ソーシャルエンジニアリング攻撃の11種類
ソーシャルエンジニアリング攻撃は、欺瞞と操作を使用して、攻撃者が望むことをターゲットに実行するように誘導します。ソーシャルエンジニアは、トリック、強制、またはその他の手段を使用して、ターゲットに影響を与える場合があります。
ソーシャルエンジニアリングの脅威
サイバー攻撃の一般的な概念は、ハッカーが組織のシステムの脆弱性を特定して悪用するというものです。これにより、機密データにアクセスしたり、マルウェアを植え付けたり、その他の悪意のあるアクションを実行したりできます。 この種の攻撃は頻繁に行われますが、より一般的な脅威はソーシャルエンジニアリングです。 一般に、フィッシングページにログイン認証情報を入力するなど、人を騙して特定の行動を取らせることは、他の手段で同じ目的を達成するよりも簡単です。
ソーシャルエンジニアリング攻撃の11種類
サイバー脅威アクターは、目標を達成するためにさまざまな方法でソーシャルエンジニアリング手法を使用できます。 一般的なソーシャルエンジニアリング攻撃の例としては、以下のようなものがあります。
- フィッシング: フィッシングとは、ターゲットを騙したり、何らかの行動を起こさせたりするように設計されたメッセージを送信することです。 たとえば、フィッシング メールには、多くの場合、フィッシング Web ページへのリンクや、ユーザーのコンピューターをマルウェアに感染させる添付ファイルが含まれています。 スピア フィッシング攻撃は、個人または小さなグループを標的とするフィッシングの一種です。
- ビジネスメール詐欺 (BEC): BEC攻撃では、攻撃者は組織内の幹部になりすまします。 次に、攻撃者は従業員に電信送金を実行するように指示し、攻撃者に送金します。
- 請求書詐欺: 場合によっては、サイバー犯罪者がベンダーやサプライヤーになりすまして、組織から金銭を盗むことがあります。 攻撃者は偽の請求書を送信し、支払いが行われると攻撃者に送金します。
- ブランドのなりすまし: ブランドのなりすましは、ソーシャルエンジニアリング攻撃でよく使われる手法です。 たとえば、フィッシング詐欺師は、大手ブランド(DHL、LinkedInなど)のふりをして、ターゲットを騙してフィッシングページのアカウントにログインさせ、攻撃者にユーザーの資格情報を提供する可能性があります。
- 捕鯨: 捕鯨攻撃は基本的に、組織内の高レベルの従業員を標的とするスピアフィッシング攻撃です。 経営幹部と上層部には、攻撃者に利益をもたらすアクションを承認する権限があります。
- 苦しま せる: ベイト攻撃は、ターゲットの興味を引くために無料または望ましい口実を使用し、ログイン資格情報を渡すか、その他のアクションを実行するように促します。 たとえば、無料の音楽やプレミアムソフトウェアの割引で魅力的なターゲットを誘惑します。
- ビッシング: ビッシングまたは「ボイスフィッシング」は、電話で行われるソーシャルエンジニアリングの一種です。 フィッシングと同様のトリックとテクニックを使用しますが、媒体が異なります。
- スミッシング: スミッシングとは、SMSテキストメッセージを介して行われるフィッシングです。 スマートフォンやリンク短縮サービスの利用拡大に伴い、スミッシングはより一般的な脅威になりつつあります。
- プリテキスティング: プリテキスティングとは、攻撃者が、ターゲットが攻撃者に送金したり、機密情報を渡したりすることが論理的である偽のシナリオを作成することです。 たとえば、攻撃者は、被害者の身元を確認するための情報を必要とする信頼できる当事者であると主張する場合があります。
- クイド・プロ・クオ:クイド・プロ・クオ攻撃では、攻撃者は貴重な情報と引き換えに、ターゲットに金銭やサービスなどの何かを提供します。
- テールゲーティング/ピギーバック: テールゲートとピギーバックは、安全なエリアにアクセスするために使用されるソーシャルエンジニアリング手法です。 ソーシャルエンジニアは、本人の知識の有無にかかわらず、ドア越しに誰かを追いかけます。 たとえば、従業員は重い荷物に苦労している人のためにドアを開けることができます。
ソーシャルエンジニアリング攻撃を防ぐ方法
ソーシャルエンジニアリングは、組織のシステムの弱点ではなく、組織の従業員を標的にします。 組織がソーシャルエンジニアリング攻撃から保護する方法には、次のようなものがあります。
- 従業員教育: ソーシャルエンジニアリング攻撃は、意図したターゲットを騙すように設計されています。 一般的なソーシャルエンジニアリング手法を特定し、適切に対応できるように従業員をトレーニングすることで、従業員がソーシャルエンジニアリングに引っかかるリスクを減らすことができます。
- 最小権限: ソーシャルエンジニアリング攻撃は通常、ユーザーの資格情報を標的とし、その後の攻撃に利用される可能性があります。 ユーザーのアクセスを制限することで、これらの資格情報で発生する可能性のある損害を制限できます。
- 職務の分離: 電信送金などの重要なプロセスの責任は、複数の関係者間で分割する必要があります。 これにより、攻撃者によって 1 人の従業員が騙されたり、これらのアクションを実行させたりすることがなくなります。
- アンチフィッシングソリューション: フィッシングは、ソーシャルエンジニアリングの最も一般的な形態です。 メールスキャンなどのアンチフィッシングソリューションは、悪意のあるメールがユーザーの受信箱に届くのを特定してブロックするのに役立ちます。
- 多要素認証 (MFA): MFAは、ソーシャルエンジニアリングによって侵害された認証情報を攻撃者が使用することをより困難にします。 攻撃者は、パスワードに加えて、他の MFA 要素へのアクセスも必要条件となります。
- エンドポイント セキュリティ: ソーシャルエンジニアリングは、マルウェアを標的のシステムに配信するために一般的に使用されます。 エンドポイント セキュリティ ソリューションは、マルウェア感染を特定して修復することで、フィッシング攻撃が成功した場合の悪影響を制限できます。
チェック・ポイントによるソーシャル・エンジニアリング攻撃の防止
ソーシャルエンジニアリングは、企業のサイバーセキュリティに対する重大な脅威です。 ソーシャルエンジニアリングの脅威の詳細については 、eBook「History, Evolution, and Future of Social Engineering (ソーシャルエンジニアリングの歴史、進化、未来 )」をご覧ください。
Check Point Workspace Security Email and Office provides robust protection against phishing, the leading social engineering threat that companies face. Learn more about managing your organization’s exposure to social engineering by signing up for a free demo today.
