ソーシャルエンジニアリングとは?事例を交えて手口や対策を解説 | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > ソーシャルエンジニアリングとは?事例を交えて手口や対策を解説

情報セキュリティ

サポート詐欺

セキュリティ体制構築支援

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは?事例を交えて手口や対策を解説

佐々山 Tacos

佐々山 Tacos

2025.01.31

ソーシャルエンジニアリングとは、人間の心理的な隙や弱みを突くなどして相手に自らの望んだ行動を取らせるテクニックのことを言います。ソーシャルエンジニアリングの方法にはさまざまなものがありますが、本記事では10種類のソーシャルエンジニアリング手法を紹介した上で、実際の事件や攻撃事例にも触れつつ、対策などをわかりやすく解説します。

ソーシャルエンジニアリングとは?概要をわかりやすく

  • ソーシャルエンジニアリングの特徴

 

ソーシャルエンジニアリングの種類/主な手口、10選

  • 1, フィッシング
  • 2, クイド・プロ・クオ
  • 3, 実在の人物や組織へのなりすまし
  • 4, ベイティング
  • 5, テールゲーティング(テールゲート攻撃)
  • 6, ダンプスターダイビング
  • 7, リバース・ソーシャルエンジニアリング
  • 8, プレテキスティング(プリテキスティング)
  • 9, スケアウェア
  • 10, ショルダーハッキング

 

ソーシャルエンジニアリングのライフサイクル

 

ソーシャルエンジニアリングが使われた実際の事件や攻撃例

 

ソーシャルエンジニアリングへの対策

 

最後に

ソーシャルエンジニアリングとは?概要をわかりやすく

ソーシャルエンジニアリングとは、人間の心理的な隙などを突いて、相手に自らの望む行動をさせるよう誘導するテクニックのことです。情報セキュリティの文脈では、フィッシングやビジネスメール詐欺などがその代表例として挙げられます。また、対人(アナログ)の文脈で使われた場合の代表的な例には、オレオレ詐欺などの特殊詐欺が該当します。

ソーシャルエンジニアリングの特徴

もう少し具体的なイメージが湧くよう、以下に「Black Basta」というランサムウェア集団が使っていたソーシャルエンジニアリング戦術を紹介します。

 

①ターゲット企業の従業員に、無害なEメールを大量に送りつける。

大量のメールが届いて困惑する男性

※これにより従業員の心には、「焦り」「パニック」「混乱」「不安」といった心理的な隙が生まれる。

 

②受信箱に膨大な件数のメールが届いて困惑する従業員に電話をかけ、「メールの問題の解決をサポートします」と申し出る。

 

※助けの手を差し伸べることにより、①のフェーズで生まれた心の隙を突く。

 

③「サポートのために必要」だと主張して、リモートサポートツール「AnyDesk」をインストールするよう要求する。

リモートサポートツール「AnyDesk」をインストールするよう要求する攻撃者

④AnyDesk経由で従業員のPCを遠隔操作し、ランサムウェア攻撃に向けた土台作りを開始する。

 

上記の例からもわかるように、ソーシャルエンジニアリングには以下のような特徴があります。焦らせたり怖がらせたりすることで、ターゲットをより騙しやすく、操りやすくなるためです。人間の心理的な隙や弱みを突くものであることから、人的脅威の1つであるとも考えられています。

  • 危機感や恐怖心を煽る
  • 焦らせる
  • 緊急の対応が必要だと思わせる
  • 一方で、攻撃者への疑念や不信感は抱かせないよう、一定期間無害なやり取りを行うなどしてある程度信頼関係を築く
  • 実在の人物や企業、官公庁などになりすますなどして信用させ、油断させる

※なお、今回紹介したのは数あるBlack Bastaの戦術のうちの1つであり、すべての攻撃でこの手法が使われているわけではありません。同ランサムウェア集団について詳しくは、以下の記事もご覧ください:

ソーシャルエンジニアリングの種類/主な手口、10選

以下に紹介するのが、ソーシャルエンジニアリングで使われる代表的な手口やテクニックです。なお、「1回の攻撃につきいずれか1つの手口しか使われない」というわけではなく、複数の手口が組み合わされることも多々あります。

