攻撃と脅威
ソーシャルエンジニアリング
別称: ヒューマンハッキング
定義
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
ソーシャルエンジニアリングは、技術的な脆弱性ではなく人間の認知と行動を狙う攻撃の総称です。攻撃者は信頼・権威・緊急性・恐怖・返報性・好奇心といった心理を利用し、被害者に認証情報の開示、送金、マルウェアの実行、アクセス権の付与などをさせます。代表的な手口には、フィッシングメール、ビッシング(電話)、スミッシング(SMS)、プリテキスティング、ベイティング、対面でのなりすましなどがあります。狙われる弱点が「人の判断」であるため、技術的対策だけではリスクを排除できません。継続的な意識向上トレーニング、フィッシング演習、機微な操作に対する厳格な確認手順、FIDO2 などのハードウェア MFA、そして疑わしい行為を報告しやすい文化づくりを組み合わせることが有効です。
例
- 攻撃者が上級役員になりすまして IT ヘルプデスクに電話し、パスワードのリセットを要求する。
- 偽の請求書メールに騙され、経理担当者が取引先の銀行口座情報を変更してしまう。
関連用語
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
ベイティング
魅力的な物理メディアやデジタルコンテンツを餌として被害者を誘い、マルウェアの実行や認証情報の窃取を狙うソーシャルエンジニアリング攻撃。
クイド・プロ・クオ攻撃
サービスや利益の提供と引き換えに、被害者から情報やアクセス権を引き出そうとするソーシャルエンジニアリング攻撃。
テールゲーティング
正規のユーザーに気づかれずに密着して後ろをついて行き、アクセス制御を不正に通過する物理的侵入手法。
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。