ソーシャルエンジニアリングとは?

10.26.2020  - 投稿者  カテゴリー: セキュリティ

ハッキングとソーシャルエンジニアリングは2つの異なる単語ですが、高い関連性があります。

ハッキングとは方法に関係なく誰かがコンピュータネットワークや情報に不正にアクセスすることで、ソーシャルエンジニアリングとは、心象操作を行い、機密情報を取得したり、見てはいけない第三者の情報にアクセスしたりすることです。

このような広い定義を考えると、ソーシャルエンジニアリングは信用詐欺やスパイと同じくらい古いものですが、ソーシャルエンジニアリングについて話す時は通常、ある種のコンピュータシステムにアクセスするという文脈でソーシャルエンジニアリングについて話されます。

「ソーシャルエンジニアリング」という用語は、ハッキングによって有名になったハッカーのケビン・ミトニックによって作られた単語です。ソーシャルエンジニアリングとは、嘘をついたり、強要したり、甘い話をしたり、その他多くの方法で自分の望むものを手に入れるために使用するテクニックを表します。

ソーシャルエンジニアは誰か?

ソーシャルエンジニアには3つの広いカテゴリがあります。

政府関係者の場合

  • インテリジェンスエージェント

ソーシャルエンジニアは政府にとって価値のある情報にアクセスしようとします。

  • 法執行機関

調査を行うため、または倫理的ではありませんが、抑圧的な政権を持つ国などでは標的を脅迫したり嫌がらせをしたりするために、ソーシャルエンジニアリング技術を使用する場合があります。

  • サイバー兵士

2016年の米国大統領選挙でサイバー戦争が注目されました。サイバー戦争ではソーシャルエンジニアリングを使用して他の国をより直接的に攻撃します。例えば、米国がStuxnetという産業用制御マシンを標的としたウイルスに感染したサムネイルドライブを密かに設置してイランのウラン処理装置を妨害したケースなど。

企業の場合

  • セキュリティの専門家

「ペネトレーションテスター」とは、企業に雇われてネットワークとシステムの安全性をテストする人のことです。彼らはソーシャルエンジニアリングを使用して機密情報へのアクセスを試みます。

  • 情報ブローカー

情報ブローカーは、情報の販売を専門とする会社です。情報ブローカーの従業員は、ターゲットに関する情報を取得するためにソーシャルエンジニアリングを使用することがあります。

  • ヘッドハンター

ヘッドハンターは、特定の人材を採用するために会社に雇われています。ソーシャルエンジニアリングを使用して、知り合いのふりをして、特定のスキルに関連するタスクについて依頼して期待するスキルを持っているかどうかを確認したりするなど、採用候補者に関する詳細情報を取得する場合があります。

  • 企業スパイ

競合他社に関する情報を収集するためにスパイが雇われることもあります。

犯罪者

なりすまし犯罪

なりすまし犯罪者があなたの銀行口座にアクセスするためにあなたの身元を盗もうとしている場合であったり、様々な理由でオンラインであなたになりすまそうとしている可能性があります。

  • 会社に不満を持つ従業員

会社に不満を持つ従業員は、実施されているセキュリティ手順に精通している可能性があり、社員しか知り得ない情報や場所、オフィスについて言及することでソーシャルエンジニアリングを行う可能性があります。

  • 詐欺師

最後に、詐欺師はあなたを操作するソーシャルエンジニアリングを工夫して行うことで生計を立てています。

ソーシャルエンジニアリングの動機について

人間の動機は複雑に見えますが、実際には基本的な動機に帰着することが多いです。動機のいくつかは上記のような理由である可能性がありますが、ソーシャルエンジニアは他にも以下のような理由でターゲットを騙したいと思っているかもしれません。

  • お金稼ぎ

ソーシャルエンジニアはお金のために詐欺行為を行っているかもしれません。お金稼ぎは非常に身近な動機であり、ほとんどのフィッシング詐欺やその他詐欺行為の中心がお金です。通常、誰かがあなたのお金を盗もうとます。

  • 政治的理由

ソーシャルエンジニアリングを含むハッキング技術を使用して、国内や国外の相対する政治的思想を持つ個人、企業、政府、または非営利団体を標的とする「ハッキング主義者 (hacktivists)」に加えて、政府機関がソーシャルエンジニアリングを使用して政敵を追いかけることも同様に一般的です。

