コラムアーカイブ

◆古典的なサイバー攻撃・詐欺の手法

サイバー攻撃者やサイバー詐欺師が、テクノロジーを直接使わずに被害者を騙して（または被害者の心の隙を突いて）、情報を得たり、意図通りに人を操ったりすることを総称して、ソーシャルエンジニアリングと言います。さまざまなサイバー攻撃や詐欺の一連の流れの中の一つのステップとしてソーシャルエンジニアリングが用いられます。

古くは、悪人はいないと考える心の隙を突いたずるい行為、例えば、ゴミ箱に捨てられた機密情報を盗んだり、人のパスワードを覗き見たり、電話で会社の役員を名乗りパスワードを聞き出したりするなどの情報窃取行為が、ソーシャルエンジニアリングの代表格として紹介されていました。

◆さまざまな攻撃・詐欺で悪用

最近では、メールやSMS（ショートメッセージ）やウェブサイトなどを用いて言葉巧みに被害者を誘導する行為も、ソーシャルエンジニアリングとして多くのサイバー攻撃やサイバー詐欺の中で使われています。

大半のケースでは、攻撃者や詐欺師は、なりすましや脅迫により被害者に行動を促します。例えば、乗っ取ったSNSアカウントを使って友人を装い被害者にプリペイドカード購入を依頼したり、取引先を装って被害者にメールの添付ファイルやURLを開かせてウイルスに感染させたり、被害者に後ろめたさなどを感じさせて不当な金銭を支払わせたりするなど、ソーシャルエンジニアリングを用いた攻撃や詐欺は多岐にわたります。

冒頭のリンクの記事に書かれているように、フィッシング詐欺においても、企業からの本物の連絡と見わけがつかない偽の連絡を送信してログインさせるソーシャルエンジニアリングが用いられています。悪用されるブランド数はここ半年で増加傾向にあります。

また、ソーシャルエンジニアリングは、技術的な対策を回避する手法としても使われます。例えば、最近感染拡大が問題視されているEmotet（エモテット）と呼ばれるウイルスは、取引先を装ったメールに検知技術で認識できない暗号化したファイルを添付し、メール受信者の手でファイルを復号させて実行させる手法を用いています。

他にも、詐欺師の口座にお金を振り込ませるBEC（ビジネスメール詐欺）や、10数年来問題視されている標的型攻撃メールでも、取引先などを装った業務上開封が必要な内容に見せかけたメールが送られてきます。

このように、多くのサイバー攻撃や詐欺の手口には、被害者の行動を操るソーシャルエンジニアリングが巧妙に組み込まれています。

◆攻撃の存在を知っておくことが重要

上記の例にある通り、ソーシャルエンジニアリングにひっかかると、被害者は言葉巧みに攻撃者の意図通りの操作を促されます。被害者は騙されているため、不正アクセスや金銭被害などの実害が見えるまで攻撃されたことに気づかない、つまり、被害者には攻撃が見えないことがソーシャルエンジニアリングの特徴です。

IT技術やインターネットは、我々だけでなく悪者にも便利なものです。攻撃や詐欺の被害に遭わないためには、他者になりすまして人を騙す悪者がいることを認識して、インターネット上（パソコンやスマホで）の要求が偽物かもしれないと注意する心構えが必要です。

また、メール拡散型のウイルスやフィッシング詐欺など、攻撃や詐欺の具体的な手口を知っておくことも、さらなる防御・防犯につながります。オレオレ詐欺のような特殊詐欺と同様に、テレビやインターネットのニュースにサイバー攻撃や詐欺が取り上げられていたら、どのような手口が用いられたのか確認するようにしましょう。手口のどこにソーシャルエンジニアリングが使われているか考えられると、手口の巧妙さがより理解できるようになります。

身内や親しい人が被害に遭わないように、サイバー攻撃や詐欺を会話の話題にして、手口を知ってもらい、被害に遭う前に気づいてもらえるようになると良いですね。

参考：

NISC「インターネットの安全・安心ハンドブック」第1章P.20、27、38～43
https://security-portal.nisc.go.jp/handbook/

総務省「国民のためのサイバーセキュリティサイト」ソーシャルエンジニアリングの対策
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_staff_12.html