ソーシャルエンジニアリングとは?ソーシャル・エンジニアリングとは、サイバー攻撃の一種で、操作や欺瞞を駆使してデータや情報へのアクセスを試みる手法です。ソーシャル・エンジニアリングの目的は、信頼できる人物とやりとりしていると思わせることで、パスワードやネットワークの詳細などの機密情報を漏らすように仕向けることです。
また、ソーシャルエンジニアは、マルウェア(悪意のある目的に使用できるソフトウェア)を気づかれないようにコンピュータにダウンロードさせようとするケースもあります。
ソーシャルエンジニアリングとは定義
ソーシャルエンジニアリングとは、人を操作して行動を起こさせたり、機密情報を漏らさせたりする行為のことです。ハッキングの一種ですが、コンピュータに侵入するのではなく、ソーシャルエンジニアは、従業員を騙して情報を提供させたり、マルウェアをダウンロードさせたりして、コンピュータにアクセスしようとします。
ソーシャルエンジニアリングの技術ソーシャルエンジニアリングはどのように行われるのか?
- ソーシャル・エンジニアリングは、電話、電子メール、テキスト・メッセージで行われることがあります。ソーシャルエンジニアは、企業に電話して制限区域へのアクセスを求めたり、他人になりすまして自分の代わりにメールアカウントを開設させたりします。
- ソーシャルエンジニアは、その目的を達成するために様々な手口を使います。例えば、企業のヘルプデスクから電話をかけてきて、お客様のコンピュータやネットワーク上の何かを修理するために、リモートアクセスを要求するかもしれません。また、銀行口座の問題を解決するために、パスワードや銀行口座情報などの個人情報が必要だと主張する場合もあります。
- 場合によっては、ソーシャルエンジニアは警察官のふりをして、情報の要求に応じない場合は法的措置を取ると脅すことさえあります。企業にとってこのような脅威を真剣に受け止めることは重要ですが、警察が誰かを呼び出して電話でパスワードを尋ねることは決してないことを覚えておいてください。
ソーシャルエンジニアリングの目的
ソーシャルエンジニアリングは、フィッシング攻撃でよく使われます。フィッシング攻撃とは、信頼できる送信元からのメールに見せかけて、実はお客様の個人情報を盗み出すことを目的としたメールです。このメールには通常、マルウェアと呼ばれる悪意のあるソフトウェアが添付されており、開封するとコンピュータが感染します。
ソーシャルエンジニアリングの目的は常に同じで、価値のあるものを労せずして手に入れることです。
1.機密情報の窃取
そこでソーシャルエンジニアは、あなたを騙してパスワードやログイン情報(ユーザー名/メールアドレスなど)を教えさせ、あなたのメールアカウントやソーシャルメディアのプロフィールにアクセスして、クレジットカード番号や以前の取引での銀行口座情報などの個人情報を盗み出そうとすることがあります。Instagramで販売する方法は知っているかもしれませんが、ソーシャルエンジニアから中小企業やアカウントを保護するための十分な知識を備えていますか?
2.個人情報漏洩
また、すぐに破棄しない場合、この情報を使って被害者になりすまし、被害者を装った悪質な行為を行う可能性もあります。
学ぶ サイバー攻撃者がソーシャル・エンジニアリングをよく使う理由.
ソーシャル・エンジニアリング攻撃を見分けるには?
1.自分の直感を信じる
不審な電子メールや電話を受け取った場合は、本人確認ができるまで情報を提供しないようにしましょう。会社に直接電話するか、メールや留守電にメッセージを残したと思われる人物に確認することで、確認することができます。
2.個人情報を送信しない
ソーシャルセキュリティ番号やその他の個人情報を尋ねられたら、それはあなたの信頼につけこんで、後でそれを利用しようとするサインです。どうしても必要な場合以外は、情報を教えないことをお勧めします。
3.文脈のない異常な要求
ソーシャルエンジニアは、通常、何の脈絡もなく大きな要求をします。もし誰かが、なぜそれが必要なのかを説明せずに、お金やその他のリソースを要求してきたら、おそらく何か怪しいことが起こっているのでしょう。銀行口座にアクセスすることで、どのような被害が発生するか分からないからです。
ここでは、ソーシャル・エンジニアリング攻撃を見分ける方法をいくつか紹介します。
- IT部門を名乗る人物から、パスワードの再設定を依頼するメールが届き、メールやテキストメッセージでパスワードを提供すること
- 銀行を名乗る人物から、口座番号や暗証番号などの個人情報を尋ねるメールが届く。
- 銀行を名乗る人物から、口座番号や暗証番号などの個人情報を尋ねるメールが届く。
- 会社の人事部を名乗る人物から、会社に関する情報を尋ねられた場合
電子メールを利用したソーシャルエンジニアリング攻撃
フィッシング・メール- 正規の送信元からのメールのように見えて、実は添付ファイルを開かせたり、悪意のあるウェブサイトにアクセスさせようとする。
スピアフィッシングスピアフィッシングフィッシングメールよりも標的が絞られており、より信頼性が高く見えるようにあなたの情報を使用します。
CEOの不正-。 CEO詐欺は、フィッシング詐欺の一種で、CEOや高級管理職になりすまし、機密情報にアクセスさせようとするものです。これには、銀行口座番号、電信送金に関する詳細、あるいは従業員の給与情報などが含まれることがあります。
その他のソーシャルエンジニアリングについて ソーシャルエンジニアリング攻撃について学ぶ。
ソーシャルエンジニアリングを防ぐには?
ソーシャル・エンジニアリング攻撃を防ぎ、そこから身を守るためのヒントをご紹介します。
- お使いのデバイスやパソコンに、優れたウイルス対策ソフトウェアがインストールされていることを確認してください。
- 信頼関係のない人からの怪しいメールや添付ファイルを開かない(銀行やクレジットカード会社を名乗るメールも含む)。
- 知っている人からのメールでも、安全が確認できない限り、リンクをクリックしないようにしましょう。もし、そのメールが本物かどうか疑わしい場合は、ネットで情報を探すのではなく、電話やテキストメッセージで送信者に直接電話をかけましょう。
- 何か「うますぎる話」を持ちかける迷惑な電話やメールに注意する(無料お試し版などに登録すると景品がもらえるなどの特典がある場合もある)。
- 使用方法 2ファクタ認証これは、たとえ誰かがあなたのパスワードを知っていたとしても、あなたのアカウントにアクセスするために別の情報(ワンタイムコードなど)が必要になることを意味します。
- 以下のようなメール認証プロトコルを設定します。 DMARCフィッシング攻撃、ソーシャルエンジニアリング、ドメインの不正使用から電子メールチャネルを保護するために、DMARCなどの電子メール認証プロトコルを設定します。
要約すると
ソーシャル・エンジニアリングは、金銭やその他の個人情報を失うだけでなく、セキュリティ・システムの侵害やデータ漏えいにつながる可能性があるため、対策が重要です。
ITチームがどんなに優れた技術でサイバー攻撃から会社を守っても、ソーシャル・エンジニアリングの手法で誰かがシステムに侵入しようとするリスクを完全に排除することはできません。そのため、以下のことが非常に重要です。 従業員を教育する フィッシングメールやその他のソーシャルエンジニアリング攻撃の見分け方について。
- DMARC MSPケーススタディ:CloudTech24、PowerDMARCでクライアントのドメイン・セキュリティ管理を簡素化- 2024年10月24日
- 機密情報を電子メールで送信する際のセキュリティリスク- 2024年10月23日
- 5種類の社会保障メール詐欺とその防止策- 2024年10月3日