なぜサイバー攻撃者はソーシャルエンジニアリングを多用するのか?

ブログ

サイバー攻撃者は、なぜソーシャル・エンジニアリング攻撃で企業ネットワークに侵入し、機密情報を盗み出すのかについて学びます。

byアホナ・ルドラ

読書時間 7
なぜサイバー攻撃者はソーシャルエンジニアリングを多用するのか?
目次-

サイバー攻撃者は、ソーシャル・エンジニアリングを使用する。ソーシャル・エンジニアリングは、コンピュータ・システムやそのソフトウェアではなく、人間の要素をターゲットにした攻撃の一種である。攻撃者は人を騙して、被害者のコンピュータにアクセスするための行動を実行させようとする。 この種の攻撃で最も一般的なものに、中間者攻撃がある。マン・イン・ザ・ミドル攻撃は、攻撃者が他人になりすまして、双方向音声応答、電子メール、インスタント・メッセージング、ウェブ会議などの正規化プロトコルを介して、被害者同士が直接会話しているかのように騙すことで発生する。 人為的な操作によるハッキングは、外部から直接ハッキングするよりも実行しやすい。この記事では、SE攻撃が増加している理由と、サイバー攻撃者がこのような手口をよく使う理由について説明します。

主なポイント

  1. ソーシャル・エンジニアリング攻撃は、人間の要素を操作するもので、サイバー犯罪者が好む手法である。
  2. 攻撃は信頼関係や人間関係を悪用することが多く、攻撃者に必要な技術的スキルは最小限である。
  3. 廃棄物に飛び込むことで、ハッキング技術を必要とせずに攻撃者に機密情報を提供することができる。
  4. 恐怖、貪欲さ、緊急性などの感情的な誘因は、ソーシャル・エンジニアリング攻撃が成功する可能性を著しく高める。
  5. 好感度や外向性といった特定の性格特性は、ソーシャル・エンジニアリングの手口を受けやすくする。

サイバー攻撃者はなぜソーシャルエンジニアリングを使うのか:想定される原因・理由

ソーシャル・エンジニアリング攻撃ソーシャルエンジニアリング攻撃は、今日、ハッカーが使用する最も一般的で効果的な手法の一つです。これらの攻撃は、従業員の信頼や親近感、従業員と顧客との物理的な近さなど、人と人との関係を悪用することが多いのです。

攻撃は人間の相互作用に依存するほど効果的である傾向がある。 攻撃者に必要なのは、ターゲットの習慣や嗜好に関するちょっとした情報と、被害者への見せ方の工夫だけだ。 その結果、攻撃者は、組織のネットワークに侵入したり、企業のシステムに侵入したりするような、より複雑なテクニックに頼ることなく、欲しいものを手に入れることができる。

PowerDMARCでソーシャルエンジニアリングのセキュリティを簡素化!

15日間のトライアルデモを予約する

b.高度なハッキングテクニックは必要ない

ソーシャル・エンジニアリング攻撃は、システムやネットワークにアクセスするために、人々の信頼を利用する。このような攻撃が効果的なのは、高度なハッキング技術を使って総当たりでネットワークに侵入するよりも、攻撃者が簡単にアクセスできるからです。 このような攻撃を行う場合、攻撃者は通常、フィッシング、スピアフィッシング、口実作りのような心理的に操作するテクニックを使用します。 フィッシングとは、攻撃者が正規の電子メールに見せかけ、ユーザーを騙してパスワードやクレジットカード情報などの個人情報を提供させようとするものです。 スピアフィッシングとは、攻撃者がフィッシングと同じ手口を使うが、他人になりすますなど、より高度なテクニックを使ってユーザーを騙し、情報を提供させること。 プリテクスティング詐欺とは、攻撃者が被害者の信頼を得るために見せかけを使い、被害者から情報を盗み取ろうとすることです。 攻撃者は、いったんあなたのシステムやネットワークにアクセスすると、セキュリティ・システムや管理者に捕まることなく、プログラムのインストール、ファイルの変更、削除など、その内部でやりたいことが何でもできてしまいます!

