ソーシャルエンジニアリングとは 手法や手口を解説
この記事ではソーシャルエンジニアリングの手口や手法を解説していきます。実際に米国のマイクロソフトや日本のJALなどでソーシャルエンジニアリングによる金銭窃取の被害も発生しており、攻撃者の手法や手口を知る事は非常に重要です。
目次
ソーシャルエンジニアリングとは
所謂ランサムウェアやコンピューターウイルスを用いて行うハッキングではなく、
インターネットや情報通信技術を利用せずに、ID パスワードを不正に取得する方法です。
例えば、企業の経理担当と欺き指定口座へ入金させたり、カフェで離籍している会社員のPC
からID パスワードを盗み取るなど、多くは人間の心理的な隙や、行動のミスを利用します。
ソーシャルエンジニアリングの被害事例
ソーシャルエンジニアリング攻撃は米国ではマイクロソフト、日本ではJALなどが被害を受けていますが、今回は米コインベースの事例を具体的に取り上げます。
米国 コインベース
米国で暗号通貨取引所を運営するコインベースは、2023年2月自社のブログで自社がソーシャルエンジニアリングで攻撃を受けたと発表しました。
※未遂に終わり被害はなし。
ブログによると、複数の従業員のスマホへSMSメッセージが送信され、
メッセージには緊急を要する事とコインベースの社内サイトへアクセスが必要な旨が記載されており、
一部社員が社内サイトへアクセスしましたが、MTA(多要素認証)が通らず、
アクセスがブロックされたので、アクセスを断念しました。
ただ、話はここで終わりません。
20分後に従業員の電話が鳴り、攻撃者はコインベースのIT部門であることを装い、前段で引っかかった社員へ社内サイトへログインし、攻撃者が指定する操作を行うよう指示をしました。
電話を受けた従業員は、途中で何かがおかしいと思い顧客情報の伝達や金銭の支払いは行いませんでしたが、従業員の名前、電子メールアドレス、電話番号などが取得されました。
コインベース社は、ソーシャルエンジニアリングの被害と対策について以下の用に記載しています。
=====
人間は社会的な生き物だ。仲良くしたい。チームの一員でありたい。よくできたソーシャル・エンジニアリング・キャンペーンに騙されないと思ったら、それは冗談だ。適切な状況下であれば、ほとんど誰でも被害者になる可能性がある。
最も抵抗するのが難しいのは、今回のような直接接触型のソーシャル・エンジニアリング攻撃です。これは、攻撃者がソーシャルメディアや携帯電話を通じてあなたに直接接触するもので、さらに悪いことに、あなたの自宅や勤務先まで出向いてくることもある。 こうした攻撃は新しいものではない。 実際、この種の攻撃は人類が誕生して間もない頃から確かに行われてきた。 これはどこの国でも敵のお気に入りの戦術である。
ではどうすればいいのか?どうすればこのような事態を防ぐことができるのか?
私は、これは単なるトレーニングの問題だと言いたい。顧客も、従業員も、どこにいる人々も、もっとよく訓練される必要がある。それは常に真実である。しかし、サイバーセキュリティの専門家として、このようなことが起こるたびに私たちが手を差し伸べる解決策の口実にはなりえない。どんなに警戒し、熟練し、準備していても、最終的にはすべての人が騙される可能性があることは、調査によって何度も明らかになっている。私たちは常に、悪いことが起こるという前提で仕事をしなければならない。私たちは、顧客や従業員の全体的な体験を向上させる努力をしながら、こうした攻撃の有効性を鈍らせるために常に革新的である必要がある。
=====
ソーシャルエンジニアリングの攻撃サイクル
ソーシャルエンジニアリングは主に4つの攻撃サイクルが存在します。
情報収集
抜き出したい情報を持つターゲットや、どこに情報があるか? その情報を取得する為にどのような手法で実施するかの情報収集します。
例えば、代表や特権IDを持っているシステム管理者の名称や情報を検索エンジンやSNS、各種媒体のインタビューなどから特定したり、ゴミ箱から情報を漁ったり、運送業者を装い物理的にオフィスに何回も侵入して調査するなど。
上記の手法を利用すれば公開されている情報から、ある程度攻撃対象者へ連絡する事が可能です。
さらに攻撃対象企業へ架空の名義で資料請求し、営業マンのメールアドレスを取得すれば、 メールアドレスの規則性(姓.名前@企業ドメイン など)から個人の連絡先を推測する事が可能です。
