サイバー攻撃者は、コンピュータシステムやそのソフトウェアではなく、人間の要素をターゲットにした攻撃の一種であるソーシャルエンジニアリングを使用します。攻撃者は、被害者のコンピュータにアクセスできるようにするために、人を騙して行動を起こさせようとします。
この種の攻撃で最も一般的なものの1つが、中間者攻撃です。中間者攻撃とは、攻撃者が他人になりすまして、双方向音声応答、電子メール、インスタントメッセージング、ウェブ会議などの正規化されたプロトコルを介して、被害者が直接会話していると思い込ませることで発生する攻撃です。
外部から直接ハッキングするよりも、人為的な操作によるハッキングの方が実行しやすい。この記事では、なぜSE攻撃が増加しているのか、なぜサイバー攻撃者はこのような手口をよく使うのかについて説明します。
サイバー攻撃者はなぜソーシャルエンジニアリングを使うのか:想定される原因・理由
ソーシャル・エンジニアリング攻撃ソーシャルエンジニアリング攻撃は、今日、ハッカーが使用する最も一般的で効果的な手法の一つです。これらの攻撃は、従業員の信頼や親近感、従業員と顧客との物理的な近さなど、人と人との関係を悪用することが多いのです。
a.従来のセキュリティの弱点は人間の要素
攻撃は人間の相互作用に依存するほど効果的である傾向があり、テクノロジーで防御することはできないのです。
攻撃者に必要なのは、ターゲットの習慣や嗜好に関するわずかな情報と、被害者に自分を見せるための工夫だけです。
この結果、攻撃者は、組織のネットワークに侵入したり、企業のシステムに侵入したりといった、より複雑なテクニックに頼ることなく、欲しいものを手に入れることができるのです。
b.高度なハッキングテクニックは必要ない
ソーシャルエンジニアリング攻撃は、システムやネットワークにアクセスするために人々の信頼を利用します。これらの攻撃は、高度なハッキング技術を使用してブルートフォースでネットワークに侵入するのではなく、攻撃者が簡単にアクセスできるため、効果的です。
このような場合、攻撃者は通常、フィッシング、スピアフィッシング、プレテクシングなどの心理的な操作技術を使用します。
フィッシングとは、攻撃者が正規のメールに見せかけ、パスワードやクレジットカード情報などの個人情報をだまし取るために送信することです。
スピアフィッシングとは、フィッシングと同じ手法でありながら、他人になりすますなど、より高度なテクニックを使って、お客様の情報をだまし取ることです。
➜Pretextingとは、攻撃者が犠牲者から窃盗を試みる前に、犠牲者の信頼を得るために偽りを使用することです。
いったん攻撃者がシステムやネットワークにアクセスすると、プログラムのインストール、ファイルの変更、削除など、その内部でやりたいことが何でもできてしまう。
c.ダンプカー・ダイビングはブルート・フォースでネットワークに侵入するよりも簡単だ
ダンプスターダイビングとは、ソーシャルエンジニアリング攻撃を行うために廃棄物から情報を取得する行為です。ゴミ箱の中から、付箋に書かれたアクセスコードやパスワードなどのお宝を探し出すという手法です。ダンプスター・ダイビングは、ハッカーが実際に侵入することなくネットワークにアクセスできるため、このような行為を容易に行うことができます。
ダンプスター・ダイバーが発掘する情報は、電話帳やカレンダーのようなありふれたものから、組織図のような一見すると無害なデータまで、多岐にわたります。しかし、この一見無害な情報は、攻撃者がソーシャル・エンジニアリングの手法を使ってネットワークにアクセスする際に役立つことがあります。
さらに、コンピュータが廃棄された場合、サイバー攻撃者にとっての宝庫となる可能性があります。消去されたドライブや不適切にフォーマットされたドライブなど、記憶媒体から情報を復元することが可能です。保存されたパスワードや信頼できる証明書は、コンピュータに保存されていることが多く、攻撃を受けやすい。
廃棄された機器には、TPM(Trusted Platform Module)上に機密データが含まれている可能性があります。このデータは、暗号鍵などの機密情報を安全に保存できるため、組織にとって重要です。ソーシャルエンジニアは、組織が信頼するハードウェアIDを利用して、そのユーザーに対して悪用する可能性があります。
d.人々の恐怖心、貪欲さ、切迫感を利用する
ソーシャル・エンジニアリング攻撃は、人間の要素に依存しているため、実行するのが容易です。サイバー攻撃者は、魅力、説得、脅迫を利用して相手の認識を操作したり、相手の感情を利用したりして、自社に関する重要な情報を入手することができます。
例えば、サイバー攻撃者は、企業の不満を持つ従業員と話をして、隠された情報を入手し、その情報を使ってネットワークに侵入することがあります。
不満を持つ従業員は、現在の雇用主から不当な扱いを受けていると感じている場合、攻撃者に会社に関する情報を提供することがあります。また、不満を持つ従業員は、次の仕事がなく、すぐに仕事を失うことになる場合にも、会社に関する情報を提供することがあります。
より高度なハッキングの方法は、マルウェア、キーロガー、トロイの木馬など、より高度な技術を使用してネットワークに侵入することになります。このような高度なテクニックは、不満を持つ従業員と話をして、ネットワーク侵入に利用できる隠れた情報を得るよりも、はるかに多くの時間と労力を必要とします。
