【企業担当者必見】ソーシャルエンジニアリングへの正しい対策方法

Q: ソーシャルエンジニアリングへの正しい対策

１. 実際に使われる会話例 ２. 社内で実践できる対策 ３. 電話代行を活用する

更新日：2023.10.23電話代行

ソーシャルエンジニアリングは各種情報を盗む手段であり、かねてより用いられていました。最近は手口が巧妙化し、様々な業種で被害が発生しています。とくに企業は、従業員の個人情報を狙われるリスクがあるため、情報漏洩への対策を怠れないでしょう。そこで今回は、ソーシャルエンジニアリングの具体的な手口や事例をふまえ、攻撃された時に想定される被害リスクや社内で実践できる対策をご紹介します。

1 ソーシャルエンジニアリングとは
2 ソーシャルエンジニアリングを受けた場合の被害
3 ソーシャルエンジニアリングへの正しい対策
4 この記事を読まれている方へのオススメ

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、様々なネットワークへ侵入するために必要な情報を盗む手口の一種です。以下では、この手口の具体的な手法・過去の実例・サプライチェーンと関連した被害についてご紹介します。

具体的な手法

ソーシャルエンジニアリングは、デジタル的な方法にこだわらず人間心理や油断からのミスにつけ込むところが特徴的です。具体的な手法としては、次の3つが広く知られています。

なりすまし

「なりすまし」は、ターゲットの家族・知人や仕事の関係者を装い、電話やメールで必要な情報を聞き出す手法です。古くから見られる手口であり、ソーシャルエンジニアリングの代表例に挙げられます。

盗み見

「盗み見」は、ターゲットが携帯電話やパソコンを操作する時、周囲から重要情報をのぞき見るパターンです。肩越しにパソコンのキー入力を除くケースが多く、「ショルダーハッキング」とも呼ばれています。

廃棄物の収集

「廃棄物の収集」は、ゴミ箱を探って仕事関係の廃棄資料や記憶媒体を入手する方法です。ゴミに由来する「トラッシング」の名もあり、企業のIPアドレス一覧や各種パスワードの情報収集が目的といわれています。

なりすましの電話や背後からの盗み見を警戒せず、また安易に重要資料を廃棄すると情報漏洩を招くリスクは高まると考えられます。

過去の実例

これまで実際に起きた事例は、企業の関係者を名乗るケースや、従業員と信頼関係を築いて情報を盗み出すケースなどです。企業の関係者を名乗ったケースでは、電話対応した従業員に研修参加者の氏名などを尋ねています。

一方、従業員と信頼関係を築いた事例の場合、ターゲットの警戒心が薄れた時点で不正メールを送信。結果として情報漏洩が発生しました。他には病院施設に医者と騙って情報を引き出すケースや、公的機関に要望を伝える素振りを見せ、油断させて個人情報を盗む事態も知られています。

サプライチェーン攻撃と関連した被害

様々なソーシャルエンジニアリングのうち、サプライチェーン攻撃は、近年になり増えてきた事例です。サプライチェーン攻撃は、商品・サービスの供給活動に関わる企業がターゲットになるケースを指します。各種製品の生産や運送を担う業者のなかで、セキュリティ対策の弱いところが狙われるといわれています。

近年、多くの生産業者・運送業者や販売業者は、店頭での売れ残りを減らすため密に連絡を取るようになりました。サプライチェーン攻撃は、この企業間のつながりに介入してきます。その際、取引業者を装って不正メールを送信してくる場合が多いことから、ソーシャルエンジニアリングの一種と見なされています。

ソーシャルエンジニアリングを受けた場合の被害

ソーシャルエンジニアリングを受けた場合に想定される被害は、情報漏洩・金銭の詐取・アカウントの不正利用などです。以下では、主なソーシャルエンジニアリングのリスクについて、実例を絡めながらご紹介します。

