ホームForesight Journalコラムミツイワセキュリティニュース「ヒトのココロをハッキング」

ミツイワセキュリティニュース「ヒトのココロをハッキング」

ヒトのココロをハッキング



日進月歩の発展をみせるIT業界。セキュリティの技術も日々、進化していますが、どんなにテクノロジーが発達したとして、仮に脆弱性のないシステムが完成したとして、絶対に防ぎきることのできない攻撃が存在します。

- ソーシャルエンジニアリング -
人間の脆弱性を突く…嘘をついたり騙したり、心理的な隙をつくことで、個人情報やシステムのID、パスワードなどの秘密情報を奪おうとするこの手法は、攻撃の対象が人である以上、完璧に防ぎきる方法が存在しません。

あなたは大丈夫ですか?SNSに職場の状況がわかる情報を載せたりしてたら危ないですよ?
ということで、今回は近年、増加傾向にあるソーシャルエンジニアリングについてのお話です。

多彩な手口

パソコンの画面をのぞき見する古典的なものから、SNSなどのサイバー空間を悪用した方法まで、ソーシャルエンジニアリングには非常に多くの手口が存在します。
以下、その一例をご紹介いたします。
名称 攻撃の方法
なりすまし 社員や取引先を装って、標的の情報を盗み出すこと
他人のアカウントで、システムなどに不正にアクセスすること
ショルダーハッキング 他人がパスワードや暗証番号を入力しているところを盗み見ること
トラッシング 廃棄された書類や記憶媒体などを漁って、情報を不正に取得すること
ビジネスメール詐欺(BEC) 社員や取引先を装って、偽の電子メールを送って入金を促す詐欺
フィッシング 実在する金融機関やサービスなどにみせかけて、情報を盗みだすこと

ソーシャルエンジニアリングの被害

ソーシャルエンジニアリングは、本命の攻撃を仕掛けるための情報窃盗を目的とする場合が多く、ターゲットとする情報が盗み出されると、不正アクセスやマルウェア攻撃、機密情報流出の二次的被害に繋がります。

事例ベースでは、例えば、2021年1月のフィッシングの月次報告件数が、集計開始以来初となる4万件を超え、なおかつ1年前(2020年2月)と比較して6倍近くになるなど、その被害は増加傾向にあります。

中には、目的とする金銭窃盗のため、半年ほどの時間をかけて標的とする企業へソーシャルエンジニアリングを仕掛けた事例もあり、その手口は年々、巧妙化しています。

暗号資産取引所で起きた実際の被害

【事件の概要】
2018年1月、同取引所で保持していた、580億円相当(当時のレート換算)の暗号資産が流出
【経緯】
  • 犯罪企図者が、SNSなどを通じて同取引所システムの管理権限を持つ従業員、複数人に接触
  • 半年ほど時間をかけて交流をかさね、信用を築いた後にマルウェア付きのメールを送付
  • 従業員がメールを開封してしまい、業務用端末が感染。その後、不正アクセスにより暗号資産が流出

大きな被害を防ぐために

なりすましには多要素認証、BECであれば、メールドメインの確認(右記)など、細やかな対策をあげれば枚挙にいとまがありませんが、これらの対策をケース別に丸暗記をすることは現実的ではないでしょう。

被害を防ぐためには、情報セキュリティ専門の組織をつくり、全社的にセキュリティ対策に取り組んでいくこと、教育や演習などを通して、経営層、社員、アルバイトなど組織を構成するメンバーに対し、セキュリティの意識づけを継続していくことがもっとも重要です。

しかしながら、前述したように、どれほど対策を進めようとも万全と言い切れないのが、ソーシャルエンジニアリングの難点でもあります。被害を受ける可能性が0でない以上、例えば、社内CSIRTを構築して、万一の際に備えるといった事後対応の体制、手順を整えておくこともお勧めいたします。

こちらのコラムに関するお問い合わせをご希望の方は、以下のフォームにご入力ください

    ■ミツイワセキュリティニュース「ヒトのココロをハッキング」についてのお問い合わせ






    プライバシーポリシーに同意の上、送信ください。
    reCAPTCHAで保護されています。プライバシー利用規約

    インターネットからのお問い合わせ
    総合窓口へのお問い合わせ