影響力の6大原則
ソーシャル・エンジニアリング詐欺は、人間の心理にある6つの脆弱性を利用したものです。これらの脆弱性は、心理学者ロバート・チャルディーニがその著書「Influence」の中で指摘しているものです。The Psychology of Persuasion "という本の中で、心理学者ロバート・チャルディーニによって特定されたもので、以下の通りです。
➜ 互恵性(レシプロシティー- 互恵性とは、好意に報いようとする気持ちのことです。私たちは、自分を助けてくれた人に恩義を感じる傾向があり、彼らを助けることが自分の責任であると感じます。だから、パスワードや財務記録へのアクセスなど、何かを要求されたときに、以前に助けてくれた人であれば、それに応じる可能性が高くなるのです。
➜ コミットメントと一貫性- 私たちは、物事を一度だけでなく、時間をかけて行う傾向があります。私たちは、ある要求の一部、あるいは複数にすでに同意している場合、その要求に同意する可能性が高くなります。もし誰かがあなたの財務記録へのアクセスを以前にも求めたことがあるなら、再度求めることは結局のところそれほど大きなことではないのかもしれません。
➜ ソーシャルプルーフ- 人が周囲の人の誘導に従う傾向があることを利用した欺瞞手法です(「バンドワゴン効果」とも呼ばれる)。例えば、従業員は、他の従業員が要求に応じたという偽の証拠を提示する脅威行為者に動かされる可能性があります。
➜ 好きな人- ハッカーは、あなたのメールアドレスに、あなたの上司や友人、あるいはあなたが興味を持っている分野の専門家からのメッセージのように見えるものを送ってくるかもしれません。メッセージの内容は、「やあ!君がこのプロジェクトに取り組んでいることは知っているよ。近いうちに一緒にやりませんか?このメッセージは通常、あなたの助けを求めており、それに同意することであなたは機密情報を渡してしまうことになります。
➜ 権威- 人は一般に、権威ある人物を「正しい」存在と見なし、それに従います。このように、ソーシャル・エンジニアリングは、権威ある人物を信頼し、自分たちの望むものを得ようとする人間の傾向を利用することができます。
➜ 希少性- 欠乏は人間の本能で、脳に組み込まれている。これは、"今これが必要だ "とか "これを持つべきだ "という感覚です。だから、ソーシャルエンジニアに詐欺に遭うと、お金や情報を一刻も早く手放さなければという焦燥感に駆られるのです。
ソーシャルエンジニアリングに弱い性格とその理由とは?
サイバーセキュリティ企業のフォースポイントXラボの人間行動研究主任であるマーガレット・カニンガム博士によると、ソーシャル・エンジニアリングに最も脆弱な性格特性は、「同意性」と「外向性」であるという。
好感の持てる人は、信頼感があり、友好的で、質問せずに指示に従おうとする傾向があります。このような人は、本物に見えるメールからリンクをクリックしたり、添付ファイルを開いたりする可能性が高いため、フィッシング攻撃の格好のターゲットになります。
また、外向的な人は、他人と一緒にいることを好み、他人を信頼する傾向があるため、ソーシャル・エンジニアリングによる攻撃を受けやすいと言われています。内向的な人ほど他人の動機に疑念を抱きやすく、ソーシャルエンジニアに騙されたり操られたりする可能性があります。
ソーシャルエンジニアリングに強い性格とその理由とは?
ソーシャルエンジニアリングによる攻撃に強い人は、良心的で内向的、そして自己効力感が高い傾向にあります。
良心的な人は、自分自身のニーズや欲求に焦点を当てることで、ソーシャル・エンジニアリング詐欺に対抗できる可能性が最も高いのです。また、他人の要求に応じる可能性も低い。
内向的な人は、自分のために時間を使い、孤独を楽しむので、社会的な合図や影響を与えようとする強引な人に影響されにくく、外的な操作に弱い傾向があるのです。
自己効力感が重要なのは、自分を信じることができるため、他人や外部からの圧力に抵抗できるという自信が持てるからです。
PowerDMARCでソーシャルエンジニアリング詐欺から組織を守る
ソーシャルエンジニアリングとは、従業員や顧客を操作して、データの窃盗や破壊に利用可能な機密情報を漏らすように仕向ける行為です。過去には、銀行や雇用主など、正当な情報源から送られたように見せかけたメールを送信することで、この情報を入手していました。現在では、電子メールアドレスを詐称することははるかに容易になっています。
PowerDMARC は、SPF、DKIM、および DMARC のような電子メール認証プロトコルを導入することで、この種の攻撃から保護することができます。 DMARCp=reject ポリシーを導入することで、ドメイン偽装やフィッシングのリスクを最小化することができます。
ソーシャルエンジニアリング攻撃から自分自身、会社、そして顧客を守ることに興味があるのなら、私たちの DMARC無料トライアルをお試しください。
- 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日
- 暗号詐欺に対抗するための電子メール安全入門- 2024年4月30日
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日