人的攻撃心理的操作人類の歴史と同じ長さ

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは技術的な脆弱性ではなく、人間の心理・信頼・感情を悪用して機密情報を引き出したり、不正な行動を取らせたりする攻撃手法の総称です。どれだけ高度なセキュリティシステムを導入しても、人間が騙されればすべてが無効になるため、「最も防ぎにくいサイバー攻撃」と言われています。

1. ソーシャルエンジニアリングの概要 2. 悪用される心理的原理 3. 主な攻撃手法 4. 有名な事例 5. 実際の攻撃シナリオ 6. 対策・予防方法

1. ソーシャルエンジニアリングの概要

Verizonの調査によると、データ侵害の85%以上に人的要素が関与しており、その多くがソーシャルエンジニアリングを含んでいます。技術的な攻撃より成功率が高く、検知が難しいため、 APT（高度標的型攻撃）の最初のステップとして頻繁に使われます。

Kevin Mitnick（世界最高のハッカー）の言葉

「私はコンピュータよりも人間をハックする方がずっと簡単だと気づいた。人間には感情があり、感情は論理より強い。」

▸ 技術的防御を迂回できる

ファイアウォール・暗号化・認証システムなど、どんな技術的対策も人間が騙されれば無効化される

▸ 低コスト・高成功率

特別な技術や機器が不要。電話一本・メール一通で成功することもある

▸ 検知が困難

正規ルートを通じた操作なので、ログやシステムには異常が記録されないことが多い

▸ 内部犯行との区別が難しい

騙された従業員が行った操作は、意図的な内部犯行と見分けがつかない

2. 悪用される心理的原理

ソーシャルエンジニアリングは人間の認知バイアスや社会的本能を巧みに悪用します。 Robert Cialdiniの「影響力の武器」で説明される以下の原理が特によく使われます。

権威（Authority）

「社長から指示を受けた」「ITサポートです」「警察です」など、権威ある立場を装って従わせる。人は権威に逆らいにくい心理を持つ。

緊急性・恐怖（Urgency/Fear）

「今すぐ対応しないとアカウントが削除される」「ウイルスに感染しています」など、焦りや恐怖を煽って冷静な判断を奪う。

社会的証明（Social Proof）

「他の社員はみんなやっています」「すでに確認済みです」など、他者の行動を引き合いに出して正当化する。

好意・親近感（Liking）

共通の知人・趣味・出身地などを装い親近感を作り出す。人は好意を持つ相手の要求を断りにくい。

希少性（Scarcity）

「この機会しかない」「期限は今日まで」など、希少性を演出して判断を急がせる。

互恵性（Reciprocity）

小さな親切をしてから要求する。人は受けた恩を返したいという本能を持つ。

3. 主な攻撃手法

フィッシング（Phishing）

偽メール・偽サイトで認証情報を騙し取る。最も広く使われるソーシャルエンジニアリング手法。別ページで詳しく解説。

→ 詳しく見る

プリテキスティング（Pretexting）

架空のシナリオ（プリテキスト）を作って標的を操作する。「ITサポートです、パスワードをリセットする必要があります」など。

ベイティング（Baiting）

好奇心・欲望を利用して罠にはめる。「無料映画」と書かれたUSBメモリを駐車場に放置する手法が有名。拾った人が会社のPCに差し込みマルウェアに感染する。

テールゲーティング（尾行）

物理的に制限区域に侵入する手法。セキュリティドアを正規の従業員の後ろについて入る。「手が塞がっているのでドアを押さえてほしい」などの口実を使う。

ビッシング（Vishing）

電話を使ったソーシャルエンジニアリング。銀行・役所・IT部門を装って電話し、パスワードや個人情報を聞き出す。

クイドプロクオ（Quid Pro Quo）

「ITサポートをします」と申し出て、見返りにアクセス情報を得る。偽のITヘルプデスクが典型例。

ウォータリングホール攻撃

標的がよく訪問するWebサイト（業界サイト・取引先サイトなど）を侵害してマルウェアを仕込む。標的が気づかない間に感染する。

4. 有名な事例

2011年RSA Security

「2011 Recruitment Plan.xls」という件名のメールの添付ファイルを社員が開いたことで、セキュリティ会社RSAの内部システムが侵害された。二要素認証製品SecurIDのシード情報が盗まれた。

2013年Target（米国小売大手）

空調設備の下請け業者にフィッシング攻撃を行い、その業者経由でTargetのネットワークに侵入。4,000万件のクレジットカード情報が漏洩した。

2016年バングラデシュ中央銀行

巧妙なソーシャルエンジニアリングとサイバー攻撃の組み合わせにより、SWIFT国際送金システムを悪用。約81億円が不正送金された。

2020年Twitter（著名人アカウント乗っ取り）

ソーシャルエンジニアリングによりTwitterの社内ツールへのアクセス権を持つ従業員を騙し、バラク・オバマ・イーロン・マスクなど著名人のアカウントを乗っ取ってビットコイン詐欺を実行した。

2023年MGM Resorts（米カジノ大手）

わずか10分の電話によるソーシャルエンジニアリングでITヘルプデスクを騙し、MFAをリセットさせて侵入。被害額は1億ドル以上。

5. 実際の攻撃シナリオ

ITヘルプデスクへの電話攻撃

1.LinkedInで標的企業の従業員名を調査する

2.ITヘルプデスクに電話し「田中さんの代理です。田中さんが出張中でVPNに接続できないので、パスワードをリセットしてほしい」と依頼する

3.社名・部署・社員番号など調査した情報を使い、正規の従業員であることを信じさせる

4.パスワードリセット後、攻撃者がVPN経由で社内ネットワークに侵入する

USBドロップ攻撃

1.マルウェアを仕込んだUSBメモリを「給与明細」「人事評価結果」などの魅力的なラベルを貼って標的企業の駐車場や受付に放置する

2.好奇心旺盛な従業員が拾って会社のPCに接続する

3.自動実行またはファイルを開いた際にマルウェアが実行される

4.攻撃者が社内ネットワークへのアクセスを得る

6. 対策・予防方法

最重要セキュリティ教育・訓練を定期的に実施する。知識があることが最大の防御

最重要電話・メールで個人情報・パスワードを要求されても絶対に教えない。正規の企業はこれを求めない

推奨不審な要求は必ず別の手段（公式電話番号など）で本人確認する

推奨「緊急だから」という理由でセキュリティ手順を省略しない

推奨拾ったUSBメモリは絶対に業務用PCに接続しない

推奨SNSに業務情報・組織情報を投稿しない（攻撃の下調べに使われる）

組織向けフィッシングシミュレーション訓練を実施して従業員の対応力を測定・改善する

組織向け「報告しやすい文化」を作る。不審な要求を受けたら気軽に相談・報告できる環境を整える

組織向け最小権限の原則を実施して、騙された従業員が持つ権限を最小限にする

まとめ

ソーシャルエンジニアリングは人間の本能・感情・社会的行動を悪用するため、技術的な対策だけでは防ぐことができません。「緊急性を煽られても冷静に」「不審な要求は必ず確認」「個人情報・パスワードは電話・メールで教えない」という3つの習慣を組織全体に浸透させることが最も効果的な対策です。 MGM事件が示すように、10分の電話一本で1億ドル以上の被害が発生する時代です。人間のセキュリティ意識こそが最後の砦です。