ソーシャルエンジニアリングの定義
ソーシャルエンジニアリングは、心理的な手口で人を操り、機密情報を漏洩するなど、攻撃者が望む行動を取らせるさまざまなサイバー攻撃を表す包括的な用語です。ソーシャルエンジニアリング攻撃が機能するのは、人間が金銭、愛情、恐怖などの強力な動機によって行動せざるを得ないためです。攻撃者は、このような欲求を満たすための偽の機会を提供することで、人間のこの特性を利用します。
最も低レベルなソーシャルエンジニアリング攻撃は、数に任せた方法です。十分な数の人々に数ドルを追加で獲得する機会を提供すれば、常に何人かは反応します。ただ、非常に巧妙な攻撃もあり、かなり用心深い人でさえ騙される可能性があります。
セキュリティスタックがどれほど強力で、ポリシーがどれほど練り上げられていても、ユーザーがだまされて悪意のあるアクターに認証情報を漏洩する可能性があるため、ソーシャルエンジニアリング攻撃はサイバーセキュリティの専門家にとって大きな懸念事項です。内部に入り込めば、悪意のあるアクターは盗んだ認証情報を使用して正当なユーザーになりすますことができるため、ラテラルムーブメントによって、どの防御策が実施されているかを確認し、バックドアを設置して、アイデンティティ窃盗を行うことができます。そしてもちろん、データを盗みます。
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードソーシャルエンジニアリング攻撃の仕組み
ソーシャルエンジニアリング攻撃は、Eメール、ソーシャルメディア、電話などを介して行われることも、攻撃者が直接行うこともあります。攻撃に使用されるチャネルに関係なく、その方法は一貫しています。攻撃者は、個人に「ログイン認証情報の確認」を必要としているITワーカーや、アクセストークンを緊急に必要としているがトークン取得のための適切な手順を知らない新入社員など、情報を必要としている個人を装います。
ソーシャルエンジニアリング攻撃のステップ
ソーシャルエンジニアリング攻撃は通常、次のようなシンプルなステップで行われます。
- 調査:攻撃者は被害者を特定し、攻撃方法を選択します。
- 関与:攻撃者は接触して、信頼を確立するプロセスを開始し、欲望、親切心、好奇心に訴えかけ、切迫感を作り出します。
- 攻撃:攻撃が開始され、攻撃者がペイロードを収集します。
- 逃走:攻撃者は痕跡を隠して攻撃を終了します。
ソーシャルエンジニアリング攻撃が機能する理由
ソーシャルエンジニアリング攻撃が機能するのは、人間が金銭、愛情、恐怖などの強力な動機によって行動せざるを得ないためです。
ソーシャルエンジニアリング攻撃の種類
ソーシャルエンジニアリング戦術を使用して行われる攻撃には多くの種類があります。最も一般的なソーシャルエンジニアリング手法は、次のとおりです。
1. フィッシング
フィッシング攻撃は、最もよく知られているソーシャルエンジニアリング戦術です。フィッシング攻撃はEメール、ウェブサイト、Web広告、Webチャット、SMS、またはビデオを使用して、被害者に行動を促します。フィッシング攻撃は、銀行、配送サービス、または政府機関を装うことも、より具体的に人事、IT、財務など、被害者の会社の部門を装うこともあります。
2. ベイティング
ベイティング攻撃では、無料の音楽、ゲーム、着信音などを提供して標的を誘い込み、標的がログインして無料のデジタル商品を取得するために使用するパスワードとして、重要なサイトのパスワードを再利用することを期待します。パスワードが1回限りのものであっても、攻撃者はそのパスワードを何千もの他のパスワードのパッケージの一部としてダークウェブで販売できます。
企業環境では、ベイティング攻撃は、休憩室やロビーなどのわかりやすい場所に残されたフラッシュドライブの形をとる可能性が高くなります。このドライブを見つけた人が、誰のものか確認しようと企業ネットワークに接続すると、マルウェアが環境にダウンロードされます。
3. Quid Pro Quo(代償型)
代償型攻撃は、ベイティング攻撃に似たソーシャルエンジニアリング詐欺ですが、無差別的なアプローチではなく、サービスに対する支払いを申し出て個人を標的にします。例えば、脅威アクターは、企業環境へのアクセスに対して料金を支払う学術研究者を装う場合があります。
4. プリテキスティング
プリテキスティングは一種のソーシャルエンジニアリングで、攻撃者は、被害者の信頼を得るために偽のシナリオ(または「口実(プリテキスト)」)をでっち上げ、経験豊富な投資家、人事担当者、またはその他の一見正当な関係者を装う可能性があります。プリテキスティングでは、被害者の感情につけ込んで、切迫感を利用したり、話がうますぎる取引を申し出たり、同情を得たりして、被害者をだまします。
5. テイルゲーティング
テイルゲーティング攻撃は、攻撃者が直接行う独特な攻撃です。ピギーバック攻撃とも呼ばれるテイルゲーティング攻撃は、攻撃者が従業員にドアを押さえて開けておくように頼んで施設に侵入することで発生します。施設に入り込んだ攻撃者は、データや情報の窃盗や破壊を試みます。
ソーシャルエンジニアリングの例
COVID-19 Eメール詐欺
