Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

ソーシャルエンジニアリング: How IT Works, Examples & Prevention

アダプティブな多要素認証でデータ漏えい、弱いパスワード、フィッシング攻撃に対抗する方法を解説します。

更新済み: 2024年09月02日 読了目安時間: ~

トピック

Threat Detection, Phishing Resistance, Security

目次

 

この記事は機械翻訳されました。

 

ソーシャルエンジニアリングは、脅威アクターが人々に機密性の高い安全な情報を漏らさせる心理的操作の一種です。攻撃者は、ソーシャルスキルを使用して、悪意のある目的で個人または組織の認証情報を漏洩/侵害します。 サイバー攻撃のほぼすべて(98%)はソーシャルエンジニアリングを使用しています。

ソーシャルエンジニアリングでは、悪意のある人物が誰かを騙して、パスワード、銀行情報、社会保障番号、その他の個人を特定できる情報(PII)などの個人情報を開示させます。攻撃者は、多くの場合、信頼できるエンティティ、既知の人物、または立派な当事者を装います。彼らは、被害者をだましてこの情報を提供させるために、的を絞った質問をすることがあります。

ソーシャルエンジニアリングのスキームは、金銭的損失やサービスの中断、評判の低下など、壊滅的な結果をもたらす可能性があります。IT部門は、ソーシャルエンジニアリングが潜在的な攻撃から身を守るためにどのように機能するかを理解することが重要です。

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングとは、情報セキュリティの文脈では、人間の行動や社会的スキルを通じて人を操作し、漏洩/侵害情報を漏らすように説得することです。 脅威アクターは、多くの場合、あなたが知っている人や信頼し尊敬している組織を装って、個人情報を漏らすように説得し、それを使用してアカウントにアクセスしたり、お金を盗んだり、サービスを妨害したりします。

サイバーセキュリティの弱点は人的要素です。攻撃者は、サイバー攻撃を実行するために必要な情報を収集するために、人間の自然な本能である「信頼」を利用します。ソーシャルエンジニアリング スキームは、電子メール、電話、テキスト メッセージ、悪意のある Web サイト、ピアツーピア サイト、またはソーシャル ネットワーク サイトを通じて開始できます。

ソーシャルエンジニアリング攻撃では、脅威アクターは情報を収集するために質問をすることがよくあります。彼らは立派で控えめに見えるかもしれませんが、適切な質問をし、十分な情報を取得すれば、これを使用してアカウントにアクセスし、コンピューターや組織を漏洩/侵害する可能性があります。 ソーシャルエンジニアリングのスキームには、おとりにしたり、詐欺的な支援の申し出に対応したりすることもあります。

ソーシャルエンジニアリング攻撃の6つの原則

ソーシャルエンジニアリングは、コンピュータやデバイスを直接攻撃するのではなく、人間の心を標的にして潜在的な弱点を探します。ソーシャルエンジニアリングは、説得の心理学に依存する詐欺のフォームです。 脅威アクターは、操作を使用して個人を説得し、個人情報を公開させ、それを使用して安全なリソースにアクセスします。

ソーシャルエンジニアリングは、次の6つの主要な原則に依存しています。

  1. 権限: 悪質な人物は、権威ある人物を装って、被害者に認証情報を公開するよう説得したり、スキームへのコンプライアンスを取得させたりすることができます。 たとえば、上司が何かのためにあなたの個人情報を要求しているとITが思われた場合、あなたはITを明らかにする傾向が強くなる可能性があります。
  2. 脅迫: 悪質な人物は、被害者にそれに応じて行動するよう説得するために、脅迫や微妙な脅迫戦術を使用することがよくあります。これには、通信を傍受したり、操作したり、不信感を助長するために上司や友人に公開すると脅したりすることが含まれます。
  3. 払底: これは、需要と供給の概念を利用しています。製品に対する需要が多ければ多いほど、供給が少なければ少ないほど、人はITを欲しがる可能性が高くなります。 ソーシャルエンジニアリングは、切迫感を生むような限られた量の広告をWebサイトに悪意のあるリンクを投稿することができます。被害者は悪いリンクをクリックし、情報を入力すると、脅威アクターはITを盗みます。
  4. 緊急: 希少性と同様に、「限られた時間だけ」何かが手に入るという策略を用いることは、時間に基づく心理操作の一種であり、個人に迅速に行動するように説得し、さもなければ見逃すリスクを負う可能性があります。
  5. コンセンサス: 社会的証明のフォームとして、人々は他の人がやっているのを見る何かに参加する可能性が高くなります。 これは、脅威アクターが被害者に、仲間も特定のスキームに参加していると説得できれば、成功する可能性が高くなることを意味します。脅威アクターは、サービスや製品に偽のレビューを設定して、人々に購入を促すことができます。
  6. 親しみ: ITは、好きな人や尊敬する人から何かを買ったりするように説得されるのが人間の本性です。 攻撃者はこれを利用することができ、ソーシャルエンジニアリングのスキームは、被害者が知っている、または尊敬しているソースから来ているように見えることがよくあります。

