「ソーシャルエンジニアリング」という言葉をご存じでしょうか?
元々、社会の課題を工学的・論理的に解決しようする学問を指す言葉が語源です。
しかし、現在は個人情報を漏えいさせる犯罪行為を意味する言葉としても使われています。
このソーシャルエンジニアリングは、インターネットの発展に伴い手口がどんどん多様化してきています。
中には原始的な方法もありますが、今現在でも通用する方法です。
手口が多様化するソーシャルエンジニアリングについては、対策を早急に進めるべきでしょう。
過去には数百万件の個人情報が流出する事件になったりと、決して油断はできません。
また、個人間においてもソーシャルエンジニアリングの魔の手は迫っています。
もしお困りの場合は、当探偵事務所にお気軽にご相談ください。
この記事では、ソーシャルエンジニアリングの手口や被害事例、対策方法を紹介します。
対策を始める前に、まずソーシャルエンジニアリングとは何なのかについて理解を深める必要があります。
耳なじみのない言葉かもしれませんが、身の回りに確実に潜む危険ですので内容を把握しておきましょう。
ソーシャルエンジニアリングとは、情報を盗み取ろうとする行為全般を指す言葉です。
対象となる行為は盗み見といった原始的なものから、パソコンのハッキングまでリアル・ネットを問わず多岐に渡ります。
いずれも共通点としては、人の弱みや隙につけ込むという点です。
たとえば、自分を信頼できる人間と勘違いさせて情報を引き出したり、セキュリティ対策を緩めた隙を突いて不正アクセスを行なうなど。
こうした油断や緩みを見逃さずにつつくのが、ソーシャルエンジニアリングの手口です。
ソーシャルエンジニアリングに当てはまる行為を解説していきます。
もし下記のような行為を最近受けたり、その疑いを感じた場合は警戒を強めましょう。
あなたや周囲の人に、プライバシー漏えいの危険が迫っているかもしれません。
至って原始的な方法ですが、パソコン・スマホを操作する人の画面を覗き見して、パスワードや個人情報を盗み取る方法です。
パスワードを入力する画面を見られてしまうと、入力時の様子からパスワードが解読できてしまいます。
その盗み見で得たパスワードを利用してパソコン本体やデータベースに侵入され、情報を奪われるでしょう。
また、個人に関してもSNSを見ている際の画面を見られた場合、IDを知られると個人情報を特定される危険があります。
聞き込みも、情報を得る上では有効な方法です。
特にターゲットの知人と称して聞き込みを行なった場合、本人確認などをされない場合がほとんど。
結果として、まんまと他人に個人情報が明け渡されてしまいます。
また、警戒の強い人物から聞き込みを行なう場合、時間をかけて信頼関係を築き上げてから情報を引き出す「ファーミング」と呼ばれる手法も使われます。
単純な手法ですが、今でも使われる効果的な個人情報取得手段です。
こちらも原始的な方法ですが、情報を保管する部屋や建物内に侵入して情報を盗み出す方法を「ハンティング」といいます。
侵入者用のセキュリティ対策を設置していても、実際に稼働していなければ意味はありません。
何の対策もされていない上に誰もいない室内は、不法侵入者に入ってくれと言っているようなものです。
油断して放置し続けている機密情報が、簡単に盗まれてしまうことになりかねません。
機密情報が書かれた書類を、不要になったからとそのままゴミ箱に捨てる人は意外と多いです。
ですが、適切な方法で処分しないのは危険といえます。
ゴミを漁って書類を引っ張り出し、大切な情報が知られてしまう可能性が大いに存在します。
こうしたゴミ箱を漁って情報を得る手法は「トラッシング」と呼ばれ、古くから使われる方法です。
近年はSNSを使って簡単に個人と距離を近付けられるため、ソーシャルエンジニアリングの手口に利用されることも多いです。
SNSで交流を深めて情報を聞き出したり、別の人物になりすまして安心感を抱かせて情報を引き出すなどの方法が存在します。
また、少しでも情報を引き出せたなら、そこからネットリサーチを行なって特定を行なうこともできたりします。
インターネットだけの繋がりにも、こうした危険は潜んでいると認識しておきましょう。
フィッシング詐欺はスパムソフトの入ったURLが書かれたメッセージを不特定多数に送り付けるものですが、明確なターゲットを定めた場合は「スピアフィッシング攻撃」と言います。
特定の相手だけにスパムメッセージを送り、個人情報の引き出しを狙います。
スピアフィッシング攻撃の場合、特定の相手の心理に刺さる文面となっているため、通常のフィッシング詐欺より被害率が上がる傾向です。
基本的にソーシャルエンジニアリングの手口は、犯人からターゲットに対して行動するものばかりです。
それ以外のターゲットに行動させる手法は「リバースソーシャルエンジニアリング」と呼ばれます。
リバースソーシャルエンジニアリングには、このような手口が当てはまります。
ターゲットのパソコン・スマホなどを、情報を盗み出すマルウェアに感染させる方法も有名です。