世界中でCOVID-19が広がったとき、人々は恐怖、不安、期待などの感情でいっぱいになりました。これらは効果的なソーシャルエンジニアリングキャンペーンのための最重要要素です。サイバー犯罪者は悪意のあるEメールスパム攻撃(マルスパム)を世界中に広める際に、このような感情を最大限に活用しました。
個々のEメールスパム攻撃については、こちらをご覧ください。COVID-19時代のマルスパム>
クラウドストライクを装った脅威アクターによるフィッシング詐欺
CrowdStrike Intelligenceは、クラウドストライクをはじめとする著名なサイバーセキュリティ企業になりすましたコールバックフィッシングキャンペーンを特定しました。フィッシングEメールは受信者の企業が侵害されていることを示唆し、被害者にメール内の電話番号に電話をかけるように要求しました。ハッカーは最終目標として被害者の機密情報を狙っていました。
このフィッシング詐欺については、こちらをご覧ください。クラウドストライクやその他のサイバーセキュリティ企業を装ったコールバックマルウェアキャンペーン>
Flashアップデートを装ったマルバタイジング詐欺
Shlayerマルバタイジングキャンペーンは、偽のFlashアップデートとソーシャルエンジニアリング戦術を使用して被害者をだまし、macOSマルウェアを手動でインストールさせて、システムを侵害しました。Shlayerはマルウェアの一種で、被害者のシステムに迅速かつ密やかに感染します。
マルバタイジング詐欺については、こちらをご覧ください、Flashアップデートを偽装したShlayerマルバタイジングキャンペーン>
ソーシャルエンジニアリング攻撃の防止
ソーシャルエンジニアリングの脅威を防ぐ最善の方法は、防御戦略に人間とテクノロジーの両方のアプローチを採用することです。
ソーシャルエンジニアリング攻撃を防ぐためのベストプラクティス
セキュリティ意識向上トレーニングは、被害を防ぐ最善の方法です。ソーシャルエンジニアリング攻撃の被害を受けていると考えられる何らかの根拠がある場合は、従業員がITセキュリティ担当者に相談できるプロセスが会社に存在しているかを確認します。
セキュリティ意識向上プログラムの一環として、組織は従業員に以下の慣行について継続的に注意喚起する必要があります。
- 知らない人から送信されたリンクをクリックしない。最初にカーソルを合わせます(検証されていないものは信頼しないでください)。
- 見覚えのない送信者からのEメールの添付ファイルを開かない。
- アカウント情報を要求したり、アカウントの確認を要求したりするEメールや電話に注意する。
- Eメールやロボコールに対して、ユーザー名、パスワード、生年月日、マイナンバー、財務データ、またはその他の個人情報を提供しない。
- 要求された情報が正当な発信元からのものであることを、常に個別に検証する。
- 正規のウェブサイトのWebアドレスを常に確認し、ブラウザに手動で入力する。
- リンクにスペルミスや不適切なドメインがないかどうかを確認する(末尾が「.gov」であるべきアドレスの末尾が「.com」になっているなど)。
- 送金したり、情報を送信したりする前に、電話またはビデオ通話で確認する。
- 除菌商品や個人用保護具などの偽造品や、COVID-19の予防、治療、診断、治癒を謳う商品を販売している人に注意する。
ソーシャルエンジニアリング攻撃を防ぐソフトウェア
すべての組織は人材以外に、次の機能を備えたサイバーセキュリティソリューションを採用する必要があります。
- センサーの展開。見えないものを止めることはできません。組織は、防御側に環境全体の完全な可視化を提供する機能を展開し、攻撃者の隠れ家になる恐れのある盲点が発生しないようにする必要があります。
- 技術インテリジェンス。侵害の痕跡(IOC)などの技術インテリジェンスを利用して、それらの情報をセキュリティ情報とイベントマネージャー(SIEM)で消費し、データエンリッチメントを実行できます。これにより、イベント相関を実行する際にインテリジェンスが追加され、検知されなかったネットワークのイベントが明るみになる可能性があります。複数のセキュリティテクノロジーにわたって精度の高いIOCを実装することで、本当に必要な状況認識が向上します。
- 脅威インテリジェンス。一連の流れが記載された脅威インテリジェンスレポートを利用すれば、脅威アクターの振る舞い、その活用ツール、および採用手口を明確に把握できます。脅威インテリジェンスは、脅威アクターのプロファイリング、キャンペーンの追跡、マルウェアファミリーの追跡をサポートします。最近は、攻撃自体を知るだけでなく攻撃のコンテキストを理解することが重要になっています。このとき脅威インテリジェンスが重要な役割を果たします。
- 脅威ハンティング。組織にとってテクノロジーを理解することはこれまで以上に重要ですが、それだけでは十分ではありません。セキュリティテクノロジーだけで100%の保護を保証することはできず、テクノロジーが絶対確実ではないことを理解することが、24時間365日管理された人による脅威ハンティングの必要性を理解するための第一歩となります。