情報漏洩

情報漏洩は、実際のソーシャルエンジニアリングで多発している被害です。この手法による情報漏洩の被害は、一般企業をはじめ医療施設や公的機関まで広範囲に及んでいます。また、漏洩した情報も、職員や研修医の氏名・電話番号や行政サービスの利用者の個人情報まで多岐にわたります。

多くの場合、被害の規模は小さくありませんでした。医療施設からは研修医数十名の氏名・携帯番号が流出し、公的機関についても大量の個人情報が漏洩したと伝えられています。過去の実例をふまえた場合、職場の電話対応やメール受信で警戒を怠れば、大規模な情報漏洩につながるリスクがあると理解できます。

金銭の詐取

金銭の詐取も、ソーシャルエンジニアリングに伴う被害の代表例です。企業のシステム管理者と信頼関係を築いたケースでは、ウィルスメールが不正アクセスの足がかりになり、仮想通貨が流出する事件に発展しました。流出した金額は数百億円にものぼるといわれています。

また、仕事の取引相手を偽った手口の場合、費用の振込先が変更になった旨のメールが送られています。メールの受信者は通知を信じて料金を振り込みますが、後に本来の取引先から料金未納の連絡があり事件が発覚しました。親しい知人や仕事の関係者を装って油断を誘う電話やメールは、うっかり信頼すると金銭をだまし取られるリスクも伴うと考えられます。

アカウントの不正利用

ソーシャルエンジニアリングの被害としては、各種アカウントのパスワードを盗まれて不正利用される事例も挙げられます。このケースは、著名人になりすます手法が広く知られているでしょう。

他には、企業の従業員がSNSのアカウントを不正利用され、そこから詐欺のメッセージが送られ被害を招く事件も起きています。ソーシャルエンジニアリングの手口で各種アカウントのパスワードが盗まれると、なりすましに加えて詐欺目的で悪用されるリスクも危惧されます。

ソーシャルエンジニアリングへの正しい対策

企業でソーシャルエンジニアリングに伴う被害を防ぐには、適切に対策することが重要です。以下では、この手口で実際に使われる会話例をふまえ、社内で実践できる対策や電話代行を活用する有用性についてご紹介します。

実際に使われる会話例

ソーシャルエンジニアリングで実際に使われる会話例としては、以下のようなケースが挙げられます。

攻撃者：いつもお世話になっております。☐☐会社の△△です。以前に伺っていたパスワードを忘れてしまったので、もう一度、教えていただけますか？

ターゲット：いま仕事の手が離せないので、折り返しでかまいませんか？

攻撃者：すみません。ちょっと急ぎで、すぐ教えていただけると助かります。

ターゲット：承知しました、すぐに確認します。（確認中）お待たせしました、パスワードは〇〇〇〇です。

攻撃者：ありがとうございます。助かりました。では、失礼します。

ターゲット：はい、失礼いたします。

他には、「システムの不具合で情報漏洩した恐れがある」などと説明し、パスワードの確認を求める例もあります。最近は手口が巧妙化し、緊急性や重要性を強調して疑う余地を与えずに情報を盗むところが特徴的です。

社内で実践できる対策

社内でソーシャルエンジニアリング対策する場合、各種情報の扱い方についてルールを策定することが大切です。電話やメールで氏名・電話番号・パスワードなどを聞かれた場合、その場で伝えてはいけないと定めておけば、情報漏洩の防止につながります。「急いでいる」と回答を迫られても、「社内ルールだから」と説明すれば断りやすくなるでしょう。

外回りや電車移動の最中など、従業員が社外で作業する時は、周囲を確認するように注意を呼びかけると、ショルダーハッキングを防ぐのに効果的です。また、文書資料や記憶媒体は復元できない処分方法を徹底すれば、トラッシングの回避に役立ちます。

常にソーシャルエンジニアリングを疑うことは難しいと考えられますが、社内で正しく対策した場合、被害は抑えやすくなると期待できます。