規則性を確認できれば、代表者のメールアドレスへ推測する事もできるので、代表者へ標的型攻撃メールを送信するといった行動が可能になります。
もちろんただメールを配信するだけでは無視されるので、次のサイクルに移動します。
信頼関係を確立する
対象と関係がある人物と思わせたり、対象と関係を深める事です。
方法は様々で、
運送業者や清掃業者を装い対象とオフィスで簡単な会話を何回もする
共通の知人や学友会の会員である事を装って、何回かメールでやり取りする
攻撃対象者の家族のスマホをSIMスワップでハッキングし、家族名義で連絡を取る
などがあります。
コミュニケーションで信頼関係を確立するには、入念な事前情報とコミュニケーション力が
必要な為、多くは既に信頼関係を確立している攻撃対象者の知人や職場、取引先、家族を装って連絡を行います。
侵入
情報を取得する為に具体的な行動します。
対象への端末や企業のネットワークへ侵入する手口は様々で
フィッシングメールやフィッシングサイトなどデジタルでの不正侵入や
弁護士名義で「役員が逮捕された」ので慰謝料を指定口座に振り込めなどの、オレオレ詐欺のような電話
「今期の人員削減計画に関して」と記載したUSBをオフィスに落とすなどです。
侵入した経路や手口が、直ぐに発覚すると意味がないので発覚を遅らせるように離脱します。
離脱
企業の信用問題に関する内容で攻撃した場合は、暴露するとリスクがある事を伝えたり、
友達や家族を装っている場合は、通常の連絡と同様に終わらせるなどです。
ソーシャルエンジニアリングの手口
ソーシャルエンジニアリングの具体的な手口は以下になります。
フィッシング
対象者が利用しているサイトや金融機関のサイト装ったサイトを作成し、
対象者へURLをメールで送付し、対象の個人情報やログイン情報を取得する手法です。
アングラーフィッシング
SNSで苦情を申し立てているユーザーを発見し、企業名義や企業所属のアカウントで そのユーザーへ近づきマルウェアをインストールさせたり、 サイトのアカウント情報を聞き出す手法です。
苦情を申し立てているユーザーは企業からの連絡を欲している事が多く、
Xは青バッジを簡単に取得できるようになったので、今後日本でも発生が懸念される手法です。
スピアフィッシング
対象の取引先や友人、家族を装って連絡を行います。
ソーシャルエンジニアリングの攻撃サイクルで紹介した、事前の情報収集を 入念に行えば、不正取得の成功率を上げる事が可能です。
CEO詐欺
自社の役員、代表や自社の大口取引先の代表、官公庁や監督官庁を装って連絡する手法です。
ハニートラップ
対象へ、マッチングアプリで偶然的な出会いを装い接触し、機密情報や 対象のPCのログイン情報を取得する手法です。
古典的ですが、有効な手段の1つです。
オフィスへの侵入
運送会社やエレベーターの点検、清掃会社など出入りの業者を装って物理的にオフィスへ侵入します。
共連れ侵入
従業員が入室する際、同僚のフリをして、攻撃者が一緒にオフィスへ侵入する や 手一杯の荷物と共に、従業員へドアを押さえるようにしてオフィスへ侵入する手法です。
生成AIを悪用したソーシャルエンジニアリングが可能に
生成AIはディープフェイクや音声合成が可能なため、ソーシャルエンジニアリングへの悪用が可能になっています。
実際マカフィー社の調査では
7ヵ国の18歳以上の成人7,054人を対象に調査を行ったところ、10%が自身がAI音声詐欺に遭遇、15%が知人が遭遇したと回答しました。なお、被害者の77%が実際に金銭被害にあったと回答しています。日本のオンライン音声詐欺の遭遇率は、世界7ヵ国で最も低く、自身が遭遇は3%、知人が遭遇は5%にとどまり、世界平均の約3分の1でした。
またウイルス対策ソフトのメーカーであるESETは実験で
CEOの合成音声を作成し、経理担当へ音声付きのメッセージを添付したところ
指定口座へ入金させることが成功しました。
※CEOには事前に許可を得て実施
生成AIの発展で、ますますソーシャルエンジニアリングが増加する懸念があります。
ソーシャルエンジニアリングを防ぐ方法
ソーシャルエンジニアリングを防ぐ方法は
直近でSanSan社が実施して話題となったレッドチーム演習や社内のセキュリティリテラシーの向上、音声での入金依頼が発生した場合でもメールで確認するなどの2要素認証の実施などがあります。
しかしコインベースの事例の通り、ソーシャルエンジニアリングは人間の心理を突いて対応してくるので、トレーニングが一番低コストな対策となります。
