ブログ

ソーシャルエンジニアリングとは?5つの被害事例と攻撃の手口・対策を解説!

2024/09/25 ブログ

 

ソーシャルエンジニアリングとは何か気になるけれど、被害事例はあるの?

 

ソーシャルエンジニアリングには、どのような被害事例があるのでしょうか。

 

今回は、ソーシャルエンジニアリングの5つの被害事例を解説します。また、ソーシャルエンジニアリング攻撃の手口や対策もまとめました。

 

これを読めば、ソーシャルエンジニアリングとはどのような攻撃なのかを理解することができ、攻撃の手口や対策を知ることができます。

 

先に結論を言うと、ソーシャルエンジニアリングはサイバー攻撃の一種であり、身近に起きる可能性があるため、被害事例や攻撃の手口を知り、十分な対策を立てることが大切ですよ。

 

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの情報をインターネットなどの情報通信技術を使わずに入手する方法のことです。

 

重要なもので言えばサイバー攻撃、身近なもので言えば家族のPCやスマホのパスワードを覗き見ることもソーシャルエンジニアリングに該当します。

 

他にも、組織の関係者になりすまして電話をかけ、システムやサービスに不正ログインするためのパスワードを聞き出すなどの手口があります。

 

攻撃者は、人間の心理的な隙や行動のミスに巧妙につけ込み、アナログ的な手口で情報を搾取していくという特徴があります。

 

ソーシャルエンジニアリング攻撃の5つの被害事例

近年、サイバー攻撃は巧妙化しており、ソーシャルエンジニアリングを用いた攻撃は増加傾向にあります。万が一、被害を受けた場合にも被害事例を知っておくことで対策を立てることが可能です。

 

では、ソーシャルエンジニアリング攻撃の5つの被害事例について、具体的に見ていきましょう。

 

2015年、年金機構の情報漏洩

年金機構に勤務する社員に対して、外部のアドレスから政策に関する提言を装った件名でメールが届き、情報漏洩に発展する事件が起きました。

 

メールの添付ファイルを開封したことが原因で端末がマルウェアに感染し、不審な通信が生じたことから感染端末を隔離して社内へ注意喚起を行ったと報告されています。

 

しかし、注意喚起が行き渡らず、社員に送付された不審なメールの開封が相次ぎ、感染端末が複数に及んだことから調査を実施しました。その結果、年金加入者の個人情報が大量に流出したと判明しました。

 

2017年、JALにおける金銭被害

JAL(日本航空)がリバース・ソーシャルエンジニアリングの金銭被害を受けた事件です。

 

日頃からやり取りをしている取引先を何者かが装い、クライアントになりすました攻撃者から、リース費用の振込先変更のメールが届いたことが原因で、事件に発展しました。

 

JALは、新しい偽の振込先に約3億6千万円を振り込んでしまい、偽の振込先に振込後、正規の振込先から支払いの催促がきて金銭被害が発覚しました。

 

2018年、新潟県の県立病院における医師の個人情報の流出

新潟県の県立病院において、なりすまし電話によるソーシャルエンジニアリングが発生し、研修医52名の個人情報が流出する事件が起きました。

 

医師を名乗る者から同病院に勤務していた研修医の氏名及び携帯電話の番号の問い合わせがあり、口頭で回答したことが原因と報告されています。電話終了後に不審に思った上司が電話番号を確認したところ、虚偽の問い合わせであったことが判明しました。

 

また、県立病院は、漏洩した個人情報が2014年6月以降に同病院に勤務していた研修医52名の氏名及び携帯電話の番号であると発表しています。

 

2018年、暗号資産取引所の通貨流出

暗号資産取引所において、不正アクセスの手掛かりを得た攻撃者により、約580億円分の仮想通貨を不正に流出させる事件が発生しました。

 

攻撃者がシステム管理者にマルウェアを仕込んだメールを送信し、SNS経由で接触したことが原因と報告されています。

 

攻撃者は、システムの管理権限を持つ技術者を割り出し、犯行の半年ほど前から時間をかけて交流を重ねる間、不審な行動を一切行わず技術者の信用を得ました。

 

2020年、三菱重工への不正アクセス

三菱重工グループ名古屋地区のネットワークに対して、第三者からの不正アクセスによる事件が発生しました。

 

在宅勤務を行っていた社員が自宅にて、社用PCを社内ネットワークを経由せずに外部ネットワークへ接続し、SNSを利用したことが原因で事件に繋がりました。

 

社員がソーシャルエンジニアリングを仕掛けられたかは明確にはされていませんが、SNSを利用した攻撃であることは間違いないと報告されています。

 

ソーシャルエンジニアリング攻撃の主な手口とその対策

ソーシャルエンジニアリング攻撃にはいくつかの種類や手口があり、攻撃者は様々な情報を積み上げて攻撃を実行しようとします。被害を受けないためにも主な手口や対策を知っておかなければなりません。

