ホーム > ハッキング調査関連記事 > ハッキング相談サポート > ソーシャルエンジニアリングとは?主要手口と効果的な対策法を徹底解説
公開日: 2024/10/24
ハッキング調査関連記事 - ハッキング相談サポート
 公開日: 2024/10/24

ソーシャルエンジニアリングとは?主要手口と効果的な対策法を徹底解説

この記事の読了目安時間は約 8 分です。

ソーシャルエンジニアリングは、サイバー攻撃の中でも特に人間の心理を巧みに利用した手法です。

この攻撃は、パスワードや機密情報を不正に入手するために、個人や組織にとって重大なリスクとなっています。

本記事では、ソーシャルエンジニアリングの代表的な手口と、それらから身を守るための具体的な対策を分かりやすく紹介します。

あなたの大切な情報を守るために、ぜひ参考にしてください。

この記事のみどころ!
ソーシャルエンジニアリングの手口や防止策をわかりやすく解説。情報漏洩を防ぐための具体的な対策を知りたい方は必見です。

目次 [ 閉じる ]

ソーシャルエンジニアリングとは

男性が操作するノートパソコンの画面をのぞき見する男性

対策を始める前に、まずソーシャルエンジニアリングとは何なのかについて理解を深める必要があります。

耳なじみのない言葉かもしれませんが、身の回りに確実に潜む危険ですので内容を把握しておきましょう。

情報を盗み取る行動全般のこと

ソーシャルエンジニアリングとは、情報を盗み取ろうとする行為全般を指す言葉です。

対象となる行為は盗み見といった原始的なものから、パソコンのハッキングまでリアル・ネットを問わず多岐に渡ります。

いずれも共通点としては、人の弱みや隙につけ込むという点です。

たとえば、自分を信頼できる人間と勘違いさせて情報を引き出したり、セキュリティ対策を緩めた隙を突いて不正アクセスを行なうなど。

こうした油断や緩みを見逃さずにつつくのが、ソーシャルエンジニアリングの手口です。

ソーシャルエンジニアリングの手法

ディスプレイに映るフードを被った男

ソーシャルエンジニアリングに当てはまる行為を解説していきます。

もし下記のような行為を最近受けたり、その疑いを感じた場合は警戒を強めましょう。

あなたや周囲の人に、プライバシー漏えいの危険が迫っているかもしれません。

パソコン・スマホなどの画面を盗み見る(ショルダーハッキング)

至って原始的な方法ですが、パソコン・スマホを操作する人の画面を覗き見して、パスワードや個人情報を盗み取る方法です。

パスワードを入力する画面を見られてしまうと、入力時の様子からパスワードが解読できてしまいます。

その盗み見で得たパスワードを利用してパソコン本体やデータベースに侵入され、情報を奪われるでしょう。

また、個人に関してもSNSを見ている際の画面を見られた場合、IDを知られると個人情報を特定される危険があります。

知人になりすまして情報を聞き出す(ファーミング)

聞き込みも、情報を得る上では有効な方法です。

特にターゲットの知人と称して聞き込みを行なった場合、本人確認などをされない場合がほとんど。

結果として、まんまと他人に個人情報が明け渡されてしまいます

また、警戒の強い人物から聞き込みを行なう場合、時間をかけて信頼関係を築き上げてから情報を引き出す「ファーミング」と呼ばれる手法も使われます。

単純な手法ですが、今でも使われる効果的な個人情報取得手段です。

不法侵入によって情報を抜き取る(ハンティング)

こちらも原始的な方法ですが、情報を保管する部屋や建物内に侵入して情報を盗み出す方法を「ハンティング」といいます。

侵入者用のセキュリティ対策を設置していても、実際に稼働していなければ意味はありません。

何の対策もされていない上に誰もいない室内は、不法侵入者に入ってくれと言っているようなものです。

油断して放置し続けている機密情報が、簡単に盗まれてしまうことになりかねません。

ゴミ箱を漁る(トラッシング)