ソーシャルエンジニアリング攻撃の種類

ソーシャルエンジニアリング攻撃にはさまざまなものがあります。以下は、最も一般的なものの一部です。

  • フィッシング: このソーシャルエンジニアリング攻撃の形態は、不正なEメールを送信したり、悪意のあるWebサイトを作成したりして、個人にプライベートな認証情報を公開するよう説得することです。 フィッシング攻撃は増加の一途をたどっており、最も一般的なサイバー攻撃ベクトルの一つであり、2021年12月だけでも30万件以上のフィッシング攻撃が発生しています。

フィッシング攻撃は一般的に、信頼できるソースから来ているように見え、ユーザーに添付ファイルをダウンロードしたり、ログへの組み込むリンクをクリックするように求めたりすることで、知らず知らずのうちに認証情報を脅威アクターに公開します。 これは多くの場合、電子メールの形式で提供され、IT は、あなたが使用し信頼している会社概要 から来ているように見えることがあります。

金融機関は一般的に標的にされ、悪意のある人物が銀行やクレジットカード会社の概要から不正なEメールクレームを送信します。 彼らはしばしばあなたにあなたのアカウントにログインするように頼みます。

フィッシングスキームは、COVID-19のパンデミック、人道的活動、休日、選挙、経済問題、自然災害など、現在のイベントをターゲットにすることもできます。 これらのE メール 助けを求め、特定の要求された情報や財政的支援で応答するように個人を説得することができます。

  • スミッシング: フィッシング攻撃の一種であるスミッシングは、SMS(テキストメッセージ)を使用して不正なリンクやWebサイトを送信し、個人がクリックして認証情報を入力するように誘導します。 例としては、電話会社からのように見えるテキストがあり、一見正当な理由で含まれているリンクを介してアカウントにログインするように求められます。このリンクは、悪意のある人物が運営する悪意のあるサイトに誘導され、これを使用して認証情報を盗まれます。
  • ビッシング: 音声通信を含むフィッシングの別の形式は、ビッシングは電話通信を悪用します。 ビッシングは、多くの場合、被害者の銀行を装って特定の番号に電話をかけ、PIN番号とパスワードを明らかにするように個人に要求します。

ビッシング攻撃は、発信者番号通知などのVoIP(Voice over Internet Protocol)ソリューションを操作することができ、簡単になりすましができます。被害者は電話サービスのセキュリティを信頼している可能性が高いため、詐欺を疑うことはありません。

  • スピアフィッシング攻撃: フィッシングは通常、多数の個人にスパムを送信し、ヒットを狙うものです。 この取り組みは、要求された情報で応答するように誰かを誘惑することを目的としています。一方、スピアフィッシング攻撃は、より的を絞ったアプローチです。

詐欺的なEメールは、被害者のより詳細な調査を使用して、ターゲットとなる少数の個人に合わせて調整されています。 これらの攻撃は、攻撃者にとってより時間がかかります。しかし、成功する可能性も高いことが多いのです。

