ソーシャルエンジニアリングとは？具体的な手口や実例とその対策を紹介します

ソーシャルエンジニアリング（social engineering）とは、情報通信技術を用いずに人の心理の隙やミスにつけこみ、個人の秘密情報を聞き出す方法のことで、ソーシャルワークとも呼ばれています。

ソーシャルエンジニアリングのソーシャル（Social）の意味は、直訳すると「社会的な」で、エンジニアリング（Engineering）の意味は「工学」、または「技術」です。ソーシャルエンジニアリングは、大衆の心理的な傾向からくる振る舞いを研究する学問の社会工学でもあります。

ソーシャルエンジニアリングの意味は、不正に搾取したパスワードや暗証番号で詐欺を働く目的や、方法のこと言います。

ターゲットの個人情報や、企業のコンピューターのパスワードなどの秘密情報を聞き出すソーシャルエンジニアリングは、「攻撃者」とも呼ばれ、個人や企業などのターゲットから、コンピュータのパスワードを入手し、他人のコンピュータ内に不正に侵入するという目的を持っています。ソーシャルエンジニアリングの解説の動画をご紹介します。
 

元々はコンピュータのIT用語であるソーシャルエンジニアリングは、手口はアナログな方法ですが、パソコンなどのパスワードを高度な心理的技術で入手するものです。狙いを定めた人物である「ターゲット」から、ソーシャルエンジニアリングを行う「攻撃者」が、ターゲットから得た情報をもとに、コンピュータ内に侵入する目的があるのです。

ソーシャルエンジニアリングは、ソーシャルハッキング、ソーシャルクラッキングとも呼ばれ、紙に書かれた数字を暗記したりと、さまざまな方法で、ときにターゲットに気づかれることなく、情報を搾取していきます。

ソーシャルエンジニアリングとは、元々ソーシャルハッキング（コンピューターの知識が深く、高いスキルを持った技術者が行う、ハードウェアやソフトウェアのエンジニアリングを広い範囲で行うこと）を示していました。

高い技術を持つハッカーを、不正を働かない者と不正を働く者に分けて呼び名を変えるように定義され、不正アクセスを含むものはクラッカーと呼び区別しています。

ソーシャルエンジニアリングは、コンピューターの技術を使い不正に情報を入手するクラッカーと違い、コンピューター技術を用いずに、クレジットカード情報の秘密情報を心理的な作戦を用いて直接聞きだす手法です。

ソーシャルエンジニアリングを利用する人々は、どのような心理を利用しているのかを解説します。こちらでは、騙す目的をもって他人を観察し、心理的な弱点を見抜き、あらゆる策を練るソーシャルエンジニアリングを利用する人の視点についても紹介します。

パスワードなどの情報を集中して入力しているとき人は、後方にまで神経が行き届かないことがありますが、ソーシャルエンジニアリングは、そうした人間の心理的な隙などを利用します。

他にも、ターゲットを嘘の情報で騙して不安を煽ったうえで、解決策を与えて信頼させるというような、人間が騙されやすい心理を研究し、利益となる情報を搾取するのもソーシャルフット・エンジニアの手口です。

さらに「フット・イン・ザ・ドア」「フット・イン・ザ・フェイス」と呼ばれる心理学的な戦術をつかうときもあります。

• フット・イン・ザ・ドアは、小さな要求を繰り返して大きな要求を達成させる手法です。最初の要求はフェイクで、相手に応えてもらうことで次の要求にもちこみやすくしていきます。
• フット・イン・ザ・フェイスは、今度は逆に大きな要求を提示したあとに小さな要求に応えてもらいます。この場合では、最初に提示した大きな要求がフェイクで、あとに提示した小さな要求（とみせかけている要求）を達成するのが目的です。

詐欺の方法や例を知ることが詐欺被害対策に繋がります。人間心理のミスにつけ込み、個人の秘密情報を盗み出すスパイ行為は、アナログな手法で人間の盲点を突きます。

攻撃者の堂々とした振る舞いに、すっかり騙されてしまことがないように、こちらでは実際におきやすい手口の例を紹介します。

ソーシャルエンジニアリングの主な種類は、「ショルダハッキング」、「パスワードの利用」、「トラッシング」「ソーシャルハッキング」など様々な方法があります。

大まかな詐欺の手口を把握することで、ソーシャルエンジニアリング防止への対策がみえてくるでしょう。ぜひ、記事を参考にしてトラブルを未然に防ぎましょう。

ショルダハッキングとは、攻撃者がパスワードを肩越しに盗み見て暗記し情報を入手することです。電車などでも他人の携帯画面を意図して覗き見ることはショルダハッキングに当たります。

