昨今の企業はネットワーク上の脅威だけでなく、「ソーシャルエンジニアリング」のリスクへも備える必要があります。従業員が悪意のある攻撃を回避できるように、事前の対策が重要視されます。本記事ではソーシャルエンジニアリングの基本と攻撃手法、具体的な対策などを解説します。
ソーシャルエンジニアリングとは何か?
皆さんはソーシャルエンジニアリングについて、正確に理解できてるでしょうか。企業はすべての従業員に対して、ソーシャルエンジニアリングの意味や脅威を把握してもらう必要があります。そこでまず、ソーシャルエンジニアリングの基本について解説します。
心理的な隙を利用してIDやパスワードを盗む方法
ソーシャルエンジニアリングとは、人の心理的な隙につけ込み、IDやパスワードなどのアクセス情報を漏洩させる攻撃のことを指します。ネットワークに直接攻撃を仕掛けるサイバー攻撃の方法とは異なり、企業の従業員を利用して必要な情報を盗み出す手口となります。
従業員のリスク管理やセキュリティ意識次第では、ソーシャルエンジニアリングによって大きな被害につながる可能性があります。その点を考慮して企業は必要な対策を明確にし、従業員に浸透させることが求められます。
ソーシャルエンジニアリングによる被害は拡大している
昨今はソーシャルエンジニアリングの手口が巧妙となっているため、未然に防ぐのが難しいケースが多いです。サイバー攻撃へのセキュリティ対策が万全でも、ソーシャルエンジニアリングによって情報漏洩などの問題が発生する事例も珍しくありません。企業はソーシャルエンジニアリングの危険性と具体的な手法に対する備えが必要です。
「サイバー攻撃へのセキュリティ対策は万全!」と慢心せず、ソーシャルエンジニアリング向けの手段も別で講じることが重要です。
ソーシャルエンジニアリングの攻撃手法
ソーシャルエンジニアリングに分類される攻撃方法には、いくつかの種類があります。それぞれの攻撃手段を把握し、対策を考えることが必要です。以下を参考に、ソーシャルエンジニアリングの攻撃手法を確認してみましょう。
ソーシャルエンジニアリングの攻撃手法1.ビッシング
「ビッシング(ボイスフィッシング)」とは、情報を知る従業員に電話で直接ID・パスワードなどを聞き出す手法のことを指します。自社の従業員やヘルプデスクなどのふりをして、情報を引き出す方法があります。社内からの連絡であると従業員が誤認してしまうと、警戒せずにIDやパスワードを教えてしまう可能性が高いです。
また、SMSなどのメッセージを使って情報を聞き出す手法もあり、こちらは「スミッシング」と呼ばれます。
ソーシャルエンジニアリングの攻撃手法2.ショルダーハッキング
「ショルダーハッキング」とは、パソコンなどのデバイスを覗きみて、情報を盗み出す手法です。肩越しにパソコンの画面を覗く様子から、ショルダーハッキングという名で呼ばれています。日常的な行動に思えますが、これもまた立派なソーシャルエンジニアリングによる攻撃に分類されます。
昨今はリモートワークの増加によって、カフェやコワーキングスペースで仕事をする人も増えています。席を離れた隙などを狙って情報を抜き取られる可能性もありますので、社外でパソコンを開く際には充分に注意することが必要です。
ソーシャルエンジニアリングの攻撃手法3.トラッシング
「トラッシング」とは、ゴミ箱から重要な情報を盗み出す手法のことです。ゴミ箱に捨てた資料やUSBなどの外部デバイスを盗み出し、そこから情報を得る攻撃方法です。1度捨てたものに対する警戒心は薄れるため、攻撃者にとってゴミ箱は重要な情報源となり得ます。
IDやパスワード、サーバーやネットワーク情報が記載されているものは、簡単に処分しないように注意が必要です。
ソーシャルエンジニアリングの攻撃手法4.フィッシング
「フィッシング」とは、有名企業やサービスの名前を語って、個人情報を入力させる方法のことを指します。一般的にはメールやSMSにURLを添付し、アクセス先でIDやパスワードを入力させる方法が実践されています。
