等)をターゲットとする個人に入力させ、取得する不正行為です。最近ではフィッシングサイト(偽Webサイト)やフィッシングメールが非常に巧妙化しており、一目見たくらいでは気づかれない場合も多くなってきています。

  • 送信元が社会的に信頼性の高い企業のアドレスである電子メールに、求められるまま重要情報を記入し返信する
  • メールにあるリンク先に実在する企業名やロゴが使われ、実在のWebサイトと全く同じデザインになっているWebサイトが表示され、個人情報を入力してしまう

 

ソーシャルエンジニアリングによる被害状況

それでは、以上のようなソーシャルエンジニアリングによる実際の影響や被害はどのような状況でしょうか。少々古い資料になりますが、チェックポイント社が2011年9月に発表した、海外のITセキュリティ管理者に対して行った調査結果「THE RISK OF SOCIAL ENGINEERING ON INFORMATION SECURITY」の内容を確認します。
まず、自社がソーシャルエンジニアリングによる攻撃に遭ったかどうかについては、確実に「ない」と回答した企業は全体の16%に過ぎず、最大で80%以上の企業がソーシャルエンジニアリングによる何らかの攻撃を受けているという結果になっています。
ソーシャルエンジニアリングの攻撃有無

ソーシャルエンジニアリングの攻撃を受けた企業に対し、その頻度を調査したところ、全企業の3割強が過去2年間に25回以上、ほぼ月次ベースで攻撃を受けており、特に大企業に絞って確認すると、約半数が過去2年間に25回以上の攻撃を受けており、より一層狙われている傾向があると考えられます。
ソーシャルエンジニアリングによる攻撃の頻度

ソーシャルエンジニアリングの攻撃を受けた企業に対して、攻撃1件あたりの平均的な被害額について調査したところ、1件あたり25,000ドルを超える企業が約半数となっています。なお、ここでの被害額とは、直接的な金額以外に、業務の中断、顧客への補償、収益減少、人件費などの損失も含んでおります。また、大企業では、1件あたり10万ドル以上と回答した企業が30パーセントとなっており、深刻な被害鵜を受けているようです。
ソーシャルエンジニアリング攻撃による被害

 

ソーシャルエンジニアリングと標的型攻撃

近年注意喚起されているのは、特定の組織や個人をターゲットにして重要情報を窃取したりする標的型攻撃です。そして、標的型攻撃の侵入段階における偵察や情報収集の一環で、ソーシャルエンジニアリングの手法を用いています。
従来の不特定多数に向けた攻撃は単発で行われますが、標的型攻撃は特定のターゲットが決まっていることから、目的を達成するために継続して何回も行われます。
代表的な攻撃手法は標的型攻撃メールによる攻撃が行われます。標的型攻撃メールには、不正プログラムや、不正なマクロ等を仕込んだ文書ファイルなどが添付されています。メールの受信者がこの添付ファイルをクリックすることで、社内ネットワークにバックドアを生成します。結果として、攻撃サイドはターゲットとする組織のネットワークに侵入できるようになり、重要情報を入手していきます。
また、最近ではSNS上のメール機能やチャット機能を用いて、ターゲットとするネットワークに侵入しようとしたり、標的型攻撃メールを送信後に、電話でのなりすましによって当該メールを閲覧するよう働きかけたり、といった攻撃も行われています。
具体的な攻撃手法としては、以下の通りです。

  • マルウェアが添付された標的型攻撃メールを閲覧した結果マルウェアに感染し、以下のような動作をする
    • 社内ネットワーク上で外部への接続口を勝手に開く
    • マルウェアに感染したPC内の情報を収集して外部に送信する
    • マルウェアに感染したPCが組織内の重要情報に組織内ネットワークやシステムの最深部にたどり着くための踏み台(中継点)とされ、重要な機密情報を奪う足がかりとされる
  • 標的型攻撃メールの本文やリンク先のURLをクリックしてマルウェアに感染させられたり、詐欺に巻き込まれたりしてしまう(フィッシング詐欺、ワンクリック不正請求等)
  • 標的型攻撃メールによる攻撃を受けたPC内部の情報が、次の攻撃を成功させるための情報として悪用される (宛先、差出人、件名、本文、署名等への利用、等)
  • サーバを乗っ取り、繰り返し機密情報、重要情報を盗み出し、また、次のターゲットに侵入するための情報を収集する

 

ソーシャルエンジニアリングへの対策

パソコンやスマートフォンの脆弱性は修正プログラムやセキュリティパッチを適用することで対応できます。しかし、ソーシャルエンジニアリングは人間に働きかけるものであるため、そのようなものはありません。では、人間の心理的な脆弱性を突くソーシャルエンジニアリングへは、どのような対策をすればよいのでしょうか。
多くの企業や組織では年に1回、または数回のセキュリティ教育が行われておりますので、これで十分だと思われる方々も多いでしょう。
以前、米McAfee社のサイトに、通常の電子メールとフィッシングメールとを見分けるオンラインテスト「McAfee Phishing Quiz」(現在は稼働していないようです)のサイトがあったのですが、執筆時点(2014/11/14時点)の正答数分布を確認したところ、全問正解は全体の6%となっています。また、マカフィー社で集計した結果、、集計対象となったテスト参加者約16,000人のうち、フィッシングメールを1つでも見破れなかった回答者は全体の80%であり、特に財務会計部門とHR部門の結果が最も悪かったそうです。
McAfee Phishing Quiz得点分布
こうした攻撃への対策ですが、基本的には何度もお聞きしたことがあるであろう、当たり前のことばかりです。具体的には以下の内容です。

  • OSには常に最新のセキュリティパッチを当てる
  • 最新版のブラウザを使用する
  • サイトやメールアドレスのドメイン名を確認する
  • 件名や内容が不自然なメールについては開封しない
  • 添付ファイルはプロパティを確認する等、安易に展開しない様注意する
  • メールの本文に書かれたURLはリンク先を確認する
  • パスワード等のアクセス情報や暗証番号、クレジットカード番号を直接聞きだすような内容には回答しない(必要がありそうな場合はメール記載のではなく、公開されているサポート番号等に電話して確認する)

また、標的型攻撃メールを受信した旨報告を受けたシステム管理者は、同様の攻撃をされない様、社内周知を行うことが重要です。
知識ベースでは上記の様に非常に当たり前のことばかりですが、ソーシャルエンジニアリングは人間の心理状態に働きかけるものなので、特に重大な内容であればあるほど、慌てることなく冷静に読み直し、その信憑性を判断する癖を身に着ける必要があります。また、パスワード等のアクセス情報や、暗証番号等の重要情報は直接回答させるような依頼は通常ありえないので、折り返しの確認等を行うよう対応する必要があると考えます。

人間の心理的脆弱性を狙ったソーシャルエンジニアリングを適用した攻撃は今後、一層エスカレートしてくるでしょう。情報機器やソフトウェアだけでなく、ソーシャルエンジニアリングによる攻撃に対しても、意識を高くして対策を万全にしておきたいところです。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。
お問い合わせ