ソーシャルエンジニアリング攻撃では、攻撃者は信頼できる人々と関係を築くことで、データやサービスにアクセスしようとします。第一の防御策は、警戒を怠らないことです。攻撃者は、あなたを誘い、尋問のような会話に持ち込むかもしれません。しかし、ソーシャル・エンジニアリングから身を守る最善の方法は、誰が信頼できるかを知り、自分自身も信頼できるようになることです。あなたのアカウントにアクセスする可能性のある人、またはアカウントに影響を与える可能性のある人を特定し、彼らがそうする正当な理由を持っていることを確認する必要があります。
ソーシャルエンジニアリング攻撃とは?
ソーシャルエンジニアリング攻撃は、攻撃者が信頼を利用してアクセスや情報を得ようとするハッキングの一形態です。ソーシャルエンジニアリング攻撃は、人助けをしたいという気持ち、好奇心、素朴さを利用するため、非常に効果的な攻撃です。ソーシャルエンジニアは、攻撃者が望むものを得るために高度な操作を行うことで、あなたを知らず知らずのうちに共犯者にすることができます。ハッキングの一種ですが、ソーシャルエンジニアはコンピュータに侵入する代わりに、従業員を騙して情報を提供させたり、マルウェアをダウンロードさせたりして、コンピュータにアクセスしようとします。
ソーシャルエンジニアリング技術
ソーシャルエンジニアリング攻撃は、電話、電子メール、またはテキストメッセージで実行されることがあります。ソーシャルエンジニアは、企業に電話をかけて制限区域へのアクセスを求めたり、誰かになりすまして自分の代わりに電子メールアカウントを開設させたりすることがあります。
ソーシャルエンジニアは、その目的を達成するために様々な手口を使います。例えば、企業のヘルプデスクから電話をかけてきて、お客様のコンピュータやネットワーク上の何かを修理するために、リモートアクセスを要求するかもしれません。また、銀行口座の問題を解決するために、パスワードや銀行口座情報などの個人情報が必要だと主張する場合もあります。
場合によっては、ソーシャルエンジニアは警察官のふりをして、情報の要求に応じない場合は法的措置を取ると脅すことさえあります。企業はこうした脅威を真剣に受け止めることが重要ですが、警察が誰かを呼び出して電話でパスワードを尋ねることは決してないことを覚えておいてください!
ソーシャルエンジニアリングの目的
ソーシャルエンジニアリングは、フィッシング攻撃でよく使われます。フィッシング攻撃とは、信頼できる送信元からのメールに見せかけて、実はお客様の個人情報を盗み出すことを目的としたメールです。このメールには通常、マルウェアと呼ばれる悪意のあるソフトウェアが添付されており、開封するとコンピュータが感染します。
ソーシャルエンジニアリングの目的は常に同じで、価値のあるものを労せずして手に入れることです。
1.機密情報の窃取
そのため、ソーシャルエンジニアはあなたを騙してパスワードやログイン情報(ユーザー名やメールアドレスなど)を教えさせ、あなたのメールアカウントやソーシャルメディアプロファイルにアクセスさせて、以前の取引からクレジットカード番号や銀行口座情報などの個人情報を盗み出そうとすることがあります。
2.個人情報漏洩
また、すぐに破棄しない場合、この情報を使って被害者になりすまし、被害者を装った悪質な行為を行う可能性もあります。
ソーシャルエンジニアリング攻撃の例
有利な立場に立つために、人を欺いたり、策略を弄したりすることは、パソコンやワールドワイドウェブが普及するはるか以前から行われていました。しかし、さらに歴史をさかのぼると、最も悪質なソーシャル・エンジニアリング攻撃の事例を見ることができます。
直近では2020年2月に発生した事件で フィッシング 偽のリフォーム請求書を使用したフィッシングの試みで、ABCの"シャーク・タンク"から40万ドル近くを騙し取ることに成功しました。
ソーシャルエンジニアリング攻撃の被害に遭った場合、被害から身を守る方法を知ることが不可欠です。潜在的な脅威の警告サインを知り、自分を守る方法を学びましょう。
ソーシャルエンジニアリング攻撃を見分けるには?
