ソーシャル・エンジニアリングとリバース・ソーシャル・エンジニアリングの違いは？

ソーシャル・エンジニアリング

この記事で

ソーシャル・エンジニアリング攻撃とは何か、サイバー犯罪者がどのように心理操作を使ってセキュリティを回避し、個人を騙して機密情報を漏えいさせるのかを学ぶ。
なりすまし、フィッシング、スケアウェアなどの手口を通じて、攻撃者が恐怖、好奇心、緊急性といった人間の感情をどのように悪用しているかを理解する。
多要素認証、セキュリティ意識向上トレーニング、スパムフィルターなど、ソーシャル・エンジニアリングから身を守るための実践的なヒントをご覧ください。
フィッシングやおとり捜査から技術サポート詐欺まで、最も一般的なソーシャル・エンジニアリング攻撃のタイプを探り、セクストーションメールやCOVID-19詐欺などの実例をご覧ください。

コンピューティングにおけるソーシャル・エンジニアリング攻撃とは、サイバー犯罪者が個人を操り、自らのセキュリティを危険にさらすために使用する高度な手法です。このような攻撃の結果、被害者は無意識のうちに金銭を送金したり、機密性の高い個人情報や組織情報を開示したり、セキュリティ・プロトコルに違反したりすることがよくあります。

ソーシャル・エンジニアリングの有効性は、恐怖、好奇心、共感といった人間の感情を悪用し、個人の良識に反して衝動的な行動を起こさせることにある。攻撃者は、このような感情の引き金を理解し、それを利用することで、被害者を説得し、有害なソフトウェアをダウンロードしたり、安全でないウェブサイトを閲覧したり、機密データを共有したりするなど、後から考えれば不合理と思われるような決断をさせるのです。

ソーシャル・エンジニアリングとは、心理的な手口で人を操り、システム・アクセスや個人情報窃取に不可欠な機密情報を吐かせることである。ソーシャル・エンジニアリングは、技術的なハッキング手法に頼ることなく、多くの場合、欺瞞やなりすましによって、人為的ミスを悪用し、セキュリティ侵害やデータ漏洩を引き起こします。

ソーシャル・エンジニアリングによる攻撃は、通常、複数の段階を経て行われます。最初に、攻撃者は標的を調査して十分な情報と重要な背景を収集し、攻撃の成功に不可欠な脆弱性と脆弱なセキュリティ対策を特定します。続いて、攻撃者は被害者の信頼を得るために、口実を作ったり、権威ある人物になりすましたりするなどの手口を用います。この手口は、機密情報の漏えいや重要システムへのアクセスの提供など、セキュリティを脅かす行為を引き出すように設計されています。

ソーシャル・エンジニアリング攻撃は、人間の心理を操り、技術的なセキュリティ対策を回避する。ソーシャル・エンジニアリング攻撃は、様々な要因に基づき、意図する被害者を注意深く選択する。主な手口は以下の通り：

なりすまし：攻撃者は、信頼を得るために、有名ブランドや政府機関、権威ある人物など、評判の高いエンティティになりすますことがよくあります。たとえば、大手ブランドを装った詐欺的なウェブサイトを作成し、ユーザーを欺いて機密情報を開示させることもあります。
感情を利用する：このような攻撃は、恐怖、緊急性、貪欲さなどの感情を利用するのが一般的です。詐欺師は、危殆化した銀行口座に関する警告メッセージを送信したり、悪名高い「ナイジェリアの王子」メール詐欺のように、金銭的な利益を約束する詐欺で被害者を誘惑したりします。
善意や好奇心を利用する：ソーシャル・エンジニアは、人の助けたいという気持ちや好奇心を利用することもあります。友人やソーシャルネットワークからのメールを装い、連絡先や支援を求めたり、興味をそそる話や役立つリソースを装って悪意のあるリンクをクリックするようユーザーを誘惑したりします。

これらの手口を理解することは、ソーシャル・エンジニアリング攻撃を認識し、阻止するために極めて重要である。ソーシャル・エンジニアリング攻撃は、技術的な欠陥よりもむしろ人間の本性を食い物にしているため、このような脅威に対する重要な防御策となります。

ソーシャル・エンジニアリング攻撃は、フィッシング・メールから電話やテキスト・メッセージによる操作まで、さまざまな形態をとることがある。ソーシャル・エンジニアリング攻撃は、技術的な欠陥よりも人間の脆弱性を主な標的とするため、その防御には意識、警戒心、技術的な安全策を組み合わせる必要がある。

