-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ソーシャルエンジニアリングとは、人間の心理的な隙や弱点などを突いて、相手に自らの望む行動をさせるよう誘導する手法のことを言います。ニュースなどでも話題になることの多いフィッシング攻撃も、ソーシャルエンジニアリングの1つです。フィッシング攻撃においては例えば実在の企業やサービスの名を騙ったEメールで「お客様のアカウントで異常なログインが検出されました」などと伝えてユーザーを焦らせ、「こちらのページで利用状況を確認してください」といった指示によりフィッシングサイトへ誘導します。「異常なログイン」という言葉に動揺し、冷静さを欠いたユーザーは偽サイトと気づかずに自らのログイン情報を入力してしまうかもしれません。
ソーシャルエンジニアリングにはフィッシングのほかにも、「お得な情報」や「サポート」などと引き換えにアクセス権や認証情報などを提供させる「クイド・プロ・クオ」と呼ばれる手法や、実在の組織や人物になりすましてターゲットを油断させて騙すビジネスメール詐欺(BEC)や標的型攻撃メール、無料のゲームや音楽など、魅力的なオファー広告を餌にターゲットをおびき寄せて個人情報を奪う「ベイティング」など、さまざまな種類があります。
このほか、PCで情報を入力している人物に背後から近づき、画面を覗き見てパスワードなどの重要な情報を入手する「ショルダーハッキング」という手口や、本来従業員しか入ることができない施設や執務室へ、配達員や清掃員を装うなどして従業員の後について入室する「テールゲーティング」など、よりアナログ(対人)な手口もあります。
ソーシャルエンジニアリングの手法が使われた実際の事件や攻撃事例、対策などについては、こちらの記事もご覧ください:
とは?.jpg)