もしパソコンやスマホを置いて席を離れた場合、隙を突いてマルウェアの入ったUSBメモリなどを接続されることが考えられます。
侵入したマルウェアは機器の内部でひそかに稼働し、連絡先や金融機関の情報といった個人情報を抜き取るでしょう。
個人情報漏えいだけでなく、金銭的な被害も出てしまうかもしれません。
ベイト攻撃は「おとり攻撃」とも呼ばれ、気になるものをターゲットの目の前に置く手法です。
例えば、ターゲットの机の上にUSBメモリを置いておけば、覚えのないUSBメモリでも中身に何があるか知るために一応挿入するかもしれません。
このUSBメモリにハッキング用のマルウェアが入っていれば、まんまとパソコンに侵入されてしまうという仕組みです。
他にも、USBメモリから放電させてパソコンの破壊を狙う嫌がらせ攻撃も考えられます。
プリテキスティングとは、もっともらしい口実によってターゲットを信頼させ、機密情報の漏えいや金銭被害に誘導する攻撃手法です。
被害のパターンとしては、下記のようなものが考えられます。
ビッシングは別名「ボイスフィッシング」とも呼ばれ、電話などを経由した音声によるソーシャルエンジニアリングです。
例えば公共機関を装った機械音声による通話をしらみつぶしにかけて、情報を入手するなどの手口が挙げられます。
また、今や詐欺の常套手段となったオレオレ詐欺も、やり方としてはビッシングの一種です。
スミッシングとは、携帯電話のSMS(ショートメッセージ)を利用して行なうソーシャルエンジニアリングです。
有名企業や公共機関を名乗って反応する必要性を感じさせ、スパムの入ったURLを踏ませるのが狙いといえます。
これらのメッセージは一見本物だと思えてしまいますが、発信先のアドレスなどを見ると本物でないとすぐ見破れるパターンが大半です。
ソーシャルエンジニアリングの手口は、とても単純に思えるものが多いかもしれません。
しかし、大手企業でもその術中にハマり、大規模な個人情報流出事件を起こした実例がいくつも存在します。
それだけ、油断した隙を突いた犯行が有効であることを示しているといえるでしょう。
過去に起きたソーシャルエンジニアリングによる被害事例を解説します。
2023年10月17日に、NTT西日本の子会社が元派遣社員によって個人情報900万件が流出したと発表しました。
NTT西日本子会社のNTTマーケティングアクトProCX(大阪市)は17日、顧客から受託したコールセンター業務に関する個人情報約900万件が外部に流出したと発表した。別の子会社の元派遣社員が不正に持ち出した。一部は名簿業者に渡っており、警察が不正競争防止法違反容疑で捜査を始めた。
流出させたのはコールセンターシステムの運用業務を担うNTTビジネスソリューションズ(BS)=大阪市=の元派遣社員で、08年から勤務していた。
13年7月ごろから23年1月の約10年間にわたり、データを管理するサーバーに直接アクセスして作業端末にダウンロードし、USBメモリーを使って持ち出したとされる。データベースへの不審なアクセス検知策が不十分だったという。
(引用:NTT西日本子会社元社員、個人情報900万件流出 名簿業者にも – 日本経済新聞)
データベースのアクセス検知が行き届いていないことによる隙を突かれて、少しずつ情報を抜かれていったとのことです。
結果として、2012年の集計以降で国内4番目の規模の流出事件となりました。
NTT西日本子会社の流出事件と同時期に、電子機器メーカー「カシオ」のデータベースから個人情報が12万件流出しました。
カシオ計算機は、高校などで利用されている学習用アプリのデータベースに不正アクセスがあり、12万件余りの個人情報が流出したと発表しました。
発表によりますと、流出したのは全国およそ240の小中学校や高校などで使われ、個人でも利用できる学習用アプリ「ClassPad. net」に登録されている国内外の利用者の氏名やメールアドレス、学校名、学年、出席番号など、12万件余りです。
今月11日、アプリのデータベースに障害が発生していることがわかり、解析を進めた結果、情報の流出が判明したということです。
(引用:カシオ 個人情報12万件余流出 学習用アプリに不正アクセス受け | NHK | サイバー攻撃)
カシオの流出被害は、第三者の不正アクセスが可能になっている状態となっていたため起きたと報告されています。
こうした外部への防御を無効にしてしまうのが、ソーシャルエンジニアリングの怖さです。
位置情報を共有するアプリ「NauNau」(ナウナウ)に登録している230万人以上もの個人情報が閲覧可能になっていたことが分かりました。
若い世代を中心に人気の位置情報共有アプリ「NauNau」で、一時、少なくとも200万人以上のユーザーの位置情報やチャットなどが外部から閲覧できる状態になっていたことがわかりました。
会社側は事実を認め、アプリのサービス提供を21日から一時、停止するとともに、今後、第三者機関による調査を行う考えを示しました。