  • スケアウェア: これは、脅威の認識を使用し、ユーザーのその後の不安、恐怖、またはショックを利用するマルウェアのフォームです。 スケアウェアには、ポップアップ広告やスパムEメールが含まれ、ユーザーをだましてマルウェアをダウンロードさせたり、感染したWebサイトにアクセスさせたりします。
  • 苦しま せる: これらのスキームは、悪意のある Web サイト、ソーシャル ネットワーク サイト、またはピアツーピア サイトで見られ、ユーザーを魅力的なものに誘導します。 これには、新しい映画、新しい音楽、または入手困難な製品が含まれる場合があります。被害者は餌に食い込み、悪意のあるリンクやWebサイトをクリックするか、製品の購入を試みます。
  • プリテキスティング: プリテキスティングソーシャルエンジニアリングスキームは、説得力のあるストーリーを使用して、被害者に助けを提供したり、要求された情報で応答するように説得します。これらのスキームは、拘束されたり、さらに悪いことに、友人を救うためにお金を求めたりして、助けを求める叫び声になることもよくあります。また、人道的活動、慈善活動、募金活動、自然災害への援助なども含まれます。

これらのメッセージは、通常、ユーザーが信頼し、評判の良いバックグラウンドからのものであると思われるソースから送信されます。また、あなたの雇用主を装った人物から来ることもあります。

プリテキスティングスキームは、あなたが勝者であり、彼らがあなたにあなたの収入を与えることができるように、あなたの銀行の詳細を提供するようにあなたに求めることがあります。 これらのスキームは非常に精巧で、メッセージは銀行や機関から送信されたように見え、さらには正しいロゴまであります。

プリテキスティングスキームは、リンクを組み込むことで修正が必要な問題があることを通知し、要求された情報を提供することで、脅威アクターがあなたのPIIにアクセスできるようになり、したがってアカウントやデバイスにアクセスできるようになります。

  • テールゲーティング: ピギーバックとも呼ばれるこの形式のソーシャルエンジニアリング攻撃は、正しい認証やクリアランスを持たない人が、適切な権限を持つ人を追跡するときに発生します。これにより、脅威アクターは、多くの場合、スマートカードやトークンを使用して保護されている物理的な場所に、それを持っている人の後ろを歩くだけでアクセスできるようになります。
  • クイドプロクオ: これは「何かのための何か」という意味です。「代償攻撃」では、脅威アクターは被害者を操作し、見返りに何かを提供することで機密情報を提供させます。これは通常、被害者が最初に要求された機密情報を公開した場合に脅威アクターが約束するサービスまたは利益の形式です。

ソーシャルエンジニアリング攻撃を防ぐためのベストプラクティス

ソーシャルエンジニアリング 攻撃を防ぐために、IT 部門は詐欺師が使用する戦術に注意すると役立ちます。 従業員は、一般的なサイバー攻撃とその開始方法を理解するために、サイバーセキュリティトレーニングを受ける必要があります。

IT部門は、ほぼすべてのサイバー攻撃(99%)が人間の入力に依存して開始されていることを覚えておくことが重要です。 フィッシング詐欺と E メール 詐欺は、ソーシャルエンジニアリング 攻撃を開始する一般的な方法です。

ここでは、覚えておくべき点をいくつかご紹介します。

  • 疑わしい添付ファイルを開かないでください。サイバー犯罪者は、E メールの添付ファイルでマルウェアを送信することがよくあります。
  • 差出人のEメールアドレスをよく確認してください。 悪質な人物は一般的に正当な企業や組織を装いますが、E メール アドレスは通常、数文字ずれています。
  • 悪意のあるWebサイトやなりすましハイパーリンクに注意してください。組み込むリンクをクリックするのではなく、常にWebサイトの URL を直接入力してください。 また、ハイパーリンクにカーソルを合わせると、 URL がテキストと一致しない場合は、ITがなりすましである可能性があります。
  • 時間をかける。脅威アクターは、クレームによって切迫感や差し迫った脅威を感じずに、ユーザーに行動を起こさせようとすることがよくあります。 プレッシャーのかかる営業戦術にもかかわらず、速度を落として情報を慎重に確認してください。
  • スペルミス、文法の誤り、奇妙なレイアウトに注意してください。合法的なビジネスでは、文法、文の構造、スペルの間違いはほとんどありませんが、不正なEメールでは頻繁に発生します。
  • 一般的な挨拶や署名に注意してください。詐欺師は、同じメッセージで複数のアカウントに同時にスパムを送信することがよくありますが、企業や組織からの正当なメッセージは、名前で具体的に挨拶し、連絡先情報でEメールに署名する可能性が高くなります。
  • E メール a company 概要 直接 E メール 正当かどうか確信が持てない場合は。 不審なEメールやウェブサイトが提供している可能性のあるものを使用するのではなく、正当であることがわかっている会社概要の連絡先情報を突き止めます。
  • 不審なダウンロードに注意してください。信頼できるソースからのものであることを確実に知らないものをダウンロードしないように注意してください。ダウンロードする前に、いつでもメッセージを IT 部門に報告して、ITが安全であることを確認できます。
  • 迷惑メールに注意してください。 もし、Eメールが、あなたが尋ねていない質問に答えたり、要求していないサービスを提供したりした場合は、よく調べてください。 情報があなたが知っていて使用している会社概要から来ているように見えても、自分で調査してください。
  • 外国のオファーが詐欺的であることを知っておいてください。外国の事業体からのオファーやクレームは詐欺的であり、IT部門に応答すべきではありません。
  • E メールや個人情報の要求、またはヘルプを提供したり、サポートを要求したりするものには応じないでください。 これらは、あなたの身元やお金を盗もうとする詐欺です。
  • 不審な電話やテキストメッセージに注意してください。リンクをクリックしたり、これらの番号にかけ直したりしないでください。個人情報を明らかにする前に、個人または組織の身元を確認してください。

