ソーシャルエンジニアリングとは？

sp3n | shutterstock.com

データセンター、クラウド導入、会社施設の物理的セキュリティを万全にしても、ソーシャルエンジニアリングを駆使する巧妙なサイバー犯罪者は、これらの対策を回避する方法を見つけ出すことがほとんどです。

ソーシャルエンジニアリングとは、人間の弱点を突いて建物、システム、データへのアクセスを得る“技術”のことです。ソフトウェアの脆弱性を探して悪用するのではなく、ソーシャルエンジニアは例えば従業員に電話をかけ、ITサポート担当者を装ってパスワードを聞き出そうとします。

有名なハッカー、ケビン・ミトニックは1990年代にソーシャルエンジニアリングという言葉を広めました。しかし、人間の行動を利用するという基本的な発想や手法自体は、詐欺師が現れた時代から存在しています。

ソーシャルエンジニアリングは、企業への侵入においてサイバー犯罪者にとって特に成功率が高い手法であることが分かっています。攻撃者が信頼できる従業員のパスワードを入手すれば、ログインして機密データを抜き取ることができます。物理的なアクセス権を与えるカードやコードを手に入れれば、さらに大きな被害をもたらすことも可能です。

「ソーシャルエンジニアリング：ハッキングの手口」という記事では、ペネトレーションテスターが、最新の出来事やSNSで公開されている情報、そしてセカンドハンドショップで手に入れたCiscoのロゴ入りシャツを使って、違法に企業へ侵入した様子を紹介しています。4ドルの中古シャツが、受付や他の従業員に自分がCiscoの技術サポート担当だと信じ込ませるのに役立ちました。一度侵入すれば、他のチームメンバーも簡単に中に入れるようにできました。さらにこのエシカルハッカーは、複数のマルウェア入りUSBスティックを社内に設置し、企業ネットワークへの侵入にも成功しました。これらはすべて従業員の目の前で行われました。

ソーシャルエンジニアリング攻撃を成功させるために、必ずしもセカンドハンドショップに行く必要はありません。メール、電話、SNSでも同様に効果を発揮します。すべての攻撃に共通するのは、欲望、恐怖、好奇心、他人を助けたいという気持ちなど、人間の特性を利用する点です。

サイバー犯罪者は、ターゲットを調査するためにしばしば数週間から数か月を費やし、直接訪問、メッセージ送信、電話などのアクションを起こす前に準備をします。準備には、ターゲット企業の電話リストや組織図の入手、SNSで従業員を調査することなどが含まれます。その後、例えば以下のような方法で攻撃を仕掛けます。