ソーシャルエンジニアリング対策——人間の心理を突く攻撃手口と防御法
ソーシャルエンジニアリングの主要手口(フィッシング・ビッシング・プリテキスティング)と具体的な対策を解説。技術的防御だけでは防げない理由も紹介。
ソーシャルエンジニアリングとは何か
ソーシャルエンジニアリングは技術的な脆弱性ではなく、人間の心理や行動パターンの弱点を悪用する攻撃だよ。どれだけシステムを強固にしても、人間が騙されれば突破される。
セキュリティ研究者のケビン・ミトニックは「人間のOSには、権威への服従・好意・希少性・社会的証明などの脆弱性がある」と言っているよ。
主要な攻撃手口
フィッシング(Phishing)
メール・SMS・偽サイトで正規機関を装い、パスワードや個人情報を入力させる。最も一般的なソーシャルエンジニアリングだよ。近年はAIで作成した自然な日本語の文章が使われるようになってる。
ビッシング(Vishing)
電話で「銀行のセキュリティ部門です」「ITサポートです」と名乗り、パスワードやワンタイムコードを聞き出す。AIボイスクローニングで本人の声を真似た攻撃も登場しているよ。
プリテキスティング(Pretexting)
偽の状況設定(プリテキスト)を作り上げて攻撃する。「新入社員の田中です、パスワードが分からなくて困っています」のように、社内の人を装ってヘルプデスクから情報を引き出す手口が代表例だよ。
ベイティング(Baiting)
「無料映画」「当選通知」などで誘い込む。オフィスの駐車場にUSBメモリを落としておき、好奇心から拾って挿した社員を通じて感染させる古典的な手口もある。
テールゲーティング
認証が必要な場所に正規の人の後ろについて入り込む物理的な攻撃。「荷物で両手がふさがっているので…」と見せかけるのが典型例。
対策の基本原則
原則1:急かされたら疑う
「今すぐ」「緊急」「24時間以内」という言葉は攻撃のサインだよ。正規の組織はあなたを急かして判断を誤らせない。
原則2:本人確認は自分でかけ直す
電話がかかってきた場合、その場で個人情報を渡さない。一旦切って、公式サイトに載っている番号に自分からかけ直そう。
原則3:権威に従う前に確認する
「上司から頼まれた」「警察から連絡があった」——権威ある人物の名前は検証なしに信じないようにしよう。
原則4:口頭でのパスワード要求は100%詐欺
ITサポート・銀行・警察・政府機関は電話でパスワードやワンタイムコードを聞くことはない。聞かれたら即詐欺と判断していいよ。
組織的な対策
- 社員向けセキュリティ研修を年1〜2回実施する
- フィッシングメールの模擬訓練を行う
- パスワードを電話・メールで共有しない旨を明文化したポリシーを作る
- 疑わしい問い合わせを報告できる安全な社内チャンネルを設ける
技術とプロセスと教育の三本柱でしかソーシャルエンジニアリングは防げないよ。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。