以下のステップは、一般的になりつつある巧妙な攻撃に対する防御を強化するための包括的なアプローチです：

多要素認証を使用する：二要素認証または多要素認証を導入することは非常に重要です。セキュリティのレイヤーを追加し、ログイン認証情報が漏洩した場合でも、不正アクセスを確実に防ぐことができます。
セキュリティ意識向上トレーニング：ソーシャル・エンジニアリング攻撃を認識し、対応するためには、全従業員に対する定期的なトレーニングが不可欠である。このトレーニングでは、不審な行為の特定と、機密情報を共有しないことの重要性をカバーすべきである。
強力なサイバーセキュリティ・プログラムを導入する：Malwarebytesような包括的なサイバーセキュリティソフトウェアを使用し、悪意のあるウェブサイト、不正広告、マルウェア、ウイルス、ランサムウェアなどの脅威を認識し、無効化することができます。
アクセス・コントロール・ポリシーとサイバーセキュリティ技術の導入：アダプティブ認証やゼロトラスト・セキュリティ・アプローチなど、厳格なアクセス・コントロール・ポリシーを実施する。スパムフィルター、セキュアメールゲートウェイ、ファイアウォール、アンチウイルスソフトウェアなどのテクノロジーを活用し、システムを最新のパッチでアップデートする。
スパムフィルターをオンにする：スパムフィルターを有効にして、フィッシングメールやその他のスパムメールをブロックする。正当なメールもフィルタリングされる可能性がありますが、「スパムではない」とマークしたり、正当な送信者を連絡先リストに追加することで軽減できます。
フィッシングメールの見分け方フィッシングメールを見分ける方法を学ぶ。送信者アドレスの不一致、一般的な敬語、通常とは異なるURL、稚拙な文法、良すぎるオファーなど、赤信号に注意しましょう。
ドキュメントのマクロを無効にする：ソフトウェアのマクロをオフにする。マクロを有効にするよう促してくる電子メールの添付ファイル、特に不明な送信元からのものには注意すること。疑わしい場合は、送信者に添付ファイルの正当性を確認する。
詐欺の疑いには応じない：Eメール、SMS、電話のいずれであっても、詐欺の可能性がある場合には返事をしないようにしましょう。返事をすると、詐欺師はあなたの連絡先情報が有効であることを確認し、さらに詐欺を試みるようになります。不審なメールは7726（SPAM）に転送し、キャリアが迷惑メールをフィルタリングできるようにしましょう。

これらの戦略を実施することで、ソーシャル・エンジニアリング攻撃に対する強固な防御システムを構築し、個人データと組織の機密情報の両方を保護することができます。サイバーセキュリティの脅威が日々進化する中、常に情報を入手し、用心することが第一の防御策であることを忘れないでください。

ソーシャル・エンジニアリング攻撃は、主に様々な[フィッシング]malwarebytes）を通じて発生する。これらの攻撃は、技術的なハッキング手法に頼るのではなく、人間の心理や信頼を悪用する。フィッシングの有効性と蔓延は、個人と組織の両方にとって重大な懸念事項となっている。各タイプの詳細な内訳は以下の通り：

電子メールによるフィッシング：攻撃者は電子メールを通じて正当なエンティティになりすまし、受信者を騙して個人データや認証情報を開示させます。これらの電子メールには、多くの場合、偽のウェブサイトへのリンクや悪意のある添付ファイルが含まれています。
バルク・フィッシング：この手口では、同じフィッシング・メールを何百万人もの人々に送信する。認知度の高い組織からのメールに見せかけ、偽って個人情報を要求することが多い。
スピアフィッシング:より標的を絞ったフィッシングで、攻撃者はソーシャルメディアや職業上のネットワークから得た情報を使い、特定の個人向けにメッセージをカスタマイズする。
クジラのフィッシング:上級幹部や著名人を狙ったハイレベルなスピアフィッシングの手口。これらの攻撃は高度に個人化されており、多くの場合、複雑な偽装を伴います。
ボイス・フィッシング（Vishing）：電話を使って個人を騙し、機密情報を漏えいさせる手口。攻撃者は合法的な組織や権威者を装うこともある。
SMSフィッシング（Smishing）：テキストメッセージを通じて行われるフィッシングの一種。受信者を誘い、悪意のあるリンクをクリックさせたり、機密情報を漏らしたりする。
サーチエンジン・フィッシング：この手法では、攻撃者は検索エンジンの検索結果で上位に表示される偽のウェブサイトを作成する。ユーザーがこれらのサイトにアクセスすると、情報が盗まれる危険性がある。
アングラー・フィッシング：ソーシャルメディア・プラットフォームを悪用し、攻撃者が偽のカスタマーサービス・アカウントを作成して被害者とやりとりし、フィッシング・サイトに誘導する手口。