機密情報が書かれた書類を、不要になったからとそのままゴミ箱に捨てる人は意外と多いです。

ですが、適切な方法で処分しないのは危険といえます。

ゴミを漁って書類を引っ張り出し、大切な情報が知られてしまう可能性が大いに存在します。

こうしたゴミ箱を漁って情報を得る手法は「トラッシング」と呼ばれ、古くから使われる方法です。

SNSを利用する

近年はSNSを使って簡単に個人と距離を近付けられるため、ソーシャルエンジニアリングの手口に利用されることも多いです。

SNSで交流を深めて情報を聞き出したり、別の人物になりすまして安心感を抱かせて情報を引き出すなどの方法が存在します。

また、少しでも情報を引き出せたなら、そこからネットリサーチを行なって特定を行なうこともできたりします。

インターネットだけの繋がりにも、こうした危険は潜んでいると認識しておきましょう。

スピアフィッシング攻撃

フィッシング詐欺はスパムソフトの入ったURLが書かれたメッセージを不特定多数に送り付けるものですが、明確なターゲットを定めた場合は「スピアフィッシング攻撃」と言います。

特定の相手だけにスパムメッセージを送り、個人情報の引き出しを狙います。

スピアフィッシング攻撃の場合、特定の相手の心理に刺さる文面となっているため、通常のフィッシング詐欺より被害率が上がる傾向です。

リバースソーシャルエンジニアリング

基本的にソーシャルエンジニアリングの手口は、犯人からターゲットに対して行動するものばかりです。

それ以外のターゲットに行動させる手法は「リバースソーシャルエンジニアリング」と呼ばれます。

リバースソーシャルエンジニアリングには、このような手口が当てはまります

  • 担当者が変更になったことでの再登録という名目で個人情報を聞き出す
  • 「伝えたいことがあるので連絡してほしい」というチラシに連絡先を記載し、連絡が入るのを待つ
  • 「ヘルプデスクの番号が変更になったので連絡してほしい」と偽の電話番号を伝えて連絡を待ち、電話番号を知る

