ソーシャルエンジニアリングとは？代表的な手法や具体的な対策を紹介

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは人間の心理的な隙やミスにつけ込み、情報を不正に取得する手口を指します。ウイルスやそのほかのマルウェア（悪意のあるプログラム）は使用せず、巧妙な話術や偽りの情報でユーザーを騙す点が特徴です。

攻撃者は信頼できる人物や組織になりすまし、個人情報の入力や金銭の振り込みを促します。ソーシャルエンジニアリングは、システムの技術的な脆弱性ではなく、人間の心理的な弱点を狙うため、検知が困難で被害に遭いやすいのが特徴です。

ソーシャルエンジニアリングの代表的な手法

ソーシャルエンジニアリングには、さまざまな手口があります。以下で代表的なケースを紹介するので、参考にしてみてください。

偽SMSによる詐欺行為（スミッシング）

スミッシングは、偽のSMSを利用して個人情報を盗む詐欺手法です。攻撃者は、ECサイトや金融機関からの正規メッセージを装った偽のSMSを送信します。たとえば、「あなたの口座が不正利用されています。至急確認してください」のような緊急性を強調する内容のSMSが届くことがあります。

このSMSに記載されているリンクは偽のWebサイトに誘導するもので、そこで個人情報を入力してしまうと情報が流出します。このように、信頼できる機関からの連絡を装うことで、被害者の警戒心を緩める点がスミッシングの特徴です。

偽電話による詐欺行為（ビッシング）

ビッシングとは、偽の電話をかけて個人情報を聞き出す詐欺手法です。攻撃者はECサイトや金融機関の担当者を装い、電話で個人情報を巧みに尋ねます。たとえば、「お客さまのクレジットカードに不正利用の疑いがあります。確認のため、お名前と生年月日をお伺いしてもよろしいでしょうか」といった電話がかかってくることがあります。

被害者は信頼できる機関からの連絡だと誤認し、個人情報を提供してしまうこともあるでしょう。この手法は、電話という直接的な手段を用いることで相手に信頼感を抱かせ、情報を引き出すことを狙っています。

偽サイトによる詐欺行為（ファーミング）

ファーミングは、本物のWebサイトのように見せかけて個人情報を入力させる詐欺手法です。ECサイトや銀行のログイン画面を模倣した偽のWebサイトを作成し、IDとパスワードを入力するように誘導する点が特徴です。

たとえば、「アカウントのセキュリティ確認のため、ログインしてください」という偽の通知が届きます。この案内に従って偽サイトに情報を入力すると、個人情報が盗まれてしまいます。偽のWebサイトは巧妙に作られており、見た目が本物とほとんど区別がつかないため、一見しただけでは判別が難しいでしょう。

盗撮などで情報を盗む行為（ショルダーハッキング）

ショルダーハッキングとは、ATMやPCなどでパスワードを入力する瞬間を狙い、背後から覗き見して情報を盗み取る行為です。後ろから覗き込んだり、カメラで録画したりして、入力された情報を不正に取得します。たとえば、公共の場所でPCを使用している際に、背後から画面を撮影されるような行為が該当します。

この手法は、インターネットを利用しないアナログな攻撃であり、誰でも被害に遭う可能性があるという点が特徴です。

廃棄した書類やデータから情報を盗む行為（トラッシング）

トラッシングは、廃棄された書類やデジタルデータから情報を盗み取る手法です。ゴミ箱やリサイクル施設などに廃棄された書類から、個人情報やパスワードが流出する可能性があります。たとえば、ゴミ箱に捨てられている銀行の明細書やクレジットカードの請求書が悪用されるケースが考えられます。

また、廃棄されたハードディスクやUSBメモリなどのデジタルデータからも、個人情報が抜き取られるリスクがあります。重要な情報が含まれるものは適切な方法で廃棄し、重要な情報が第三者の手に渡らないように注意が必要です。

脅迫的なメッセージによる詐欺行為（スケアウェア）

スケアウェアとは、警告メッセージを表示してユーザーの不安を煽り、偽のセキュリティアプリやソフトを購入させたり、金銭を振り込ませたりする詐欺手法です。代表的な手口としては、「ウイルスに感染しました」「不正アクセスされました」といった警告を表示し、ユーザーを騙して行動を促します。