フィッシングに続くソーシャル・エンジニアリングの手口は以下の通りである：

おとり：偽の商品やサービスを約束して被害者を誘惑し、情報を盗んだりマルウェアをインストールさせたりする。
尾行／ピギーバッキング：許可された人物に物理的について行ったり、他人のアクティブなセッションをデジタル的に悪用したりして、制限区域に不正にアクセスすること。
口実作り：攻撃者は、機密情報を引き出したり、アクセス権を得たりするためにシナリオをでっち上げる。多くの場合、権限のある人物や身元を確認する必要のある人物を装う。
見返り：機密情報と引き換えにサービスや便益を提供し、被害者の好条件や報酬への欲求を利用する。
スケアウェア:恐怖を煽り、マルウェアをインストールさせたり、機密情報を開示させたりする。
水飲み場攻撃：特定のグループをターゲットに、そのグループが頻繁にアクセスするウェブサイトを感染させ、データの窃取やマルウェアのインストールにつなげる。
トロイの木馬攻撃：正規のソフトウェアに偽装されたマルウェアで、多くの場合、一見信頼できそうな送信元からの電子メールの添付ファイルを通じて拡散します。
技術サポート詐欺：被害者を騙してデバイスが危険にさらされていると信じ込ませ、不必要な「修正」のために金銭を請求する。
詐欺の電話:電話（ロボコールを含む）を使って、多くの場合、合法的な組織や当局を装い、被害者をだますこと。

こうしたフィッシングの手口やその他のソーシャル・エンジニアリングの手口を理解することは、蔓延し進化する脅威から身を守るために極めて重要です。

Malwarebytes Labs報告したソーシャルエンジニアリングの実例をいくつかご紹介します。どの例でも、ソーシャルエンジニアリング詐欺師は適切なターゲットと適切な感情的トリガーを探しています。ターゲットとトリガーの組み合わせは、（スピアフィッシング攻撃のように）超特殊な場合もあります。また、詐欺師はより幅広いグループを狙うこともあります。

セクストーション詐欺：この最初の例では、詐欺師は広く網を張っている。ターゲットは？ポルノを見ている人。被害者は、ウェブカメラがハッキングされ、アダルトビデオを見る様子を録画するために使われたと思われることを電子メールで知らされる。詐欺師はまた、証拠として古いパスワードを使い、受信者の電子メール・アカウントをハッキングしたと主張する。被害者がビットコインで支払わない場合、詐欺師は被害者のすべての連絡先にビデオを公開すると脅す。一般的に言って、詐欺師はあなたのビデオを持っておらず、あなたの古いパスワードは以前に公開されたデータ侵害によるものです。

祖父母詐欺：この詐欺は何年も前から発生しており、生計を共にする家族（通常は高齢者）をターゲットにしている。両親や祖父母のもとに、弁護士や警察を装った詐欺師から電話やメールが届く。詐欺師は、被害者の親族が逮捕された、あるいは怪我をしたので、保釈金、弁護士費用、病院代などのお金が必要だと主張する。SMSテキスト・メッセージ・バージョンの詐欺の場合、単に返信するだけで、被害者は金銭を支払わなければならなくなる。

社会保障番号詐欺：この詐欺では、米国市民のみが対象であるため、事態は狭まり始める。被害者は、社会保障庁を装って録音されたロボコールを受け取る。そのメッセージは、被害者のSSNが「疑わしい情報の痕跡」があるとして「停止」されたと主張している。あなたのSSNが停止されることなどありえないという事実を気にすることなく、被害者がこの策略に引っかかって電話を返すと、すべてを正すために罰金を支払うよう求められることになる。

ジョン・ウィック3詐欺スピアフィッシングの良い例だ。この場合、詐欺師は非常に特定のターゲットを狙っている。コミックが好きだが、Amazon Kindleで読むことを好むJohn Wickファンだ。ジョン・ウィックのコミックを検索していると、ターゲットはジョン・ウィックの3作目の映画の無料ダウンロードを提案される。映画の説明に埋め込まれたリンクをたどると、被害者は海賊版映画の違法ストリーミング・サイトに迷い込んでしまう。

コロナウイルス詐欺詐欺師たちは、特に流行の初期から数ヶ月間、ウイルス情報が乏しかったことに注目した。保健当局がウイルスや人から人への感染経路の把握に苦慮する中、詐欺師たちは偽のウェブサイトやスパムメールで空白を埋めた。

世界保健機関（WHO）からのウイルス情報を装ったスパムメールについて報告した。このメールには、実際にはマルウェアが添付されていた。また別の例ではLabs COVID-19の追跡サイトが世界中の感染状況をリアルタイムで表示していたことを報告した。このサイトは、裏では情報窃取型のトロイの木馬を被害者のコンピュータに読み込ませていた。

スピアフィッシングとは何か？