マルウェア感染

ターゲットのパソコン・スマホなどを、情報を盗み出すマルウェアに感染させる方法も有名です。

もしパソコンやスマホを置いて席を離れた場合、隙を突いてマルウェアの入ったUSBメモリなどを接続されることが考えられます。

侵入したマルウェアは機器の内部でひそかに稼働し、連絡先や金融機関の情報といった個人情報を抜き取るでしょう。

個人情報漏えいだけでなく、金銭的な被害も出てしまうかもしれません。

ベイト攻撃

ベイト攻撃は「おとり攻撃」とも呼ばれ、気になるものをターゲットの目の前に置く手法です。

例えば、ターゲットの机の上にUSBメモリを置いておけば、覚えのないUSBメモリでも中身に何があるか知るために一応挿入するかもしれません。

このUSBメモリにハッキング用のマルウェアが入っていれば、まんまとパソコンに侵入されてしまうという仕組みです。

他にも、USBメモリから放電させてパソコンの破壊を狙う嫌がらせ攻撃も考えられます。

プリテキスティング攻撃

プリテキスティングとは、もっともらしい口実によってターゲットを信頼させ、機密情報の漏えいや金銭被害に誘導する攻撃手法です。

被害のパターンとしては、下記のようなものが考えられます。

  • データ管理の専門家を名乗り、点検のためと称してアクセス権を要求する
  • 以前の職場の人間を名乗り、企業の機密情報を聞き出す

ビッシング

ビッシングは別名「ボイスフィッシング」とも呼ばれ、電話などを経由した音声によるソーシャルエンジニアリングです。

例えば公共機関を装った機械音声による通話をしらみつぶしにかけて、情報を入手するなどの手口が挙げられます。

また、今や詐欺の常套手段となったオレオレ詐欺も、やり方としてはビッシングの一種です。

スミッシング

スミッシングとは、携帯電話のSMS(ショートメッセージ)を利用して行なうソーシャルエンジニアリングです。

有名企業や公共機関を名乗って反応する必要性を感じさせ、スパムの入ったURLを踏ませるのが狙いといえます。

これらのメッセージは一見本物だと思えてしまいますが、発信先のアドレスなどを見ると本物でないとすぐ見破れるパターンが大半です。

ソーシャルエンジニアリングの実例

謝罪をする6人

ソーシャルエンジニアリングの手口は、とても単純に思えるものが多いかもしれません。

しかし、大手企業でもその術中にハマり、大規模な個人情報流出事件を起こした実例がいくつも存在します。

それだけ、油断した隙を突いた犯行が有効であることを示しているといえるでしょう。

過去に起きたソーシャルエンジニアリングによる被害事例を解説します。

NTT西日本系の元派遣社員による個人情報流出

2023年10月17日、NTT西日本の子会社「NTTマーケティングアクトProCX」が、元派遣社員によって個人情報900万件が外部に流出したと発表しました。

この社員は約10年にわたりデータを不正に持ち出し、一部は名簿業者に渡りました。

警察は不正競争防止法違反の容疑で捜査を進めています。

カシオで個人情報12万件が流出

2023年10月、カシオ計算機の学習用アプリ「ClassPad.net」のデータベースに不正アクセスがあり、約12万件の個人情報が流出しました。

対象は国内外の学校利用者の氏名やメールアドレス、学年などで、障害発生後の調査で判明しました。

カシオの流出被害は、第三者の不正アクセスが可能になっている状態となっていたため起きたと報告されています。

こうした外部への防御を無効にしてしまうのが、ソーシャルエンジニアリングの怖さです。

位置情報アプリ「NauNau」で230万人以上の個人情報が閲覧可能に

位置情報を共有するアプリ「NauNau」(ナウナウ)に登録している230万人以上もの個人情報が閲覧可能になっていたことが分かりました。

アプリ提供元は調査を行い、サービスを一時停止しました。

この事例は、情報セキュリティの欠陥がソーシャルエンジニアリングのリスクとなり得ることを示しています。

ソーシャルエンジニアリングの対策

鍵の点検をする作業員

原始的な方法から高度な手口まで、ソーシャルエンジニアリングの手法は多岐に渡ります。

これらの犯行には、適切な方法を駆使することで対処が可能です。

ソーシャルエンジニアリングへの対処法を把握しておきましょう。

重要情報の取り扱い時に周囲を確認する

機密情報は内部から流出することも考えられるため、誰が犯人かわからない側面があります。

ショルダーハッキングの可能性を防ぐためにも、重要な情報を扱う際には周囲を確認しておきましょう。

異様に近付いてくる人がいる時は、情報を盗み見られるリスクがあるといえます。

また、離席する際にもデータを簡単には見られないフォルダに置いておくなどの対処をしておくといいでしょう。

外部とのやり取り時のルールを作る

もしなりすまし犯による接触が起きても、毅然と対処して機密情報を守る必要があります。

そのためにも、電話対応など外部とのやり取りにおけるルールを徹底しておきましょう。

外部連絡のルール一例

  • 個人情報にかかわる内容は回答しない
  • 企業の内部にかかわる内容を聞かれたら上司に確認を取る