ショルダとは（肩）を意味し、ここで言うハッキングとは盗むことを示唆することから、背後から近づいて手元のキーボードからパスワードを覗き見る方法であることがわかります。

そのようなショルダハッキングは、ターゲットが情報を盗まれたことに気がつかないことも多い心理的攻撃方法です。

「誕生日をパスワードに使用しないように」と注意喚起されることもあるほど、自分や身近な人の誕生日をパスワードに利用している人がいますが、人が安易に推測しやすいパスワードは詐欺にあいやすい典型的な例です。

何気ない会話や自然な流れを装い、パスワードを聞き出す目的をもって誕生日を聞くのも、ソーシャルエンジニアリングの方法の一つです。

情報の消えていない携帯電話やパソコンを捨てたり、不要になった情報をシュレッターもかけずにゴミ箱に捨ててしまったことはありませんか。

トラッシングとは、不要になったゴミから情報を入手することです。ゴミ箱をあさり個人情報を盗むことを主に指しています。企業に出入りのしやすい清掃業者を装い、オフィス内部でしか知りえない情報を入手させないために、メモなどを不用意にそのままゴミ箱へ捨てないことが大切です。

ソーシャルハッキングとは、現在のソーシャルエンジニアリングのことを指し、ターゲットを心理的に追い詰めたり、せかしたりしながら、関係者を装い本人から直接個人情報を聞き出すことを言います。

ソーシャルエンジニアリングは、コンピュータ本体に危害を加えるコンピュータウィルスなどと違い、主に身分を偽る方法で、電話やパスワードを直接またはネット上でターゲットの秘密情報を聞き出す手口です。

他には情報の入力を盗み見る行為、関係者を装いオフィスに侵入しパソコン画面を覗き見る行為もソーシャルハッキングの手口としてあげられています。

詐欺の例といえばニュースで一時は頻繁に耳にした「オレオレ詐欺」あるいは「振り込め詐欺」を思い出す人もいるのではないでしょうか。

ソーシャルエンジニアリングの手法は、「俺だけど」と長年会っていない身内を装い、事故や事件に巻き込まれたことを理由に嘘をつき、慌てた身内に現金を口座に振り込ませるような、オレオレ詐欺と同様のアナログな手法が用いられています。

緊急性を持たせることで、本当の息子であるかの確認もできなくする心理的な攻撃で、ターゲットに金品を振り込ませるのがオレオレ詐欺の手法でしたが、ソーシャルエンジニアリングの手口の場合も、取引先や直属ではない上司を装うなどをして、会社の機密情報の入手を企てます。

また、堂々とした態度、緊急性を持たせることで、声が違うと気づいても、動揺しているからだと思いこむような人間の心理を利用します。立場を利用し高圧的な話し方をすることや、パニックに陥らせて騙しやすくする手口も多く用いられています。
 

ソーシャルエンジニアリングは、緊急性や、人間の心理や隙をうまく利用して成功させることの多い詐欺の手口です。そのため、対策にはソーシャルエンジニアリングを想定した、事前のルールを決めることが必要になります。ぜひ、続きを読んで犯罪防止に役立てましょう。

不正侵入を避ける対策には下記のセキュリティの強化がおすすめです。

1. 入室の際には、身分証を掲示し、行き先を伝える。
2. 企業への出入りを、セキュリティカードを使い制限する。
3. 各部署への入退室時には、名前や時間、行き先などを記録する。
4. 生体認証を導入し、企業への関係者以外の立ち入りを制限する。
5. パスワードは英字の大文字と小文字、数字を含ませ分かりにくくする。
6. 席を離れる時や社外では、パソコンの画面は人に見られないようにする。
7. 会社の重要書類は個別に分けて管理し、施錠つきの棚にしまう。
8. IDやパスワードをパソコンやデスクの周りに貼り付けない。

電話を使ったソーシャルエンジニアリングでは、高圧的な声色で会社関係者を装い、有無を言わさず担当者の名前などの個人情報を聞き出そうとしたり、急を要する芝居をしてパスワードの確認をすることもあります。そうした個人情報の流出を防ぐためにも、トラブルを未然に防ぐための対策をあらかじめ考えておかなければなりません。

重要な機密情報や個人情報は電話では伝えないルールを決めておけば、ソーシャルエンジニアリングの
詐欺被害を未然に防ぐことができます。おすすめの主な対策は以下の通りです。

1. 電話では、IDやパスワードや名前などの個人情報を漏らさない。
2. 社外でも電話やメールで企業の情報を話さない。
3. 宛名のないメールは開かない。