1, フィッシング

実在の企業やサービスの名を騙り、EメールやSMS、電話などの手段でターゲットに接触して偽サイトへ誘導し、IDやパスワードなどの認証情報を盗んだり、マルウェアに感染させたりする手口のことを言います。代表的なのが、クレジットカード会社や銀行など、金融関連の企業を騙ったものです。ほかにも、官公庁や通信事業者、Eコマース企業、有名ブランドなど、さまざまな組織がなりすましの対象になり得ます。

 

<フィッシングメールのイメージ>

フィッシングメールのイメージ

上記のような銀行を騙るフィッシングサイトでは、銀行口座の店番号、口座番号、支店名、ログインパスワードなどの入力を要求されます。騙されて入力してしまうと、これらの情報が攻撃者の手に渡ってしまうことになります。

 

また、フィッシングは手段やターゲットの種類などによって以下のように区別されることもあります。

 

<手段による分類>

ビッシング

ビッシング(Vishing)とは「Voice Phishing(ボイス・フィッシング)」を縮めた呼び方で、その名の通りボイスメールや固定/携帯電話の音声などを使ったフィッシングのことを言います。近年では、AIがなりすましに利用されるケースも増えてきました。

スミッシング

SMS(ショートメッセージサービス)やテキストメッセージを使って行われるタイプのフィッシングのことを言います。「SMS Phishing(SMSフィッシング)」を縮めた言い方です。

クイッシング

クイッシング(Quiching)は「QR code phishing(QRコードフィッシング)」を縮めた呼び名で、文字通りQRコードを使ったフィッシングのことを言います。このQRコードは、スマートフォン等でスキャンすると悪意あるWebサイトへ飛ぶ仕組みになっています。

 

<ターゲットによる分類>

スピアフィッシング

不特定多数の人を狙うのではなく、特定のグループ内の個人に的を絞って行われるものはスピアフィッシングと呼ばれます。標的が絞られる分、一般的なフィッシングと比べてフィッシングメールの内容や体裁もパーソナライズされ、より信憑性が高く虚偽であるとは見破りにくくなっている点が特徴的です。

ホエーリング(捕鯨攻撃)

ホエーリングはスピアフィッシングの一種で、企業の経営層や上級役員を主な標的とするタイプのフィッシング攻撃のことを言います。フィッシングという名称が「魚釣り」に由来するものであるのに対し、こちらはCEO(最高経営責任者)やCFO(最高財務責任者)、監査役、その他役員など、「クジラ」レベルの大物に狙いを絞ったものであることから「ホエーリング(whaling/捕鯨)」という呼び名が使われるようになりました。ホエーリングを仕掛ける攻撃者の主な目的は、こうしたターゲットが持つ高い権限を悪用して機密性の高い情報へアクセスすることです。

2, クイド・プロ・クオ

クイド・プロ・クオ(Quid pro quo)とは、「代償(物)、報償、交換条件、見返り、対価」といった意味を持つラテン語です。この手口において、ターゲットとなるユーザーは「お得な情報」や「サポート」などを提供される代わりにアクセス権や認証情報などを奪われることになります。

例えば、攻撃者側がPCの故障やウイルス感染などを解消するための「サポート」を提供する代わりに、被害者側はIDやパスワードなどの機微な情報を受け渡すというパターンが知られています。ただ、認証情報の受け渡しはあくまで「サポート」の範疇で必要な動作かのように自然に行われるため、詐欺であるとは気付きにくい点が厄介です。

3, 実在の人物や組織へのなりすまし

ターゲット企業の取引相手や委託先、顧問弁護士といった実在の組織や人物になりすまし、騙されたターゲット企業に重要な情報を提供させたり、金銭を支払わせたりするという手口です。

この手口を使った攻撃として代表的なものに、ビジネスメール詐欺(BEC)と標的型メール攻撃があります。

4, ベイティング

ベイティングとは、「釣り針に餌をつける」、「(人を)おびき寄せる、誘惑する」などの意味を持つ英語の動詞「bait」に由来するテクニックです。その名から想像される通り、ベイティングでは無料のゲームや音楽など、魅力的なオファー広告を餌にターゲットをおびき寄せることにより、個人情報などを奪ったりターゲットの端末をマルウェアに感染させたりします。例えば認証情報の窃取を目的とする攻撃者の場合は、「お得なオファーを受け取るために必要な情報」としてIDやパスワードを入力させることが考えられます。

