■ はじめに
第2話では、ヒューマンファイアウォールの概念や導入メリット、構築のポイントを学びました。今回は、実際にどのようなソーシャルエンジニアリング攻撃が行われているのか、具体的な手口をいくつか取り上げ、その対策を示します。現実的なシナリオを知ることで、より実践的な防御策を考えやすくなるでしょう。
手口①:CEO詐欺(ビジネスメール詐欺:BEC)
攻撃シナリオ
攻撃者はまず、SNSや企業Webサイトなどで役職者や経理担当者の情報を収集します。その上で、CEO(または上司)を装ったメールを経理担当者に送り、「取引先への緊急入金が必要」と指示します。メール文面に「社外から送信されている」などの警告がなければ、担当者が疑わずに振り込んでしまう可能性も高いです。FBIの報告によれば、2023年には21,489件のBEC関連の苦情が寄せられ、被害額は29億ドルを超えています。
有効な対策
- 振込先情報の二重確認ルール
一定額以上の取引は、別の手段(電話など)で本人確認を行うよう定めておくことが重要です。 - メールドメインのなりすましチェック
SPF/DKIM/DMARCの設定や、社外メールには「[外部]」タグを付ける運用を行うことで、不正なメールを識別しやすくなります。 - 経営層のセキュリティ意識向上
CEO本人が「自分を騙る攻撃がある」ことを認識し、周囲に注意喚起することが効果的です。
手口②:カスタマーサポート詐欺
攻撃シナリオ
攻撃者がカスタマーサポート担当者になりすまし、ユーザーに「アカウントロック解除のために必要」と偽り、パスワードやクレジットカード情報を聞き出します。最近はチャットサポートも多いため、チャットボットやメッセージを装うケースも存在します。
有効な対策
- 「企業側からパスワードを尋ねることはない」旨の周知
Webサイトやメールに明記しておくと、ユーザーが怪しい連絡を受け取った際に違和感を持ちやすくなります。 - 公式サポート連絡先の徹底告知
正式な電話番号・メールアドレス・チャットURLなどをユーザーに認知させ、それ以外は疑うという姿勢を促すことが重要です。 - 社員・サポート担当者の教育
サポート部門の担当者が自分のID情報を聞かれても絶対に回答しないように徹底することが必要です。内部犯行を防ぐ意味でも重要です。
手口③:物理的な侵入(ピギーバッキング / テールゲーティング)
攻撃シナリオ
オフィスの入退室ゲートで、社員がカード認証をする際、攻撃者が後ろにつづいてドアが開いた隙に一緒に入るケースです。そのまま社内をうろつき、机の上にある書類を盗み見たり、無人のPCを操作したりする可能性があります。
有効な対策
- 入退室時の声かけ習慣
「後ろの方はどちらの部署の方ですか?」など、不審な人物には遠慮なく声をかける文化を作ることが大切です。 - セキュリティゲートの設置強化
スピードゲートやセキュリティカメラを導入し、複数人が一度に通れない仕組みにすることで、不正侵入を防止できます。 - クリアデスク&スクリーンロック
机の上に機密資料を置きっぱなしにしない。離席時はPCをロックしておくことが基本です。
手口④:SNSを使った情報収集
攻撃シナリオ
攻撃者がFacebookやInstagram、Twitter、LinkedInなどを丹念にチェックし、「○○社のパーティーに参加」「社内イベントの写真に社員証が写っている」「オフィス入口の写真」などをヒントに、社内構造や人間関係、部署名を把握します。そこからターゲットを特定し、ピンポイントでメールや電話を行い、人間関係を装って接近しやすくなります。
有効な対策
- SNSポリシーの徹底
業務情報や社内写真を投稿する場合のルールを明確化し、社員証やパソコン画面が写り込まないように注意することが必要です。
位置情報の取り扱い
- GPSや位置情報付きの写真を安易に公開しないようにする。
- 例えば、InstagramやFacebookで「現在地を共有」する機能を無効にし、投稿を遅らせる(リアルタイムでの位置情報公開を避ける)。
個人情報の開示制限
- 友達のみに公開設定をするなど、SNSのプライバシー設定を定期的に見直す。
- LinkedInなどのビジネスSNSでは、職場情報をむやみに公開しないことも重要。
■ まとめ
ソーシャルエンジニアリング攻撃は、メール詐欺から物理的侵入、SNSを利用した事前調査まで多岐にわたります。
これらの攻撃を防ぐには、単にセキュリティツールを導入するだけではなく、従業員や個人のセキュリティ意識を高めることが不可欠です。
企業としては、以下の3つのポイントを意識することで防御力を高めることができます。
技術的対策:メールのSPF/DKIM/DMARC設定、不正アクセス防止システムの導入など。 行動ルールの策定:入退室時の確認ルールや、振込時の二重確認を徹底。 従業員教育:定期的なセキュリティトレーニングやフィッシング訓練を行う。
次回の第4話では、こうしたソーシャルエンジニアリング攻撃の「心理的トリガー」に注目し、人間の行動心理を把握したうえで効果的な教育・訓練を行う手法を紹介します。
■ まとめ
ソーシャルエンジニアリング攻撃は、メール詐欺から物理的侵入、SNSを利用した事前調査まで多岐にわたります。これらを防ぐには、技術的対策だけでなく、ヒューマンファクターへのアプローチが欠かせません。
次回の第4話では、こうしたソーシャルエンジニアリング攻撃の「心理的トリガー」に注目し、人間の行動心理を把握したうえで効果的な教育・訓練を行う手法を紹介します。