巧妙な口実による詐欺行為（プリテキスティング）

プリテキスティングとは、巧妙な口実を用いて個人情報や金銭を騙し取る詐欺手法です。攻撃者は信頼できる人物を装い、ターゲットを騙して情報を引き出そうとします。たとえば、「水道水の調査に伺いました」「ガス漏れの点検に来ました」といった口実で、調査員や修理業者を装い、家に入り込むケースがよく見られます。

普段から詐欺に警戒している人でも、筋の通った理由を提示されると警戒心が薄れて信じてしまうことがあるため、常に注意が必要です。

ソーシャルエンジニアリングの対策法

ここでは、ソーシャルエンジニアリングの効果的な対策を解説します。以下の方法を実践することで、不正アクセスや情報漏洩などのリスクを軽減可能です。

ログイン認証を強化する

アカウントの安全性を高めるためには、認証プロセスの強化が不可欠です。ワンタイムパスワードや二段階認証といった追加の認証手段を導入することで、セキュリティが大幅に向上します。また、指紋や顔認証などの生体認証を併用すれば、さらなるセキュリティの強化が可能です。

仮にソーシャルエンジニアリングによってアカウントのIDやパスワードが流出しても、ログイン認証が強化されていれば不正ログインを防ぎやすくなります。

また、パスワードは英数字と記号を組み合わせた複雑な文字列を設定し、定期的な変更を心がけてください。これにより、不正ログインのリスクを最小限に抑えることができます。

知らない電話番号からの着信には出ない

知らない電話番号からの着信に対しては、慎重な対応が求められます。安易に応答してしまうと、企業や業者になりすましたビッシング詐欺に巻き込まれる可能性があるため、要注意です。

本当に重要な連絡であれば、留守番電話にメッセージが残されたり、電話以外の手段で再度連絡がきたりするでしょう。そのため、着信だけの場合はむやみに応答しないことが賢明です。

人混みでの作業は極力行わない

公共の場での情報漏洩リスクには十分な注意が必要です。カフェや図書館など、人が集まる環境では、画面の盗み見や会話の盗聴が懸念されます。そのため、機密性の高い作業はオフィスや自宅といった安全な場所で行うことをおすすめします。

どうしても外出先で作業をしなければならない場合は、覗き見を防止するフィルターの使用が効果的です。これにより、周囲からの視線を遮断し、情報の保護が強化されます。また、重要な通話は人混みを避けて行うなど、状況に応じた対策を講じることが重要です。

不要な書類やデータは完全に削除する

不要になった書類やデータを処分する場合、単純な廃棄や削除では情報漏洩のリスクがあります。そのため、使用済みの書類やデータの処理には細心の注意を払いましょう。

紙の書類を処分する場合は、シュレッダーによる裁断が有効です。特に重要な書類は、クロスカット式のシュレッダーの使用をおすすめします。

デジタルデータに関しては、専用ソフトを用いて完全に消去することが望ましいです。ハードディスクを廃棄する際は、物理的な破壊も有効な手段です。これらの対策により、不要となった情報の不正な二次利用を防止できます。

セキュリティ対策サービスを活用する

高度化する脅威に対抗するには、専門的なセキュリティサービスの活用が効果的です。

たとえば、ドコモの「あんしんセキュリティ」には「迷惑電話対策」や「危険サイト対策」といった機能が搭載されています。「迷惑電話対策」機能は、不審な番号からの着信を自動的に検知し、警告を表示してくれるため、偽電話による詐欺行為（ビッシング）などの被害を未然に防ぐことが可能です。また「危険サイト対策」機能は、ユーザーが危険なWebサイトにアクセスしようとした際に警告を表示し、アクセスを遮断することで偽SMSによる詐欺行為（スミッシング）や偽サイトによる詐欺行為（ファーミング）による被害を防止します。

このようなサービスを活用することで、より安全なオンライン環境を構築できます。ユーザーの意識だけでは対処しきれない脅威に対して、強力な防御手段となるでしょう。