また、ベイティングはサイバー空間だけではなく、物理的な手段によっても行われる場合があります。その代表的な例がUSBドライブを使うもので、攻撃者は例えば、あらかじめマルウェアを仕込んだUSBドライブをターゲットの目につきやすいような場所に置いておきます。これを拾ったターゲットが、「誰のUSBドライブか確認してみよう」、「自分のものにして使ってしまおう」などと考えて自らのPCにこのUSBドライブを差し込むと、端末がマルウェアに感染してしまいます。

 

<最近報道されたベイティング関連の事件>

2024年11月、埼玉県の男子中学生が、知人男性が使用するパソコンをウイルスに感染させて個人情報を不正に取得したなどとして書類送検されたことが報道されました。

 

【事件の概要】

  • 中学生がインターネット上で10代の男性と知り合う。
  • 中学生はこの知人男性に対し、オンラインサービスのチャット機能で、「プレゼントがある」などとしてリンクを送信。(=ベイティングの手法
  • このリンクには、クリックすると個人情報を不正に取得するウイルスに感染する仕組みが施されていた。
  • 中学生は、ウイルスを通じて入手した個人情報を使い、この知人男性や、知人男性の父親名義のオンラインゲームのIDやパスワードを不正に取得したとされる。

5, テールゲーティング(テールゲート攻撃)

入室や入場が制限された部屋や施設、あるいは従業員しか立ち入ることのできないエリアや施設などへ不正に侵入するための手口です。例えば、攻撃者は配達員や清掃員を装うなどして従業員を騙し、従業員の後について入室することでこうしたエリアへ侵入する可能性があります。「ピギーバック」、「ピギーバッキング」などと呼ばれることもあります。

6, ダンプスターダイビング

個人や組織のゴミ箱をあさって銀行の明細やクレジットカードの申込用紙などを探し出し、そこに記された貴重な情報を入手するという手口です。こうした書類をシュレッダーにかけずに捨てている場合は、この手口により情報が盗み出されるリスクがあります。

7, リバース・ソーシャルエンジニアリング

攻撃者側からターゲットに接触するのではなく、ターゲット自身が進んで攻撃者へ接触するように仕向けるという手口です。両者の間の矢印の方向が反対になるため、「リバース」ソーシャルエンジニアリングと呼ばれます。

 

この手口が使われる代表的な詐欺行為に「サポート詐欺」があります。これは、大まかに以下のような流れで行われる詐欺攻撃です。

【1】ターゲットが使用するPC端末の画面上に偽のアラート画面(例:あなたのPCはウイルスに感染しています、などの警告画面)を表示させ、危機感を煽る。

【2】警告画面には、問題解決のためのサポート窓口への連絡先(電話番号など)が記されており、ターゲットはそこに電話をかけるよう誘導される。

【3】攻撃者は電話を通じてターゲットを騙し、悪意あるソフトウェアをインストールさせたり、「サポート代金」と称して金銭を騙し取ろうとしたりする。

 

上記の流れの中の【2】ように、ターゲットの側から攻撃者へ接触させるような手口がリバース・ソーシャルエンジニアリングに該当します。

※サポート詐欺について詳しくは、こちらの記事もご覧ください:サポート詐欺とは?企業にとってのリスクや対策について解説

8, プレテキスティング(プリテキスティング)

ターゲットに個人情報や機密情報などを提供させるため、もっともらしいストーリー(プレテキスト)をでっち上げるという手法です。例えば攻撃者は、自組織の役員や同僚、顧客、取引先などになりすましてターゲットとなる従業員にメールを送り、実際にあってもおかしくないようなストーリー(支払い先の銀行口座が変更になった、など)を練り上げ、ターゲットを騙したりします。前述のビジネスメール詐欺やロマンス詐欺などでは、この手法がよく採用されます。

※ロマンス詐欺とは、SNSやマッチングアプリなどで知り合ったターゲットに対し、やり取りを重ねて恋愛感情や親近感を抱かせたのち、投資話を持ちかけて金銭を奪い取る詐欺行為のことを言います。投資の口実として、以下のようなプレテキストが使われることがあります。

  • 結婚を申し込み、結婚後の生活のために投資しないかと持ちかける
  • 「外国の軍隊に所属している日本人男性」を騙り、荷物を日本へ送るための関税がかかるなどと主張して金銭を送らせる
  • 駐在先の国の治安が悪化し、銀行から現金が引き出せないなどと訴えて金銭を送らせる