さらに、デバイスとネットワークを保護するように注意する必要があります。ウイルス対策ソフトウェア、ファイアウォール、スパムフィルターを使用し、すべてのサイバーセキュリティ機能を最新の状態に保ちます。アカウントを保護するためにMFA (多要素認証)を使用すると、ユーザー名やパスワードの外部に追加の認証要素が必要になり、ITのハッキングが難しくなります。

E メールやセキュリティで保護されていない Web サイトを通じて機密情報を公開しないでください。 URLの「HTTP」ではなく「HTTPS」を確認すると、セキュリティレベルが高いことを示します。

ソーシャルエンジニアリング攻撃の被害に遭ったと思われる場合は、すぐに組織に報告してください。財務アカウントが漏洩/侵害されていると思われる場合は、すぐに金融機関に報告してください。 アカウントのパスワードのうち、漏洩・侵害の可能性があるものがあれば変更してください。 必要に応じて、警察に被害届を提出し、ID詐欺を連邦取引委員会(FTC)に報告してください。

重要なポイント

ソーシャルエンジニアリングは、人間の相互作用と心理的操作に依存してサイバー攻撃を開始します。ソーシャルエンジニアリング攻撃の一般的な形式には、フィッシング、ベイト、スミッシング、ビッシングなどがあります。

ソーシャルエンジニアリング 攻撃は、通常、スパム E メール、電話、またはテキスト メッセージを通じて開始されます。 彼らはしばしば、個人にリンクを組み込むように、添付ファイルをダウンロードするように、または個人情報でメッセージに返信するように依頼します。

これらの攻撃の試みは、多くの場合、非常に巧妙で、正当なソースから行われているように見えることがあります。

ソーシャルエンジニアリング攻撃とは、ユーザーに個人情報や機密情報を開示させ、それを詐欺や混乱の目的で利用しようとする試みです。悪意のある人物は、ソーシャルエンジニアリング攻撃を使用して認証情報を盗んだり、金融アカウントにハッキングして金銭を盗んだり、ビジネス運営を妨害したりする可能性があります。

ソーシャルエンジニアリングの攻撃から身を守るためには、不審なメール、電話、テキストメッセージに警戒を怠らないようにする必要があります。 不審なリンクをクリックしたり、添付ファイルをダウンロードしたり、電話番号にかけ直したり、個人情報をEメールに返信したりしないでください。 IT部門とやり取りする前に、調査を行い、応答するメッセージが正当であり、吟味されていることを確認してください。

ソーシャルエンジニアリング攻撃は、脅威アクターにとって最も一般的な攻撃ベクトルの1つであり、適切なサイバー衛生と行動で防ぐことができます。

参考文献

2021 Cyber Security Statistics 統計、データ、トレンドの究極のリスト。パープルセック

フィッシング活動の傾向レポート。(2022年2月)。APWGです。

サイバーセキュリティ:E メール攻撃の 99% は、ユーザーがリンクをクリックすることに依存しています。 (2019年9月)。ZDネット。

中小企業のためのサイバーセキュリティ。米国連邦取引委員会(FTC))

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