  • 個人的な楽しみ

ソーシャルエンジニアリングが上手いハッカーの中には、自分の個人的な楽しみのためにこういった犯罪行為を行っている人もいます。これは以下の理由にも関連します。

  • 承認欲求を満たすため

善行悪行関係なく大きなことを成し遂げたと言いたい、というようなエゴや承認欲求を満たすためにソーシャルエンジニアリングを行う人もいます。

  • 復讐のため

大規模なハッキングを達成したことの満足感ではなく、元従業員が解雇した雇用主を陥れるためにハッキングを行うなど、理由は個人的なことかもしれません。

  • 社会的帰属感を得るため

誰もが自分がグループの一員であると感じたいと思っており、社会集団の人々は互いに互いを印象づけるために何かをしています。ソーシャルエンジニアは、自分が所属している、またはなりたいグループに印象を与えることに興味があるかもしれません。

ソーシャルエンジニアリングはどのように機能するか

ソーシャルエンジニアが誰であれ、その動機が何であれ、ソーシャルエンジニアリングとは、他者が知り得ない機密情報を渡してはいけない第三者に渡すように誘導することです。

通常、ソーシャルエンジニアリングは、ターゲットに安心感を与えて機密情報を差し出しやすくさせます。一般的にソーシャルエンジニアは、「プリテキスティング (pretexting)」と呼ばれるものを使用してこれを行います。

例えば、ソーシャルエンジニアが銀行に電話してその人になりすますことで、誰かの銀行口座にアクセスしようとしたり、配達員に扮したり、同僚 (特に大規模な組織にとっては問題の火種になりやすい) や上司になりすましたりして職場の情報にアクセスすることも含まれます。

「プリテキスティング」のために行う事前調査や計画が詳細であれば詳細であるほど、成功する可能性が高くなります。

ソーシャルエンジニアはどのようにして機密情報を得るのか?

機密情報を取得することがソーシャルエンジニアの一般的な目標ですが、欲しい機密情報を取得するために必要な信頼を得るための基本情報を得ることも重要になります。

まず第一に、インターネット上に無料で知ることができる情報がたくさんあることを意識しましょう。無料で入手できる情報は生年月日、電話番号、メールアドレス、住所など、一見すると機密情報漏洩には関係がない情報である可能性があります。

この基本情報を使用して、ソーシャルエンジニアは銀行口座などの個人アカウントにアクセスできる可能性があります。

また、ゴミ箱を漁って情報を収集する場合もあります。個人や企業は企業にとって紙などに書かれた重要な情報を確認後ゴミ箱に捨ててしまい、そのゴミがソーシャルエンジニアの手に渡り、情報を知られてしまうという場合も考えられます。

最後に、諜報機関が「誘い出し (elicitation)」と呼ぶ方法があります。これは、実際に情報を求めずに情報を取得する技術です。オンラインでのチャットやカジュアルな会話によって情報を相手から話させることが誘い出し (elicitation) と呼ばれます。特に機密性の高い情報にアクセスできる人の場合は、たとえ小さな話であっても、見知らぬ人にどのような情報を提供するかについて注意することが重要です。職場について他愛もないことをを説明するのは無害に思えるかもしれませんが、機密情報へのアクセスを得るために使用される可能性があります。

人々はどのようにソーシャルエンジニアリングで欺かれるか?

ソーシャルエンジニアリングで使われるテクニックにはいくつかの種類があります。通常、ソーシャルエンジニアは人を騙す時にある種の認知バイアスを利用しています。一般的な手法は次のとおりです。

  • 権威に訴える

ミルグラム実験について知っている場合は、ある人を権威として認識しているという理由だけで、人がどれだけその人に従いやすくなるかを知っています。ソーシャルエンジニアは警察官、マネージャー、担当者など、権限があり責任がある人のように振る舞います。

ソーシャルエンジニアリングでは、誰かがソーシャルエンジニアに従い、機密情報を渡すことになります。なぜなら、その人はある種の権威であると考えているからです。「ナイジェリアの王子」と呼ばれる詐欺の一つ上のレベルのフィッシング詐欺師によってよく使用されます。たとえば、重要なクライアントとの会議で上司になりすまして、その顧客を満足させるために送金する必要があるメールを送信するなど、あなたの上司になりすまして、彼らは権威に訴えてる可能性があります。

