ポスト

ソーシャル・エンジニアリングとは何か、ソーシャル・エンジニアリングとはどのようなものかを簡単に説明します。 

平たく説明すると、ソーシャルエンジニアリングとは、脅威者が心理的な操作で被害者を搾取し、詐取するサイバー攻撃の展開戦術のことを指します。

ソーシャルエンジニアリング。定義と事例

ソーシャルエンジニアリング攻撃とは?

サイバー犯罪者がコンピューターや電子メールシステムをハッキングするのとは対照的に、ソーシャル・エンジニアリング攻撃は、被害者の意見に影響を与え、機密情報を暴露するように操作することで組織されます。セキュリティアナリストによると、年間インターネット上で行われるサイバー攻撃の70%以上がソーシャル・エンジニアリング攻撃であることが確認されています。

ソーシャルエンジニアリングの事例

以下に示す例をご覧ください。

 

ここでは、1時間に1000ドルを稼ぐという約束で被害者を誘い込むオンライン広告を観察することができます。この広告には、被害者のシステムにマルウェアをインストールさせることができる悪質なリンクが含まれています。 

この種の攻撃は、一般にオンラインベイティングまたは単にベイティングと呼ばれ、ソーシャルエンジニアリング攻撃の一種である。 

以下はその一例です。

このように、ソーシャル・エンジニアリング攻撃は、電子メールを媒介として行われることもあります。その代表的なものがフィッシング攻撃です。このような攻撃については、次のセクションで詳しく説明します。

ソーシャルエンジニアリング攻撃の種類

1.ビッシングとスミッシング

今日、あなたの銀行から(と思われる)SMSが届き、リンクをクリックして本人確認をしてください、さもなければあなたの口座は使えなくなります、と言われたとします。このようなメッセージは、サイバー犯罪者が無防備な人々を騙すためによく流布するものです。リンクをクリックすると、銀行情報を要求する偽装ページにリダイレクトされます。攻撃者に銀行情報を提供してしまうと、あなたの口座から資金が引き出されてしまうので、ご注意ください。 

同様に、Vishing(ボイスフィッシング)は、SMSの代わりに電話を通じて行われるものです。

2.オンライン・ベイティング/ベイト 

私たちは毎日、ウェブサイトを閲覧していると、さまざまなオンライン広告に出会います。それらのほとんどは無害で、本物ですが、ロットの中に隠れていくつかの悪いリンゴがあるかもしれません。これは本当であるにはあまりにも良いと思われる広告をスポッティングすることによって容易に識別することができる。彼らは通常、そのようなジャックポットを打つ、または大幅な割引を提供するようにばかげたクレームやルアーを持っています。

これは罠かもしれないことをお忘れなく(別名a ).もし、何かが良すぎるように見えるなら、それはおそらく真実です。したがって、インターネット上の疑わしい広告には近づかないようにし、クリックしないようにするのがよいでしょう。

3.フィッシング

ソーシャル・エンジニアリング攻撃は、多くの場合、電子メールを介して行われ、フィッシングと呼ばれています。フィッシング攻撃は、電子メールそのものが存在するのとほぼ同じ期間、世界規模で大混乱を引き起こしてきました。2020年以降、電子メール通信の急増により、フィッシングの発生率も急上昇し、大小さまざまな組織を欺き、毎日のようにニュースを賑わしています。 

フィッシング攻撃は、スピアフィッシング、ホエーリング、CEO詐欺に分類され、それぞれ組織内の特定の従業員、会社の意思決定者、CEOになりすます行為を指す。

4.ロマンス詐欺

米連邦捜査局(FBI)は、インターネット恋愛詐欺を「犯罪者がネット上で偽の身分を装い、被害者の愛情や信用を得るために行う詐欺」と定義しています。その後、詐欺師は恋愛関係や親密な関係にあると錯覚させ、被害者を操ったり、盗んだりする" と定義しています。 

ロマンス詐欺は、ソーシャル・エンジニアリング攻撃に分類されます。2021年、ロマンス詐欺は、その年に最も金銭的な被害を受けたサイバー攻撃として1位を獲得し、ランサムウェアがそれに僅差で続きました。

5.スプーフィング

ドメインスプーフィングとは、高度に進化したソーシャルエンジニアリング攻撃の一種です。これは、攻撃者が正当な企業ドメインを偽造し、送信元組織に代わって顧客にメールを送信するものです。攻撃者は、被害者に、そのメールが本物の送信元、つまり、被害者が信頼している会社から送られてきたものだと信じ込ませるように操作します。 

なりすまし攻撃は、企業の独自ドメインからメールが送信されるため、追跡が困難です。しかし、トラブルシューティングの方法はあります。業界の専門家が推奨する一般的な方法の1つは、メールサーバーを利用してスプーフィングを最小化することです。 DMARCの設定を行います。

6.プレテクシング

プリテクスティングは、ソーシャルエンジニアリング攻撃の前身と言えるものです。これは、攻撃者が会社の機密情報を要求するために、架空のストーリーを織り交ぜたものです。 ほとんどの場合、電話を介して行われ、攻撃者は顧客や従業員になりすまし、会社の機密情報を要求します。

ソーシャルエンジニアリングでよく使われる手法は何ですか?

ソーシャルエンジニアリングで最もよく使われる手法がフィッシングです。フィッシングがいかに世界的な脅威となっているかを理解するために、いくつかの統計を見てみましょう。

  • CISCOが発表した「2021 Cybersecurity Threat Trends」レポートでは、データ漏洩の実に90%がフィッシングの結果として起きていることが強調されています。
  • IBMは、2021年に発表した「Cost of a Data Breach Report」の中で、最も財務的コストの高い攻撃経路のタイトルをフィッシングに委ねました。
  • 年々、フィッシング攻撃の割合が400%増加していることが、FBIの報告で判明している

ソーシャルエンジニアリング攻撃から身を守るには?

設定できるプロトコルとツール 

  • SPF、DKIM、DMARCなどの電子メール認証プロトコルを組織で導入することができます。DMARCレコードを無料で作成するには DMARCレコードジェネレーター.
  • を実行します。 DMARCポリシーをp=rejectにすることで、ドメイン偽装やフィッシングメールの攻撃を最小限に抑えることができます。
  • ウイルス対策ソフトウェアでコンピュータシステムを確実に保護する

あなたができる個人的な対策

  • 一般的なソーシャルエンジニアリング攻撃の種類、攻撃ベクトル、警告サインに対する組織内の認識を高める。
  • 攻撃のベクトルや種類を知る。ナレッジベースにアクセスし、検索バーに「フィッシング」と入力してエンターキーを押すと、今すぐ学習を開始できます。  
  • 外部のウェブサイトでは機密情報を絶対に送信しない
  • 携帯端末の発信者番号通知アプリケーションを有効にする
  • 銀行が電子メール、SMS、電話などで口座情報やパスワードの提出を求めることは決してありません。
  • メールのFromアドレスとReturn-pathアドレスが一致しているか、常に再確認してください 
  • 疑わしい電子メールの添付ファイルやリンクは、その出所の信憑性を100%確認するまでは決してクリックしないこと
  • ネット上で交流があり、実生活で知らない人を信用する前に、よく考えてみてください。
  • HTTPS接続で保護されていないウェブサイトを閲覧しない(例:http://domain.com)