(引用:「NauNau」230万人以上 位置情報など外部から閲覧可能な状態に | NHK | IT・ネット)
NauNauは450万ダウンロードを誇る人気アプリでしたが、サービス開始時点からセキュリティ対策が不十分で、改善に向けた指摘を複数回受けていました。
しかし、それでも外部から閲覧可能な状態は続いており、改善が見られなかった結果アプリのサービスは終了させられました。
このように、一見ちゃんとした体裁を持つサービスもソーシャルエンジニアリングの引き金になり得ることを覚えておきましょう。
原始的な方法から高度な手口まで、ソーシャルエンジニアリングの手法は多岐に渡ります。
これらの犯行には、適切な方法を駆使することで対処が可能です。
ソーシャルエンジニアリングへの対処法を把握しておきましょう。
機密情報は内部から流出することも考えられるため、誰が犯人かわからない側面があります。
ショルダーハッキングの可能性を防ぐためにも、重要な情報を扱う際には周囲を確認しておきましょう。
異様に近付いてくる人がいる時は、情報を盗み見られるリスクがあるといえます。
また、離席する際にもデータを簡単には見られないフォルダに置いておくなどの対処をしておくといいでしょう。
もしなりすまし犯による接触が起きても、毅然と対処して機密情報を守る必要があります。
そのためにも、電話対応など外部とのやり取りにおけるルールを徹底しておきましょう。
作り上げた仕組みを全体に浸透させることで、流出の隙を無くすことができます。
ソーシャルエンジニアリングの手口の代表例が、スパムメールによる個人情報の流出です。
これはメールに記載されたリンクへのアクセスが原因なので、不審なメールは開かないことが何より重要になります。
また、見知らぬUSBメモリも不用意に接続せず、見覚えのないファイルも開かないようにしましょう。
自衛意識を高めて怪しいものに触れないことが、対策する上で最も重要になります。
処分したと思っていた資料から情報を抜かれる可能性は大いに存在します。
こうした形の流出を阻止するためには、今まで以上に徹底した処分が必要です。
紙の資料はシュレッダーにかけて細切れにして、つなぎ合わせて解読される可能性を減らしましょう。
また、USBメモリやハードディスクなどは破壊しつつ溶解処理を施して、手に取られないようにすべきです。
操作していたパソコンやスマホのそばを離れる際は、必ずロックをかけて他の人が操作できないようにしましょう。
端末に触れる隙を見せてしまえば、データを簡単に抜かれてしまいます。
もし共用のパスワードを使用している場合は、セキュリティ向上のために自分の端末だけパスワードを変更するなどの対策が有効です。
流出は内部犯の犯行という前例もありますので、情報を守るための警戒は常に行ないましょう。
ソーシャルエンジニアリングは、オフィスに侵入した見知らぬ人間によって引き起こされることもあります。
侵入者による情報漏えいを防ぐためにも、オフィスへの入退室は厳格な管理が求められます。
入退室時に入館証の提示を求めるなど、侵入経路だけでなく逃げ道をなくす対処も重要です。
重要な内容が書かれた書類を机の上に放置する人は意外と多いです。
そのような状況は、もはや情報を盗んでくれといっているようなもの。
重要な書類は鍵付きの保管庫に入れるなど、簡単に見られないようにする工夫が必要です。
少しの隙から情報はすぐ漏れてしまうので、わずかなほころびも許さないようにしましょう。
今やSNSの利用者は国民の8割ほどと言われる時代です。
そのような状況下で個人のSNS利用を禁止するのは現実的ではないですが、不用意な発信で個人情報が流出する可能性もあります。
そのため、SNSの利用時には下記のようなルールを設定してみましょう。
また、業務内容を一般的なSNSでやり取りするところは、ビジネス用チャットを導入することでセキュリティ対策を向上させることも可能です。
さまざまな対策を講じても、わずかな隙を突かれて個人情報・機密情報が流出する可能性もあるでしょう。
その際、流出をただ手をこまねいて見ているのはされるがままの状況となります。
これ以上の流出を阻止しつつ、犯人を特定するためには専門機関への相談が必要です。
パソコン・スマホなどの端末に保存していた情報が流出した場合は、スパイウェアが端末に侵入したことが原因と思われます。
当探偵事務所は、端末を解析するフォレンジック調査を行ない、侵入したスパイウェアを特定して削除いたします。
また、調査の報告書は不正アクセスの証拠となりますので、これを基に警察を動かして犯人の逮捕も可能です。
もし少しでも不正アクセスの疑いがある場合はご相談からでも対応可能ですので、お気軽にご連絡ください。
これまで当探偵事務所に寄せられた、ソーシャルエンジニアリングに関する相談事例をご依頼者様の許可を得て掲載いたします。
ソーシャルエンジニアリングに関する相談先を探されている方は、ぜひご参考ください。
探偵はソーシャルエンジニアリングのどのような手口に対処可能でしょうか?