  • 埋没費用

「埋没費用」での誤りとは、時間、お金、労力など、何かに多額の投資をした後は、たとえその投資が報われず、非生産的であることが証明されていものだとしても、「それを見定める」ために投資を続けるべきだという考え方です。ソーシャルエンジニアは、こういった人間の傾向を利用して、「今までやってきたのだからこれからもやり続けよう」と行動を促す可能性があります。

  • 一貫性

人々が基本的に一貫性を保ちたいという考えに基づいているという点で、埋没費用の誤謬と同じで、騙されていると自分ではわからないように相手にコントロールされます。この手法は刑事尋問でよく使用されます。例えば、容疑者は嘘をついている特定の犯罪への関与について明確にするよう求められるのではなく、関係する人物、場所、または事柄を説明できるようにするなど、より小さな詳細に説明するよう求められる場合があります。探偵は、この小さな説明の積み重ねを利用して、その人の行動を前の供述との一貫性を保つように指示できます。この手法を使うことで誰でも他の人から情報を取得することが可能です。

  • 相互主義

相互主義とは、社会心理学からの用語であり、基本的には、前向きな行動に別の前向きな行動で対応することを意味します。

この相互主義を利用したソーシャルエンジニアリングには何種類かの手法があります。一般的な例は誰かに褒めるということです。褒め言葉を受け取ると、当然、誰かが見返りに何か良いことをしたいと思うようになります。しかし、これは交渉や価格の高騰などの状況にも当てはまります。誰かが最初の申し出から一定の金額を譲歩するとき、最初の譲歩は一種の「贈り物」として理解されるので、他の人もいくつかを譲歩する必要を感じます。

  • 希少性、FOMO (Fear Of Missing Out)

ソーシャルエンジニアはまた、希少性やあなたの「周りから取り残されることへの恐れ (Fear of missing out)」を利用するかもしれません。この感覚は、警戒を緩めるような切迫感を生み出すためによく使用されます。

「今すぐ行動すれば…」や「残りxだけ…」などのフレーズを使用すると、多くの人はメール内のリンクを詳しく調べなくてもクリックするようになります。

  • 社会的証明

これは社会心理学の別の概念ですが、基本的には、夜の初めにバーテンダーがチップを入れる瓶にお金を入れることによって求められる効果です。これにより、顧客は他の人がチップを払ったことがわかるので、チップを渡すようになります。それは、他の方法ではできない決定を人々に行わせる一種の社会的義務感を生み出します。

こういった手法は全て心理的に誰かを操作するために使用できる方法であり、上記の例の多くが示すように、ソーシャルエンジニアリングで必ずしも悪意を持って使用されるとは限りません。ただし、このような人から情報を引き出す手法は人の生来の偏見や行動傾向に依存しており、許可されるべきではない場所や情報、システムへのアクセスを第三者に共有させるために利用されることがあります。

ソーシャルエンジニアリングから自分を守る方法

ソーシャルエンジニアリングを回避する唯一の現実的な方法は、注意をするということです。機密情報に囲まれている職場や業界で働いている場合は、会ったばかりの人に詳細について話さないようにしてください。顧客からの質問や電話に答える場合、他の人が自分ではない人になりすまして電話をかけたり、上記のテクニックを使用したりする可能性があることに注意してください。

電話には出ないけれど意思決定力を持っている場合は、チームが十分に訓練されており、ソーシャルエンジニアリングを防ぐためのプロセスが整っていることを確認してください。

最後に、フィッシング攻撃は最も一般的な種類のソーシャルエンジニアリングです。機密情報を尋ねるメールを受け取ったときは、急いで行動を起こしてはいけません。時間をかけて内容を確認してください。慎重にメールにあるURLと送信者のメールアドレスを確認してください。あなたに連絡している人が、なりすましではなく本当にその人であるという証拠を聞いたりして確認してください。

自分が犠牲者になったと思う場合

⚠️ 関係機関にすぐに報告してください!

銀行や携帯電話プロバイダーなど、アカウントの監視が必要になる可能性のある機関に連絡してください。機密性の高い職場の情報が盗まれた可能性がある場合は、雇用主や上司に連絡してください。全てのパスワードを変更し、必要に応じて警察に報告してください。

そして、銀行から電話がかかってきた場合は、電話をかけ直すための内線番号を要求したりするなど、どんな時でも確認することを忘れないでください!

—–

Gandi のSNSアカウントをフォローしてドメイン名関連のお役立ち情報や割引情報を受け取りましょう!

Twitter : https://twitter.com/Gandi_JP
Facebook : https://www.facebook.com/gandijapan