c.ダンプカー・ダイビングはブルート・フォースでネットワークに侵入するよりも簡単だ

ダンプスター・ダイビングとは、ソーシャル・エンジニアリング攻撃を行うために、廃棄物から情報を取り出す行為である。この手法では、ゴミ箱の中からアクセスコードや付箋に書かれたパスワードなどの宝物を探し出す。ダンプスター・ダイビングは、ハッカーが実際に侵入することなくネットワークにアクセスできるため、このような行為を簡単に実行できる。 ダンプスター・ダイバーが発掘する情報は、電話リストやカレンダーのようなありふれたものから、組織図のような一見何の変哲もないデータまで多岐にわたる。しかし、この一見何の変哲もない情報は、攻撃者がソーシャル・エンジニアリングのテクニックを使ってネットワークにアクセスする際に役立つ可能性がある。 さらに、コンピュータが廃棄された場合、それはサイバー攻撃者にとって宝の山になる可能性がある。消去されたり、不適切にフォーマットされたドライブを含む記憶媒体から情報を復元することは可能である。保存されているパスワードや信頼できる証明書は、コンピュータに保存されていることが多く、攻撃を受けやすい。 廃棄された機器には、トラステッド・プラットフォーム・モジュール(TPM)上に機密データが含まれている可能性がある。このデータは、暗号鍵などの機密情報を安全に保存できるため、組織にとって重要です。ソーシャル・エンジニアは、組織から信頼されているハードウェア ID を利用して、ユーザーを悪用する可能性があります。

d.人々の恐怖心、貪欲さ、切迫感を利用する

ソーシャル・エンジニアリング攻撃は、人間的要素に依存しているため、実行が容易である。サイバー攻撃者は、魅力、説得、威嚇などを使って相手の認識を操作したり、相手の感情を利用したりして、企業に関する重要な情報を得ることができる。 例えば、サイバー攻撃者は会社の不満を持つ従業員と話をして隠された情報を入手し、それを使ってネットワークに侵入するかもしれない。 不満を抱いている従業員は、現在の雇用主から不当な扱いを受けている、あるいは不当な扱いを受けていると感じている場合、攻撃者に会社に関する情報を提供する可能性がある。また、不満のある従業員は、次の仕事がなく、近いうちに職を失うことになる場合にも、会社に関する情報を提供する可能性がある。 より高度なハッキング手法では、マルウェア、キーロガー、トロイの木馬など、より高度なテクニックを使ってネットワークに侵入する。このような高度なテクニックは、ネットワークに侵入するために使用できる隠された情報を得るために、不満を持つ従業員と話をするだけよりもはるかに多くの時間と労力を必要とする。