  • など

作り上げた仕組みを全体に浸透させることで、流出の隙を無くすことができます。

不審なメール・ファイルを開かない

ソーシャルエンジニアリングの手口の代表例が、スパムメールによる個人情報の流出です。

これはメールに記載されたリンクへのアクセスが原因なので、不審なメールは開かないことが何より重要になります。

また、見知らぬUSBメモリも不用意に接続せず、見覚えのないファイルも開かないようにしましょう。

自衛意識を高めて怪しいものに触れないことが、対策する上で最も重要になります。

資料はシュレッダー・溶解処理で処分する

処分したと思っていた資料から情報を抜かれる可能性は大いに存在します。

こうした形の流出を阻止するためには、今まで以上に徹底した処分が必要です。

紙の資料はシュレッダーにかけて細切れにして、つなぎ合わせて解読される可能性を減らしましょう。

また、USBメモリやハードディスクなどは破壊しつつ溶解処理を施して、手に取られないようにすべきです。

パソコン・スマホ端末のロックを徹底する

操作していたパソコンやスマホのそばを離れる際は、必ずロックをかけて他の人が操作できないようにしましょう。

端末に触れる隙を見せてしまえば、データを簡単に抜かれてしまいます。

もし共用のパスワードを使用している場合は、セキュリティ向上のために自分の端末だけパスワードを変更するなどの対策が有効です。

流出は内部犯の犯行という前例もありますので、情報を守るための警戒は常に行ないましょう。

入退室の管理を厳格にする

ソーシャルエンジニアリングは、オフィスに侵入した見知らぬ人間によって引き起こされることもあります。

侵入者による情報漏えいを防ぐためにも、オフィスへの入退室は厳格な管理が求められます。

入退室時に入館証の提示を求めるなど、侵入経路だけでなく逃げ道をなくす対処も重要です。

重要書類の放置を禁止する

重要な内容が書かれた書類を机の上に放置する人は意外と多いです。

そのような状況は、もはや情報を盗んでくれといっているようなもの。

重要な書類は鍵付きの保管庫に入れるなど、簡単に見られないようにする工夫が必要です。

少しの隙から情報はすぐ漏れてしまうので、わずかなほころびも許さないようにしましょう。

SNSの情報発信を規制する

今やSNSの利用者は国民の8割ほどと言われる時代です。

そのような状況下で個人のSNS利用を禁止するのは現実的ではないですが、不用意な発信で個人情報が流出する可能性もあります。

そのため、SNSの利用時には下記のようなルールを設定してみましょう。

  • 個人名・会社名を出さない
  • 業務にかかわる内容を発信しない
  • 機密情報の写り込みに注意する

また、業務内容を一般的なSNSでやり取りするところは、ビジネス用チャットを導入することでセキュリティ対策を向上させることも可能です。

フォレンジック調査を依頼する

さまざまな対策を講じても、わずかな隙を突かれて個人情報・機密情報が流出する可能性もあるでしょう。

その際、流出をただ手をこまねいて見ているのはされるがままの状況となります。

これ以上の流出を阻止しつつ、犯人を特定するためには専門機関への相談が必要です。

パソコン・スマホなどの端末に保存していた情報が流出した場合は、スパイウェアが端末に侵入したことが原因と思われます。

当探偵事務所は、端末を解析するフォレンジック調査を行ない、侵入したスパイウェアを特定して削除いたします。

また、調査の報告書は不正アクセスの証拠となりますので、これを基に警察を動かして犯人の逮捕も可能です。

もし少しでも不正アクセスの疑いがある場合はご相談からでも対応可能ですので、お気軽にご連絡ください。

「セキュリティ」の「プロフェッショナル」があなたを「ハッキング」から守ります!OSCP認定の専門家が高いスキルであなたの安心をサポート!ハッキング対策もお任せください。

ソーシャルエンジニアリングの相談事例

ノートパソコンを操作する男性に説明する女性

これまで当探偵事務所に寄せられた、ソーシャルエンジニアリングに関する相談事例をご依頼者様の許可を得て掲載いたします。

ソーシャルエンジニアリングに関する相談先を探されている方は、ぜひご参考ください。

実際にいただいた質問

依頼人
依頼人

探偵はソーシャルエンジニアリングのどのような手口に対処可能でしょうか?

調査担当者
調査担当者

探偵が対処できるのは怪しい人物の行動調査、ネット上のリサーチ調査、不正アクセスされた端末の解析調査になります。

例えば、社内や周辺で怪しい動きをする人物がいれば、その人物の行動から素性を明らかにすることが可能です。

また、SNSや掲示板サイトなどでネットリサーチを行ない、機密情報が漏れていないかの確認もできます。

もし既に端末が攻撃されていないか不安な場合は、フォレンジック調査によってお使いの端末を解析します。

しかし、トラッシングやベイト攻撃などに対する調査は社内に潜入する必要があるため、個人からのご依頼では対応できませんのでご了承ください。

依頼人
依頼人

探偵は法人からの依頼には対応可能でしょうか?

