ソーシャルエンジニアリングとは?
意味・定義
ソーシャルエンジニアリングとは、人間の心理や社会的な仕組みを利用して情報を不正に取得する手法のことです。技術的な手段ではなく、主に人間の行動や信頼を狙います。この手法は、フィッシングメールや偽の電話、SNSを通じた詐欺など、さまざまな形で現れます。攻撃者は、ターゲットとなる人物が信じやすい状況を作り出し、必要な情報を引き出そうとします。
目的・背景
ソーシャルエンジニアリングの主な目的は、機密情報や個人データを不正に取得することです。サイバーセキュリティが高度化する中で、技術的な防御策だけでは十分でないことが多いです。そのため、攻撃者は人間の心理を利用して、システムの脆弱性を突くことが増えています。これにより、企業や個人が被害を受けるリスクが高まるため、注意と対策が求められています。
使い方・具体例
- フィッシングメールを使って、受取人にパスワードやクレジットカード情報を入力させる手法があります。正規の企業を装ったメールが典型的です。
- 偽の電話をかけ、ITサポートを名乗ってユーザーから情報を引き出すケースもあります。このような手口は、特に高齢者を狙いやすいです。
- SNSを利用し、友人関係を装って信頼を得た後、個人情報を聞き出したり、マルウェアを拡散したりすることがあります。
- 企業のオフィスに訪問し、正当な理由を装って社員に接触し、機密情報を引き出すことも見られます。
- 社内の従業員に対し、フィッシング訓練を実施して、ソーシャルエンジニアリング攻撃への認識を高める取り組みが行われることがあります。
関連用語
まとめ
- ソーシャルエンジニアリングは、人間の心理を利用した情報取得の手法です。
- 主にフィッシングや偽の電話などで機密情報を狙う攻撃が多く見られます。
- 組織や個人がこの手法に対抗するためには、教育や意識向上が重要です。
現場メモ
ソーシャルエンジニアリングの攻撃は、予測が難しいため、特に注意が必要です。従業員が何気ない会話の中で情報を漏らしてしまうケースが多く、対策としては、情報の取り扱いに関する教育が欠かせません。また、疑わしい連絡があった場合は、必ず確認を行う文化を根付かせることが重要です。