【サイバー攻撃の98%はこれ?】明日から対策したいソーシャルエンジニアリングとそのポイント

COVID-19の影響で多くの情報やその処理がオンラインに移行し、サイバーセキュリティ環境は著しく変化しました。今回は、その中で最も脅威のある攻撃の一つである「ソーシャルエンジニアリング」や「フィッシング」に焦点を当てて、それがどのようなものなのか、それをどのように対策していくべきなのかについて取り上げます。

ソーシャルエンジニアリングに関するデータ

拡大する脅威

ソーシャルエンジニアリングは一般的な用語ではないのですが、その重要性に関する意外なデータをご紹介したいと思います。

98%のサイバー攻撃はソーシャルエンジニアリングである

PURPLESEC

この数字は驚きです。サイバー攻撃というとハッカーが特別なコードを書くイメージですが、実際はEメールやSNSなどがほとんどなのです。

91%の高度なサイバー犯罪はEメールから始まる

SysGroup

この数字も驚きです。高度なサイバー犯罪に限ってみても、実際はEメールがタッチポイントとなっているのです。

日本も例外ではない

このように多くのサイバー攻撃に関連しているソーシャルエンジニアリングですが、これは欧米諸国に限った話ではありません。実際、Gmailを通じた攻撃の標的となった回数はアメリカ、イギリスに次いで、日本が世界第3位であり(Google)、このコロナ禍で日本におけるフィッシング発生件数は前年比4.8倍まで膨れ上がりました(フィッシング対策協議会)。

ソーシャルエンジニアリング・フィッシングとは?

そもそもソーシャルエンジニアリング・フィッシングとは「被攻撃者の不安を煽るなどして、機密情報を教えるなどの特定の行動に誘導する方法」です。様々なケースが考えられますが、Eメール・SNS・SMSや直接見聞きしたりする場合を指すことが多いです。また、フィッシングはソーシャルエンジニアリングの一手法で、「実在する組織になりすまして、本来アクセス権限のない情報を詐取する行為」を指します。言葉で説明してもなかなか分かりにくいと思うので、図と比喩を用いて説明します。

ハッカーの侵入の方法は2通り

そもそもハッカーがターゲットを決めて、そのシステムに侵入しようとするとき、大きく分けて2種類の方法があります。

1つ目はアプリケーションの穴を突く方法です。技術的な脆弱性を使用する場合もあれば、コーディングのミスやアクセス管理の設定ミスを使用する場合もあります。2つ目は組織の人間を通じて侵入する方法です。代表的な方法としては、組織内の人間にメールやSNS、SMSなどでメッセージを送ることで、特定のリンクをクリックさせてマルウェアをインストールさせたり、似たようなデザインの偽サイトに誘導したりするものがあります。さらには物理的に盗み見たり、公衆Wi-Fiを遮断することによって攻撃用のWi-Fiに巧みに誘導する例もあります。ソーシャルエンジニアリングはまさに後者です。

ハッカーとその目標である情報の関係は、泥棒と金庫の関係にとても似ています。ドライバーなどの専用の器具を使って金庫を開けようとするのが、先ほどの1つ目の方法です。一方、金庫の守衛に近づいてパスワードなどを聞き出そうとするのが2つ目の方法です。つまり、ソーシャルエンジニアリングは金庫の守衛を騙す方法と喩えられます。

具体的な事例

具体的な事例として、日本経済新聞社で起こったインシデントをご紹介しましょう。米国支社のNikkei Americaが経営幹部に成り済ました第三者に約32億円を誤送金しました。

詳しい手口については定かではありませんが、単なるメールによって近づいたのではないかと推測されています。この種の手口はBECスキャンあるいはビジネスメール詐欺と呼ばれており、ソーシャルエンジニアリングの代表的な手法です。

結局どう対策すればいいの?

ここまでソーシャルエンジニアリングの怖さと概要について取り上げてきました。それでは結局ソーシャルエンジニアリングをどのように防げば良いのでしょうか。答えは簡単です。「金庫の守衛のレベル」を上げれば良いのです。具体的な方法はセミナー・トレーニングの2つがあります。

セミナー・勉強会

ソーシャルエンジニアリングの具体的な手法とその対策について、セミナーや勉強会を行う方法です。しかし、この方法の効果には懐疑的な部分があります。やはり受動的な情報のインプットだけでは限界があり、中途半端な対策に終わってしまうケースが少なくありません。もしセミナーだけで対策できるならば、これほど多くのインシデントが成功するはずがないでしょう。

疑似攻撃によるトレーニング

実際にEメールやSNSなどでメッセージを送り、疑似的に攻撃することによって訓練する方法です。大規模メール訓練、標的型メール訓練などと呼ばれることが多いです。「実際に引っかかってしまった」という経験は非常に強烈なので、セミナーでただ教えるよりも大きな効果が見込めます。ただし、この場合サービス選定の際に気を付けなければならないことが2つあります。

1つ目の選定ポイントは「SNS、SMSに対応したサービスか?」ということです。ホンモノのハッカーの攻撃はEメールだけでなく、SNSやSMS、その他SaaS系のサービスなどを通じて、あの手この手で行われます。このような状況を鑑みると、Eメールだけの訓練はホンモノの攻撃を全てシミュレーションできていないのは明らかでしょう。

2つ目は「個別最適化された訓練が可能か?」ということです。攻撃には標的型と無差別型の2種類があります。そのうち標的型の攻撃では、ターゲットに対して個別最適化されたメッセージを生成することによって、ハッカーは攻撃の成功確率を上げます。このように、ホンモノのハッカーの攻撃はテンプレートの範囲に収まらないことは明らかでしょう。

結論

ここまでソーシャルエンジニアリングの脅威と概要、対策法とそのポイントについて触れてきました。結論としては「SNSに対応しているかつメッセージがテンプレートでない、リアルな攻撃に近いメールトレーニング」がソーシャルエンジニアリング対策の現状の最適解だと言えそうです。具体的なサービスの例としてはAironWorksがあります。イスラエル8200部隊出身のハッカーが実経験をもとに、ホンモノのハッカーの攻撃を再現するサービスです。本記事がソーシャルエンジニアリングを考えるきっかけになれば幸いです。

最新情報をチェックしよう!