 

では、ソーシャルエンジニアリング攻撃の主な手口とその対策について、具体的に見ていきましょう。

 

ショルダーハッキング

ショルダーハッキングは、PCやスマホを使用している人の背後などから画面を覗き見する手口です。入力中のIDやパスワードを記憶したり、機密情報が記載されているメールの内容を盗み見たりします。

 

また、ショルダーハッキングは、攻撃の痕跡が残らないため、不正アクセスなどの被害に遭うまで情報を盗み取られたことに気付けない可能性が高いです。

 

物理的に覗き見られることが問題となるため、人目がある環境ではIDやパスワードなどのログイン情報を入力しないことが対策となります。

 

なりすまし電話を利用して個人情報を聞き出す

なりすまし電話は、関係者や取引先などの特定の人物になりすまして電話をかけ、個人情報を盗み取る手口です。「パスワードを忘れてしまったので、教えてください」などと言って情報を聞き出そうとします。

 

古典的な方法ですが、声だけのやり取り、対面ではないからこそ相手を油断させやすいです。

 

社内で統一して電話対応のルールを定めたり、取引先やクライアントに別途電話やメールで連絡を入れたりして、本当に関係者かどうか確認することで対策を立てることができます

 

マルウェア感染(スパイウェア)

スパイウェアは、感染することで端末内の情報を盗み取り、その情報を悪意ある第三者へ送信するマルウェアです。ネットワークを介して社内の端末に感染させ、機密情報を抜き取る際にも利用されます。

 

また、IDやパスワードなどのログイン情報やクレジットカードなどの決済情報が漏洩してしまうとなりすましや金銭的被害に発展するリスクも高まります。

 

セキュリティソフトの導入、社内ルールの周知・徹底、外部ネットワークに接続しない、外部から記憶媒体を持ち込まないなどして対策を行いましょう。

 

トラッシング

トラッシングは、ごみ箱の中を漁って個人情報や機密情報が記載された書類などを盗み出す手口です。

 

また、紙媒体に限らず、USBメモリなどの記憶媒体をデータを削除せずに廃棄してしまうと、同じく情報を窃取される可能性があります。捨てられた資料から、サーバやルータのパスワードを読み取られることも珍しくありません。

 

重要な情報が記載された書類や印刷物・記憶媒体を処分する際は、シュレッダーにかけたり、データを初期化したりして外部に情報が流出しないよう対策をしましょう

 

フィッシング詐欺(スミッシング)

フィッシング詐欺は、情報の窃取を目的としたサイバー攻撃の一種です。メールなどで不正なURLに誘導し、偽サイト・偽フォームに氏名や電話番号、クレジットカードなどの個人情報を入力させ、不正利用することを目的としています。

 

また、フィッシング詐欺の中でも、スマホのSMSを利用する手口をスミッシングと呼びます。近年では、通販サイトや宅配業者などを模した不審なSMSによるスミッシング被害が増えています。

 

セキュリティソフトの導入、不審なメールは開かない、SMSに記載されたURLはクリックしないなどして対策を立てることができます。

 

スケアウェア

スケアウェアは、PCの画面上に「お使いのiPhoneが(13)個のウイルスにより深刻なダメージを受けています」などの警告文を表示させ、有料ソフトやサービスを購入させる手口です。

 

「ウイルスを駆除したい場合は今すぐこちらのソフトを購入してください」などの危機感を煽る文章でターゲットを誘導し、利益を得ることを目的としています。

 

画面上に警告文が表示された場合は、基本的に偽警告だと疑うことが重要です。安易に警告の指示に従わず、ブラウザを閉じ、冷静に対処しましょう。

 

対策としては、データのバックアップやポップアップのブロック設定をすることです。

 

リバース・ソーシャルエンジニアリング

リバース・ソーシャルエンジニアリングは、メールなどでパスワードの更新通知やサポート番号の変更を促し、ターゲットが主体的に連絡を要求するように仕向ける手口です。

 

「サポート窓口のメールアドレスが新しく変更されました」というようなメールをユーザに送付し、連絡を促します。

 

対策としては、重要な通知はメールを使用せずに別の方法に統一するメールへの対応を社内ルールで統一する外部からの不審なメールはシステム側で判別してもらうなどがあります。

 

SNSを悪用して個人情報を盗む

特定の人物になりすまして、SNS経由で接近してターゲットの情報を盗み取る手口があります。

 

即効性はないものの、時間をかけて信頼関係を築くことから、ターゲットも騙されたことに気付きにくいという特徴があります。そのため、ターゲットに警戒心を抱かせることなく、メールを受け取らせることが可能です。

 