調査担当者
調査担当者

もし会社単位でソーシャルエンジニアリングが疑われる場合、ご依頼いただければ調査員を派遣してお調べすることができます。

オフィスの中に調査員が潜入し、怪しい人物がどのように動いているのかを特定可能です。

もし許可をいただければ、ボイスレコーダーや小型カメラを設置して対象人物の動向を伺うこともできます。

依頼人
依頼人

どんなものがソーシャルエンジニアリングの証拠になりますか?

調査担当者
調査担当者

電話やメールのやり取りにて情報を聞き出したのであれば、通話の音声データやメールの文面が最も有効な証拠です。

通話履歴が残っているだけだと具体的な証拠にはならないので、会話の内容がわかるものであることが重要です。

また、端末を解析して不正アクセスの履歴がわかれば、そこからアクセス経路を割り出して犯人の特定ができます。

しかし、実際に端末を操作してパスワードを解除していた場合、通常使用との区別が難しいため証拠が作りにくい部分があります。

探偵の調査によって、裁判でも証拠として使用できる調査報告書をお渡しできます。

ソーシャルエンジニアリング探偵相談

右手に南京錠と左手に鍵を浮かべる男性

ソーシャルエンジニアリングの可能性は、あらゆるところに存在しているといえます。

もし個人情報の漏えいが自分から起きていた場合、各方面から原因の追及をされかねません。

もし被害規模が大きければ、数万人以上もの個人情報流出被害につながる可能性も。

それを阻止するためにも、ソーシャルエンジニアリングへの対策は充実させるべきです。

しかし、ソーシャルエンジニアリングの手口は多岐に渡るため、すべてに対処することは困難。

自分だけで対処が難しい場合は、当探偵事務所にご相談ください

24時間365日受け付けておりますので、電話・メール・LINEからお気軽にご連絡をお願いします

まず、現状について相談することから始めましょう。

ソーシャルエンジニアリング調査相談フォーム

現在お持ちのお悩み事、被害の状況、対策依頼に関する質問や要望などのご相談が可能です。

    個人情報の取り扱い

    ファミリー調査事務所(以下、弊社)は、個人情報の重要性を認識し、それらの保護に関する法令などを遵守する為、プライバシーポリシーを制定して個人情報の保護を業務に従事する全ての者に対し徹底しております。

    • ○お問合せ頂いた内容に的確に対応する目的
    • ○個別説明会への対応
    • ○その他、上記に附随する目的

    ご記載いただいた情報は、当社の個人情報保護方針に従い適正に管理しています。

    個人情報の相談等については、お問い合わせ窓口までお申し出ください。

    ×

    お名前 (必須) (匿名可)
    お住まい地域
    ご連絡先 (固定電話・携帯)
    メールアドレス (必須)
    現在の被害状況
    ※出来る限り詳しくお聞かせ下さい
    現時点の情報
    ※今お持ちの情報をお聞かせ下さい
    その他質問・要望
    希望予算 円くらい
    個人情報の取り扱い
    →個人情報取り扱いについて


    ※docomo・au・softbankなどの携帯電話アドレスはドメイン指定設定により毎月10件以上の「送信エラー」が起こっているため、フリーメール(GmailやYahoo!mail)の利用をおすすめします。しばらく経っても返信が来ない方はお電話にてご確認くださいませ。

    監修者・執筆者 / 山内

    1977年生まれ。趣味は筋トレで現在でも現場に出るほど負けん気が強いタイプ。得意なジャンルは、嫌がらせやストーカーの撃退や対人トラブル。監修者・執筆者一覧へ

    嫌がらせ相談ランキング

    Ranking

    一人で悩んでもなにも解決しません…是非ご相談を!

    携帯/PHS対応 24時間365日対応 0120-506-862 携帯/PHS対応 24時間365日対応 0120-506-862

    ストーカー・嫌がらせ対策専門窓口ホットラインは24時間受付ております。電話相談は何度でも無料です。
    ご相談の段階では匿名でのご相談が可能です。調査が必要かわからない方も気軽にお問合せ下さい。

    Copyright(C) ストーカー・嫌がらせ対策専門窓口. All Rights Reserved.

    (C) ストーカー・嫌がらせ対策専門窓口

    pageTop
    メール相談 LINE相談 電話相談