      9, スケアウェア

      「怖がらせる」、「怯えさせる」などの意味を持つ「scare(スケア)」という英単語が由来になっている通り、スケアウェアとはターゲットを怖がらせることによって攻撃者の意図した行動を取らせる手法のことを言います。スケアウェアの「怖がらせ方」としては、ターゲットの端末に「あなたのPCが危険に晒されています」、「あなたのPCがウイルスに感染しています」といった虚偽のアラートを表示させるものが一般的です。これにより危機感や恐怖心を抱いたターゲットに、ウイルス対策ソフトなどに見せかけた悪意あるソフトウェアをダウンロードさせたり、有害なリンクをクリックさせたりすることを目指します。

      10, ショルダーハッキング

      パスワードなどの重要な情報を入力している人物に背後から近づき、画面を覗き見て情報を入手する手口のことを「ショルダーハッキング」と言います。

      ソーシャルエンジニアリングのライフサイクル

      大半のソーシャルエンジニアリングは、以下のような流れで準備・実行されます。

      ①調査し、罠を準備する段階:

      • ターゲット組織や従業員の調査
      • ソーシャルメディア(FacebookやLinkedin、Instagram等)に投稿された情報やバックグラウンド情報の収集

      ※集めた情報は、これから仕掛ける攻撃の信憑性を高め、より本物らしく見せるための材料として使われます。

      • 攻撃手法の選定

      ②罠にかける段階:

      • ターゲットに接触
      • ターゲットを騙すため、虚実混交のストーリーを披露
      • ターゲットとのやり取りで主導権を握る
      • ターゲットの人間関係に関する知識を駆使
      • 同情を寄せる、緊急性が高いことをアピールする、警戒心を溶かせるような接し方をする、などのテクニックを使用
      • 実際の攻撃を仕掛けるための足場作り

      ③情報を盗み取るメインの攻撃段階:

      • フィッシングサイトへのリンクをクリックさせる、パスワードを攻撃者が自由に使えるものへ変更させる、悪意ある添付ファイルを開かせる、などの手段でターゲットに情報や金銭を差し出させる

      ④撤退する段階:

      • 自然な形でやり取りを終える
      • マルウェアを使用した場合は、その足跡をすべて消し去る

      ソーシャルエンジニアリングが使われた実際の事件、攻撃例

      • 2024年5月、国内の大手暗号資産取引所A社から約482億円相当のビットコインが流出する事案が発生。12月24日には、日米の当局がこの事件に北朝鮮のハッキンググループ「TraderTraitor」が関与していたことを特定するとともに、攻撃手口としてソーシャルエンジニアリングの手法が使われていたことが報じられた。具体的には、TraderTraitorはリクルーターを装い、LinkedIn上で「あなたのスキルに感銘を受けた」などと述べてA社の関連会社の従業員に接触。採用前の試験に見せかけたURLを送り不正プログラムを仕込み、アクセス権限を乗っ取ってこの関連会社のシステムに侵入し、A社の取引内容を改ざんし暗号資産を盗んだとのこと。(詳しくはこちらの記事で:IT技術者の採用や応募を装った北朝鮮脅威アクターの直近の動向


      • 国内ドラッグストア大手が運営する公式通販サイトに携わる従業員が、サポート詐欺の被害に遭った。詐欺サイトに誘導されて遠隔操作ソフトをインストールさせられたことにより、当該通販サイト利用客や同社従業員の個人情報が漏洩した恐れがある。(被害公表日:2024年11月8日)


      • 2024年2月、ロシア政府との繋がりがあるとされる脅威グループAPT29が、ドイツの複数政党に対してドイツ語で書かれたフィッシングメールを送付。その内容は、キリスト教民主同盟(同国の政党)が主催するディナーレセプションへの招待状に見せかけてあったが、本文内のリンクをクリックすると有害なZipファイルへとリダイレクトされ、マルウェア感染が始まる仕組みになっていた。


      • 2023年1月、米国マサチューセッツ州の労働組合が、ビジネスメール詐欺(BEC)により640万ドルを騙し取られる被害に遭った。同組合の投資マネージャーを騙る偽のEメールに騙された組合の担当者が、メールに記載された銀行口座へ送金してしまったことで金銭的被害が生じた。この投資マネージャーはかねてより組合の代理として電信送金を行っていたこと、正規の640万ドルの支払いが元々決まっていたこと、使われたメールアドレスは1文字を除いて本物のアドレスと同じだったことなどの要因から、メールが偽物だと見抜くのは難しくなっていた。