有名企業や使用しているサービスからの連絡であることに安心して、IDやパスワードを入力してしまい、操作権を乗っ取られたり個人情報を流出させたりするケースが増えています。企業をターゲットにする場合、権限のある社内の特定の人物を狙い、重要な情報を盗み出す「スピアフィッシング」という方法が実施されています。
ソーシャルエンジニアリングの攻撃手法5.スケアウェア
「スケアウェア」とは、ターゲットに危険が迫っているようにみせかけて、情報を入力させる攻撃方法のことです。例えば「ウイルスに感染しています」「データが破損しています」などのメッセージを画面に表示し、問題を解決するためと偽って情報を入力させるケースがあります。
もちろんウイルス感染やデータ破損は起きていないため、情報を入力する必要はありません。仮にそれらのトラブルが発生していても、情報を入力するだけで解決することはないため、サイバー攻撃であることは明白です。しかし、突然のメッセージや警告音に驚いて冷静さを失い、情報を抜き取られるケースは珍しくありません。
ソーシャルエンジニアリングによるリスク
ソーシャルエンジニアリングによる攻撃は、企業にとってさまざまなリスクとなります。対策をせずに放置すると、大きな問題に発展する可能性もあるでしょう。以下では、ソーシャルエンジニアリングがもたらすリスクについて解説します。
個人情報や機密情報の漏洩につながる
ソーシャルエンジニアリングは、企業の持っている情報を盗み出すために実施されます。そのため攻撃に気づかずにいると、個人情報や機密情報を大量に漏洩する結果につながる可能性が高いです。個人情報が流出すれば、対象者に対して補償する必要があります。損害賠償を支払う必要性などが生じると、金銭的な問題で企業の存続が危ぶまれるケースも懸念されます。
また。機密情報が流出すれば、事業の方針転換を迫られたり、外部から問題を追求されたりする可能性もあります。
従業員が精神的に追い込まれる
ソーシャルエンジニアリングは、1人のミスが大きな問題に発展する攻撃方法です。問題の原因となった従業員は、精神的に追い込まれるケースが多いでしょう。最悪の場合、罪の意識に耐えられずに退職などにつながるリスクもあります。ソーシャルエンジニアリングが発生した際には、問題の対処に加えて、当事者である従業員のケアも必要です。
仕事に支障が出る可能性も高い
ソーシャルエンジニアリングの脅威は、仕事に支障をきたす可能性もあります。攻撃のリスクを確認したり、対策を考えたりするために、多くの時間がかかります。結果的に仕事に使える時間が減り、進捗の遅れにつながるケースも考えられるでしょう。また、サイバー攻撃は近年多様化しているため、ソーシャルエンジニアリング以外の脅威にも対策が必要です。
サイバー攻撃の種類やリスクを確認し、それぞれの対策を実行するには、とてつもない時間と労力を要します。そのためサイバー攻撃への対策は、専門の外部サービスに委託し、プロの知識・技術を使うのも一つの手です。
ソーシャルエンジニアリングへの対策方法
ソーシャルエンジニアリングへの対策方法には、いくつかのパターンが考えられます。実際にどのような対策が導入できるのか知り、自社にあった方法を選択することが最初のステップになります。以下では、ソーシャルエンジニアリングの対策方法を解説します。
ソーシャルエンジニアリングのリスクを共有する
ソーシャルエンジニアリングは従業員に対して実施されるものが多いため、従業員が事前に脅威を理解しておく必要があります。ソーシャルエンジニアリングの攻撃方法や懸念されるリスクを共有し、一人ひとりが注意できる環境を構築するのが対策の一環です。ソーシャルエンジニアリングについて教育する機会をつくり、セキュリティ意識の向上を目指すと良いでしょう。
自社にセキュリティの専門知識を持つ人材がいない場合には、外部サービスに委託して指導してもらう方法もあります。
職場の入退室管理を実施する
ソーシャルエンジニアリングでは、物理的に企業に侵入するケースもあります。不審者が簡単に入り込めないように、職場の入退室管理を徹底するのも対策の1つです。例えば社外の人が入室する際には、オフィスで氏名と会社名の記載を依頼して管理する方法があります。そのほか、セキュリティゲートの設置など、デジタル機器での管理方法も検討できます。