対策としては、SNSの使い方について社内教育を実施する仕事用のスマホではSNSを使用しないなどが挙げられます。また、プライベートではSNS上に企業名が特定できる発信はしないことが対策になります。

 

ソーシャルエンジニアリング攻撃の主な対策

ソーシャルエンジニアリング攻撃は対策が困難です。しかし、重要な情報資産を守るためには、日頃から意識して対策を行わなければなりません。

 

では、ソーシャルエンジニアリング攻撃の主な対策について、具体的に見ていきましょう。

 

電話はかけ直して本人確認する

ソーシャルエンジニアリング攻撃の主な対策1つ目は、電話はかけ直して本人確認することです。

 

なぜなら、電話口で相手が自社の関係者を装ったり、個人情報の本人だと言い張ったりしても、なりすましの可能性があるからです。

 

そのような場合は事前にルールを定め、所定の方法あるいはフォーマットで答えるようにルール化するべきです。

 

社内ネットワークへのログイン情報や社員・顧客の個人情報などを聞かれてもその場では決して答えず、別の方法で折り返し連絡しつつ本人確認をしましょう

 

個人情報・機密情報を扱うルールを策定する

ソーシャルエンジニアリング攻撃の主な対策2つ目は、個人情報・機密情報を扱うルールを策定することです。

 

なぜなら、なりすまし対策を徹底して被害を最小限に抑えなければならないからです。

 

例えば、「その場では回答しないようにする」や「氏名・メールアドレス・パスワード・電話番号などの個人情報は外部には教えない」などして対策を行うことができます。

 

社内のセキュリティルールの策定に加え、社員への周知も忘れずに行い、定期的な社内セキュリティ教育を実施しましょう

 

SNS利用のルールを策定する

ソーシャルエンジニアリング攻撃の主な対策3つ目は、SNS利用のルールを策定することです。

 

なぜなら、LINEなどのSNSでのやり取りが一般化したことで、業務上のやり取りが外部に漏れる可能性が高まっているからです。

 

例えば、X(旧Twitter)に業務に関する情報を投稿し、炎上してしまった事例は多数あります。

 

そのような事態を防ぐためにも具体例を挙げてルールを策定しましょう。また、状況によっては代替ツールとしてビジネスチャットなどを利用して社員に提供することも検討する必要があります

 

多要素認証を導入し、不正ログインをさせない体制づくり

ソーシャルエンジニアリング攻撃の主な対策4つ目は、多要素認証を導入し、不正ログインをさせない体制づくりを実施することです。

 

なぜなら、多要素認証を導入することで、不正ログインを防ぐことが可能だからです。

 

例えば、ソーシャルエンジニアリングにてパスワードが盗まれ不正ログインが行われた場合でも、他の認証要素によって不正ログインを防ぐことが可能です。

 

多要素認証はソーシャルエンジニアリング攻撃だけでなく、他の不正ログインを目的に行われるサイバー攻撃にも有効な対策であるため、積極的に導入しましょう

 

セキュリティソフトを導入する

ソーシャルエンジニアリング攻撃の主な対策5つ目は、セキュリティソフトを導入することです。

 

なぜなら、セキュリティソフトを導入することで、ウイルスを検知し、ブロックすることが可能だからです。

 

例えば、ソーシャルエンジニアリングによって攻撃者に不正侵入されたり、マルウェアを仕掛けられたりした場合でも、セキュリティソフトを導入することで速やかに検知・検出やブロック・駆除などの対処が可能です。

 

また、フィッシング詐欺などのサイトへのアクセスも未然に遮断されるため、セキュリティソフトを導入し、システムの安全性を高めましょう。

 

不審なUSBや添付ファイル・URLは開かない

ソーシャルエンジニアリング攻撃の主な対策6つ目は、不審なUSBや添付ファイル・URLは開かないことです。

 

なぜなら、安易に開封・使用することで、意図せずマルウェアに感染したり、偽サイトへ誘導され個人情報を盗まれたりする可能性があるからです。

 

例えば、知人からのメールであっても不審なファイルと思われるものは開かないようにしたり、開封する必要がある場合は送信元に電話をしてファイルの内容を確認したりする必要があります。

 

そのため、不審なファイルや添付ファイルは開かないよう、基本的な運用ルールを社員に徹底的に周知させましょう

 

まとめ

今回は、ソーシャルエンジニアリングの被害事例や攻撃の手口・対策について解説しました。

ソーシャルエンジニアリングは身近に起こる可能性が十分に考えられるため、被害を防ぐためには、日頃から対策を講じることが大切です。自宅でのPCやスマホの操作、会社に送付された不審なメールなどには警戒し、個人・機密情報の取り扱いには注意していただきたいです。

 

ソーシャルエンジニアリングの被害から個人・機密情報を守るためにも、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。

詳細はこちらからご確認ください