1.自分の直感を信じる
不審な電子メールや電話を受け取った場合は、本人確認ができるまで情報を提供しないようにしましょう。会社に直接電話するか、メールや留守電にメッセージを残したと思われる人物に確認することで、確認することができます。
2.個人情報を送信しない
ソーシャルセキュリティ番号やその他の個人情報を尋ねられたら、それはあなたの信頼を利用し、後であなたに不利になるようなことをしようとしている証拠です。必要な情報以外は教えないことをお勧めします。
3.文脈のない異常な要求
ソーシャルエンジニアは、通常、何の脈絡もなく大きな要求をします。もし誰かが、なぜそれが必要なのかを説明せずに、お金やその他のリソースを要求してきたら、おそらく何か怪しいことが起こっているのでしょう。銀行口座にアクセスすることで、どのような被害が発生するか分からないからです。
ここでは、ソーシャル・エンジニアリング攻撃を見分ける方法をいくつか紹介します。
- IT部門を名乗る人物から、パスワードの再設定を依頼するメールが届き、メールやテキストメッセージでパスワードを提供すること
- 銀行を名乗る人物から、口座番号や暗証番号などの個人情報を尋ねるメールが届く。
- 銀行を名乗る人物から、口座番号や暗証番号などの個人情報を尋ねるメールが届く。
- 会社の人事部を名乗る人物から、会社に関する情報を尋ねられた場合
ソーシャルエンジニアリング攻撃の種類
ソーシャル・エンジニアリング攻撃によって人々を犠牲にすることは、詐欺を働くための素晴らしい方法です。それはいくつかの方法で行われることがあります。
アクセス権を得る:ハッカーは、他人名義でクレジットを申し込むことで、あなたの銀行口座にアクセスすることができます。この詐欺では、友人や家族に電話や電子メールを送り、ハッカーが被害者の生活に与えた損害を速やかに弁済するために、電信送金を要求されることがよくあります。
個人情報を盗む:個人情報を渡すように騙されるもう一つの一般的な方法は、応募したことはないが申し込んだ賞品やコンテストに当選したと思い込むことです。そして、情報を提供したら賞品がもらえることを確認するような電話を受けると、そこで被害者は攻撃者の罠にはまることになります。
フィッシング:正規の企業や組織からのメールに見せかけ、悪意のあるリンクや添付ファイルを 送りつける攻撃です。また、ソーシャルエンジニアリングによる攻撃として、世界的に最も一般的なものの1つです。
Pretexting(プレテクシング):ソーシャルエンジニアリングのもう一つの大規模な攻撃は、個人情報へのアクセスを得るために偽のIDやシナリオを作成することです。ソーシャルエンジニアリングの最も顕著な例の1 つは、攻撃者がテキストを通じて人々を操作するためにアクセスする ことです。
ショルダーサーフィンのこと:攻撃者が誰かの肩越しに機密情報へのアクセスを試みる攻撃です。攻撃者は、あなたの親しい友人や恋人であることもあり、彼らが望んでいた情報を手に入れたら、あなたを脅迫することになるでしょう。そのため、このような人物から目を離さず、個人情報をすべて提供しないようにすることが重要です。
テールゲーティング Tailgatingとは、建物や安全なエリアに入ることを許可された人を、攻撃者が実際に許可されることなく尾行することです。他のソーシャル・エンジニアリング攻撃ほど一般的ではありませんが、 それでも危険であり、損害を残す可能性が あります。
ソーシャルエンジニアリング攻撃から身を守る5つの方法
ここでは、ソーシャルエンジニアリング攻撃から身を守るために役立つヒントやアイデアを集めました。
1.不明な送信者(電子メールとテキストメッセージの比較)
送信者のメールアドレスとメッセージの内容に細心の注意を払いましょう。不審な文書のリンクをクリックする必要がないことを知ることは、必要不可欠です。
2.個人情報の共有の停止
パスワードやクレジットカード番号などの個人情報を共有する前に、よく考えてください。合法的な企業や個人が、この種の機密情報を尋ねることはありません。パスワードは常に強固なものを使用し、定期的に変更しましょう。複数のアカウントで同じパスワードを使用することは避け、ソーシャル・エンジニアリング攻撃の被害に遭わないようにしましょう。
3.セキュリティの階層化
可能な限り2ファクタ認証を使用する。携帯電話に送信されるコードとユーザー名、パスワードの入力を求めることで、さらにセキュリティを強化することができます。常に電子メールと電話番号で認証コードを設定し、もし誰かがどちらかのシステムにアクセスしても、あなたのアカウントを直接利用できないようにしましょう。
4.アンチウィルス・ソフトウェア
マルウェア対策マルウェアとウイルス対策ソフトウェアをすべてのデバイスにインストールしましょう。最新の脅威からあなたを守るため、これらのソフトは常に最新の状態にしておきましょう。しかし、お使いのデバイスにアンチウイルスがインストールされていれば、ソーシャル・エンジニアリング攻撃から身を守ることができます。
5.常にリスクを意識する
常にリスクを考えておくと助かる。情報提供の依頼は、二重三重に確認することで、正確であることを確認すること。最近の情報漏えいの影響を受けている場合は、サイバーセキュリティのニュースに目を光らせてください。
結論
ソーシャルエンジニアリング攻撃から身を守るにはソーシャル・エンジニアリング攻撃から身を守るには、それに対する予防策を身につける必要があります。このページでは、古くから使われているソーシャル・エンジニアリング攻撃の標準的な方法を紹介します。ソーシャル・エンジニアリング攻撃は、数秒のうちに、その人のプラスアルファの職業人生にダメージを与える可能性があります。デバイス、パスワード、その他のログインを保護するために、常に2つの認証確認コードを設定してください。
何かする前に、信頼できるITプロフェッショナルや、以下のようなセキュリティの専門家に相談してください。 PowerDMARC.彼らは、ソーシャル・エンジニアリング攻撃のリスクと、それを最小限に抑える方法を理解する手助けをしてくれるはずです。
- SPFレコードとDMARCの伝播にかかる時間は?- 2025年2月12日
- 自動ペンテストツールが電子メールとサイバーセキュリティにどのような革命をもたらすか- 2025年2月3日
- MSPケーススタディ:Hubelia、PowerDMARCでクライアント・ドメインのセキュリティ管理を簡素化- 2025年1月31日