影響力の6大原則

ソーシャル・エンジニアリング詐欺は、人間の心理にある6つの特定の脆弱性を悪用します。これらの脆弱性は、心理学者ロバート・チャルディーニが著書「Influence:説得の心理学」の中で、心理学者ロバート・チャルディーニによって特定されたものである: 互恵性- 互恵性とは、好意を現物で返そうとする欲求である。私たちは、自分を助けてくれた人に対して恩義を感じる傾向がある。そのため、パスワードや財務記録へのアクセスなど、誰かに何かを要求されたとき、以前に助けてもらったことのある人であれば、それに応じる可能性が高くなる。 コミットメントと一貫性- 私たちは物事を一度だけでなく長期的に行う傾向があります。私たちは、ある要求の一部分、あるいは複数にすでに同意している場合、その要求に同意する可能性が高くなります。もし誰かが以前にもあなたの財務記録へのアクセスを求めたことがあるのなら、再度求めることは結局のところそれほど大きな問題ではないのかもしれません! 社会的証明- これは、私たちが周囲の人の誘導に従う傾向があるという事実(「バンドワゴン効果」とも呼ばれる)を利用した騙しのテクニックである。例えば、従業員は、他の従業員が要求に従ったという偽の証拠を提示する脅威行為者に動かされる可能性がある。 好き- そのため、ハッカーはあなたのメールアドレスに、上司や友人、あるいはあなたが興味を持っている分野の専門家からのメッセージであるかのようなメッセージを送ってくるかもしれません。メッセージには、「やあ!君がこのプロジェクトに取り組んでいることは知っている。近いうちに一緒にできないかな?通常、このメッセージはあなたの協力を求め、それに同意することで、あなたは機密情報を提供することになる。 権威- 人は一般に、権威ある人物を「正しい」存在と見なし、従わせる。このように、ソーシャル・エンジニアリングの手口は、権威のある人物を信頼する私たちの傾向を利用し、私たちから欲しいものを得ようとします。 欠乏- 希少性は人間の本能であり、脳に組み込まれている。それは、"今これが必要だ "とか、"これを持っているべきだ "という感覚である。だから、ソーシャル・エンジニアに詐欺にあうと、お金や情報を一刻も早く手放さなければという切迫感を感じるのだ。

ソーシャルエンジニアリングに弱い性格とその理由とは?

サイバーセキュリティ企業Forcepoint X-Labsの人間行動学主任研究員であるマーガレット・カニンガム博士によると、「同意性」と「外向性」は、ソーシャル・エンジニアリングを悪用されやすい性格特性だという。 同意しやすい人は、信頼しやすく、友好的で、疑わずに指示に従おうとする傾向がある。彼らは、本物に見えるEメールからリンクをクリックしたり、添付ファイルを開いたりする可能性が高いため、フィッシング攻撃の格好の候補となります。 また、外向的な人は、他人と一緒にいることを好み、他人を信頼する傾向が強いため、ソーシャル・エンジニアリングによる攻撃を受けやすい。内向的な人ほど他人の動機を疑う傾向があるため、ソーシャル・エンジニアに騙されたり、操られたりする可能性があります。

ソーシャルエンジニアリングに強い性格とその理由とは?

ソーシャル・エンジニアリング攻撃に強い人は、良心的で、内向的で、自己効力感が高い傾向がある。 良心的な人は、自分のニーズや欲求に集中することで、ソーシャル・エンジニアリング詐欺に抵抗できる可能性が高い。また、他人の要求に合わせることも少ない。 内向的な人は、自分のために時間を使い、孤独を楽しむため、外的な操作に影響されにくい傾向がある。 自己効力感が重要なのは、自分を信じることができるため、他人や外部からの圧力に抵抗できるという自信が持てるからである。

PowerDMARCでソーシャルエンジニアリング詐欺から組織を守る

ソーシャルエンジニアリングとは、従業員や顧客を操作して、データの窃盗や破壊に利用可能な機密情報を漏らすように仕向ける行為です。過去には、銀行や雇用主など、正当な情報源から送られたように見せかけたメールを送信することで、この情報を入手していました。現在では、電子メールアドレスを詐称することははるかに容易になっています。 PowerDMARCは、SPF、DKIM、および以下のような電子メール認証プロトコルを展開することにより、この種の攻撃から保護するのに役立ちます。 DMARC p=拒否ポリシー を使用することで、直接ドメインのなりすましや電子メールによるフィッシング攻撃のリスクを最小限に抑えることができます。 ソーシャル・エンジニアリング攻撃からあなた自身、あなたの会社、そしてあなたの顧客を守ることにご興味がある方は、ぜひご登録ください。 DMARC無料トライアル 今日から

最新記事 by Ahona Rudra(全て見る)
DNSのCNAMEレコードとは何ですか?DNS CNAMEレコードとはADSPとはADSPとは?DKIMにおけるオーサードメイン・サインティングの実践