探偵が対処できるのは怪しい人物の行動調査、ネット上のリサーチ調査、不正アクセスされた端末の解析調査になります。
例えば、社内や周辺で怪しい動きをする人物がいれば、その人物の行動から素性を明らかにすることが可能です。
また、SNSや掲示板サイトなどでネットリサーチを行ない、機密情報が漏れていないかの確認もできます。
もし既に端末が攻撃されていないか不安な場合は、フォレンジック調査によってお使いの端末を解析します。
しかし、トラッシングやベイト攻撃などに対する調査は社内に潜入する必要があるため、個人からのご依頼では対応できませんのでご了承ください。
探偵は法人からの依頼には対応可能でしょうか?
もし会社単位でソーシャルエンジニアリングが疑われる場合、ご依頼いただければ調査員を派遣してお調べすることができます。
オフィスの中に調査員が潜入し、怪しい人物がどのように動いているのかを特定可能です。
もし許可をいただければ、ボイスレコーダーや小型カメラを設置して対象人物の動向を伺うこともできます。
どんなものがソーシャルエンジニアリングの証拠になりますか?
電話やメールのやり取りにて情報を聞き出したのであれば、通話の音声データやメールの文面が最も有効な証拠です。
通話履歴が残っているだけだと具体的な証拠にはならないので、会話の内容がわかるものであることが重要です。
また、端末を解析して不正アクセスの履歴がわかれば、そこからアクセス経路を割り出して犯人の特定ができます。
しかし、実際に端末を操作してパスワードを解除していた場合、通常使用との区別が難しいため証拠が作りにくい部分があります。
探偵の調査によって、裁判でも証拠として使用できる調査報告書をお渡しできます。
ソーシャルエンジニアリングの可能性は、あらゆるところに存在しているといえます。
もし個人情報の漏えいが自分から起きていた場合、各方面から原因の追及をされかねません。
もし被害規模が大きければ、数万人以上もの個人情報流出被害につながる可能性も。
それを阻止するためにも、ソーシャルエンジニアリングへの対策は充実させるべきです。
しかし、ソーシャルエンジニアリングの手口は多岐に渡るため、すべてに対処することは困難。
自分だけで対処が難しい場合は、当探偵事務所にご相談ください。
24時間365日受け付けておりますので、電話・メール・LINEからお気軽にご連絡をお願いします。
まず、現状について相談することから始めましょう。
現在お持ちのお悩み事、被害の状況、対策依頼に関する質問や要望などのご相談が可能です。
※docomo・au・softbankなどの携帯電話アドレスはドメイン指定設定により毎月10件以上の「送信エラー」が起こっているため、フリーメール(GmailやYahoo!mail)の利用をおすすめします。しばらく経っても返信が来ない方はお電話にてご確認くださいませ。
Ranking
ストーカー・嫌がらせ対策専門窓口ホットラインは24時間受付ております。電話相談は何度でも無料です。
ご相談の段階では匿名でのご相談が可能です。調査が必要かわからない方も気軽にお問合せ下さい。
Copyright(C) ストーカー・嫌がらせ対策専門窓口. All Rights Reserved.
(C) ストーカー・嫌がらせ対策専門窓口
MENU