      ソーシャルエンジニアリングへの対策

      ソーシャルエンジニアリング攻撃のリスクを低減するためには、以下のような対策を実施することが有効です。

      セキュリティ担当者としてできること

      • 従業員教育:ソーシャルエンジニアリングの代表的な手口について周知しておくことは、被害の予防に繋がります。また、セキュリティ意識の向上を促して日頃からこうした攻撃への警戒心を持って業務を行ってもらうことも大切です。

      ※従業員への情報セキュリティ教育については、以下の記事でも詳しく解説しています:情報セキュリティ教育はなぜ必要?「人」が原因のリスクや教育内容について解説

       

      • 多要素認証(MFA)の導入:ソーシャルエンジニアリング攻撃によりパスワードを盗み出されてしまったとしても、MFAを有効化しておけば、次の認証でハッカーの侵入を防ぐことができる可能性があります。できる限りすべてのユーザーアカウントやデバイスにMFAを設定するのが理想的です。

      ※MFAについて詳しくは、以下の記事もご覧ください:多要素認証(MFA)とは?重要性や利点、種類などについてわかりやすく解説

       

      • SNSへの個人的な投稿を制限:攻撃者は、SNSなどのインターネットでなりすましやプレテキスティング用の情報を集めています。したがって、公開されているSNS上で個人的な情報を共有しすぎないよう従業員に注意喚起しておくことが大切です。

       

      • 情報収集:セキュリティニュースやセキュリティベンダーのレポートなどをチェックし、最新のソーシャルエンジニアリング戦術について把握しておくと、攻撃者に欺かれないようにするためにはどうすればいいのかが見えてきます。この知識は、自組織の防御力を高める上で役立ちます。

       

      <その他の有効な対策>

      • ソフトウェアやOSの随時アップデート
      • アンチマルウェア/アンチウイルスソフトウェアの導入
      • アンチフィッシングソリューションの導入
      • インシデント対応計画の策定
      • バックアップの作成およびオフラインでの保管
      • 有害なIPアドレスやファイル名、ドメイン名のブロック
      • 機密性の高い情報の定期的な廃棄

       

      従業員としてすぐにできる対策や、日々の業務で意識すべき点

      • メールなどに記載されたURLをクリックする前に、カーソルをURL上部でホバリングさせてリンク先を確かめるようにする

       

      • 受信したメールやメッセージなどに不審な点があった場合は、1人で判断せずにITチームなどに報告する

       

      • PC閲覧中に突如セキュリティ警告画面が表示された場合、サポート詐欺の可能性が高いため画面上の指示には従わず、まずセキュリティ担当者や上司に報告・相談する

       

      • 誰のものかわからない不審なUSBはPCに挿入しないようにする

       

      • 業務で使用しているソフトウェアやOSのアップデートが出たら、なるべくすぐに適用するようにする

      最後に

      ソーシャルエンジニアリングは、相手を焦らせたり怯えさせたり、あるいは油断させたりなどして心理的な隙を作り出し、そこを突いて重要な情報を奪い取るテクニックです。「人間の心理や感情」を相手にする手法であることから、対策のためには従業員への情報セキュリティ教育は欠かせません。今回紹介したような攻撃手口について周知したり、フィッシング対策トレーニングを実施することによってソーシャルエンジニアリングへの警戒心を育み、リスクを軽減できるようにすることが大切です。

       

      しかし、情報セキュリティに詳しい従業員が少ない、どんなふうに教育を進めればいいのかわからない、といった課題がある中小企業には、セキュリティコンサルティングのサービスを利用してみることをお勧めします。弊社マキナレコードでも、情報セキュリティ教育を含めた幅広いコンサルサービスを提供しています。詳しくは以下のバナーより資料をダウンロードしていただくか、弊社のホームページをご覧ください。

      セキュリティ体制構築支援資料ダウンロードリンク

      Writer

      佐々山 Tacos

      著者

      2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。

      Special Feature特集記事

      Cyber Intelligenceサイバーインテリジェンス

      Security情報セキュリティ