自社で対応できる範囲を確認し、実現性の高い施策を考案することがポイントです。
メールの開封やURLへのアクセスを禁止する
仕事に関係のないメールの開封やURLへのアクセスを禁止し、問題の発生をルールを使って防止する方法も有効です。従業員が個人で判断せず、不審なメールやSMSを受け取ったら報告する体制を構築することが考えられます。セキュリティ対策の部署・チームを設置し、少しでも怪しいと思われるメールは報告するようにルール化します。
ルールが社内に浸透すれば、安易にメールやSMSを開く可能性を下げられます。また、新入社員が入った際にはあらためて指導し、ソーシャルエンジニアリングの脅威を伝えるのが重要です。
文書はシュレッダーにかけてから破棄する
ゴミ箱から情報を盗み出すトラッシングを防止するために、書類を破棄する際にはシュレッダーにかけるのがポイントです。内容が判別できる状態では破棄せず、必ずシュレッダーなどで裁断することをルールに沿えると良いでしょう。簡易的なシュレッダーや手で破いた程度では、悪意のある第三者に修復される可能性があります。
細かく裁断できるマイクロカットなどを活用し、トラッシングを完全に防ぐための対策が求められます。
リモートワーク時のルールを明確にする
リモートワークを行う際には、デバイスの管理や使用方法に関するルールを明確にします。例えば「毎回パソコンをロックする」「席を離れる際にもデバイスを手放さない」など、基本的な扱い方を決めておくことで、ショルダーハッキングなどを防止できます。また、デバイスを直接盗まれる危険性も減るため、より安全な環境でリモートワークを行えます。
そのほか、内部からの攻撃を避けるために、重要情報はクラウドなどに保存し、アクセス権限をかける方法も考えられます。
ソーシャルエンジニアリング対策の課題
ソーシャルエンジニアリングへの対策には多数の方法がありますが、そのなかには課題もあります。対策の内容や方法次第では、ソーシャルエンジニアリングを防ぐには不十分となる可能性もあるでしょう。以下では、ソーシャルエンジニアリング対策が抱える課題について解説します。
ソーシャルエンジニアリングは完璧な対策が難しい
ソーシャルエンジニアリングは、どれだけ対策しても完全に防ぐことは難しいのが現状です。対策が形骸化すると、従業員の心の隙をつかれて、情報を盗まれる可能性は否定できません。企業はソーシャルエンジニアリングの防止策だけでなく、問題発生後のインシデントの対策も考えておく必要があります。
専門家に委託して万が一の脅威に備える
ソーシャルエンジニアリングの脅威に備えるには、専門家の知識・技術が役立ちます。プロのスキルを活用できるように、外部サービスにセキュリティを委託する方法がおすすめです。セキュリティサービスのなかには、様々なサイバー攻撃に対して、一気通貫で対応してくれるケースもあります。
ソーシャルエンジニアリングへの対策をきっかけに、職場のセキュリティ対策が強化できるのが理想です。この機会にソーシャルエンジニアリングを含むあらゆるサイバー攻撃に備えて、外部委託を検討すると良いでしょう。
まとめ
ソーシャルエンジニアリングはサイバー攻撃の一種であり、すでに多くの企業が被害にあっています。ネットワークに直接侵入するなどの方法はとらず、アナログな攻撃方法を実践するため、完璧な対策が難しいとされています。まずはソーシャルエンジニアリングの基本とリスクを把握し、詳細を社内で共有することから始めてみましょう。
ソーシャルエンジニアリングおよびサイバー攻撃への対処は、プロのサービスに委託する方法がおすすめです。「Proactive Defense」は各種セキュリティシステムの導入支援や従業員のセキュリティ意識向上のトレーニング、セキュリティ脆弱性診断やセキュリティホールの発見と解決など、あらゆる方法で支援を実施しています。
この機会に「Proactive Defense」のサービスを、ぜひご確認ご検討ください。
