ソーシャルエンジニアリングとは

概要

ソーシャルエンジニアリングは、システムの脆弱性ではなく人間の心理を攻撃対象とする手法の総称である。信頼、恐怖、好奇心、緊急性といった感情を利用して、ターゲットに情報を開示させたり、不正な操作を実行させたりする。技術的なセキュリティがどれほど堅牢でも、人間が騙されれば突破される。セキュリティ侵害の大半にソーシャルエンジニアリングの要素が含まれているとされる。

代表的な手法

フィッシングは最も広く知られた手法で、正規のサービスを装ったメールや Web サイトでログイン情報を窃取する。プリテキスティングは、架空の人物や状況を作り上げて信頼を得る手法で、「IT 部門の者ですが、パスワードの確認が必要です」のような口実を使う。

ベイティングは、USB メモリを駐車場に落としておくなど、好奇心を利用してマルウェアを実行させる手法である。テールゲーティングは、正規の入館者の後ろについてセキュリティゲートを通過する物理的な手法である。いずれも技術的な高度さではなく、人間の行動パターンの予測可能性を利用している。

匿名質問を利用したソーシャルエンジニアリング

匿名質問サービスは、ソーシャルエンジニアリングの経路として悪用される可能性がある。攻撃者が匿名で質問を送り、オーナーの回答から個人情報や行動パターンを収集する手口である。たとえば「最寄り駅はどこですか？」「普段どの時間帯に活動していますか？」のような質問を複数回に分けて送り、断片的な情報を蓄積する。

巧妙なケースでは、質問自体は無害に見える。「おすすめのカフェはありますか？」という質問への回答から行動圏を推定したり、「学生時代の部活は？」から出身校を絞り込んだりする。オーナーは回答する際に、その情報が蓄積された場合にどこまで個人を特定できるかを意識する必要がある。

防御の考え方

ソーシャルエンジニアリングへの防御は、技術的対策だけでは不十分であり、ユーザーのリテラシー向上が不可欠である。質問箱のオーナーに対しては、個人を特定し得る情報を回答に含めないよう啓発することが重要である。

サービス側の対策としては、同一 IP からの質問パターンを分析し、情報収集目的の連続質問を検出する仕組みが考えられる。また、コンテンツフィルタリングで個人情報を直接尋ねる質問を警告対象にすることも有効である。ただし、質問の意図を完全に自動判定することは困難であり、最終的にはオーナー自身の判断力に依存する部分が大きい。

ソーシャルエンジニアリングの手口と防御法を学びたい方は、ソーシャルエンジニアリング対策の関連書籍も参考になります。