このブログはコミュニティプログラミングマネージャーのEsther(エスター)より発行された内容を日本語にしています。(英語版はこちらから)
ソーシャルエンジニアリングについて
インターネットは、現在身近な存在となっており、人類にとって大きな変革をもたらしてきたと言っても過言ではありません。
インターネットは様々な可能性で溢れており、簡単に情報を取得できます。インターネットを利用することでコミュニケーションをより身近に、またこれまで以上に多くの人々との距離を縮めることが可能となりました。考えを述べたり、情報を共有することは、インターネットで行える自由のひとつです。また時間と距離を気にすることなく気軽にインターネットを利用できます。
しかし、インターネットは結局のところバイナリであることを忘れてはいけません。
便利で身近な存在でありながら、犯罪があることも現実問題として受け止めなければなりません。トリックスターや詐欺師は、オフラインの方法を調整して、オンラインでも機能するように動いています。
ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングは、攻撃者と標的の間の信頼を構築することに基づくハッキングの一形態です。悪意ある人間が善良な市民や企業・団体など様々なターゲットをおとしいれる時、先ず行われる攻撃ですし、技術的な知識が不要なので、誰でも被害に遭う可能性があるのです。
これらは目新しいことではありませんが、インターネットベースの通信に適合するように詐欺師によって適応されてきました。
これは、ハッカーがセキュリティの脆弱性を介してシステムに侵入しようとする従来のハッキングとは異なります。ソーシャルエンジニアリングはテクノロジーではなく心理学に依存しています。
ソーシャルエンジニアリングの目的は?
ソーシャルエンジニアはシステムではなく人に集中します。したがって、「ソーシャル」という言葉がこの種の犯罪の名前の一部となります。
しかし、犯罪者は社会的に行動していません。彼らは人をだまして重要な情報を提供させたり、アクセスできない機密性の高いタスクを実行させたりするトリックスターです。
最終的に、機密性の高いタスクを実行しお金を稼ぐことが目的です。
さらに詳しく説明すると、次のようになります。
犯罪者は、情報にアクセスしようとしたり、マルウェアをシステムに拡散させたりすることで、直接的または間接的に金銭を獲得しようとします。これにより、恐喝やその他の形で利益を得ることができます。
もちろんこれらの行動は違法であり、人や企業に有害です。
ソーシャルエンジニアリングのさまざまな種類、アプローチ方法
ソーシャルエンジニアリングは、人々をだまして詐欺師に欲しいものを与えるさまざまな方法の総称です。
ソーシャルエンジニアリングには多くの方法があります。ビッシング、フィッシング、スピアフィッシング、ベイティング、交換条件から、単に良い情報だけを提供し騙し取るなど、あらゆる手段でアプローチしてきます。
さらに理解を深めるため、いくつかの例をご紹介いたします。
ナレッジベースの記事「TeamViewerと詐欺」では、ビッシング攻撃について警告しています。これは、デバイスがマルウェアに感染していると主張して、電話でサービスを販売しようとしている詐欺師です。 Vishing(ビッシング)の「V」はVoice(ボイス)の略です。詐欺師は被害者に電話をかけたり、Webサイトに表示される不正なポップアップや広告から被害者が電話をかけるのを待つ傾向があります。
フィッシングの例としては、同僚や友人から受け取ったとされるメールで、そのリンクをクリックするか、添付ファイルを開くよう誘導されます。さらには刺激的で、面白く、物議を醸すコンテンツを表示するように指示する場合があります。侵害された添付ファイルを開くか、悪意のあるWebサイトへのリンクをクリックをするよう促され被害にあってしまうのです。
怪しいと判断するメールはすぐに削除し、ご家族や友人へ転送しないでください。
友人であると偽り、友人や同僚と偽った人物が巧みに添付ファイルやWebサイトのリンクをクリックするよう促してきます。このような詐欺師から身を守るために、日頃から怪しいと判断するメールは削除する習慣をつけてください。
このフィッシングと非常によく似ているのがスピアフィッシングです。
スピアフィッシングに関しては、「あなたの」銀行から、不規則な行動のためにアカウントがブロックされたというメールが届く場合があります。アカウントが完全にシャットダウンされる前に、アカウントを確認するように求められます。リンクをクリックして銀行の資格情報を入力するだけです。しかし、これを行うと犯罪者はあなたのデータを所持できます。
実際に銀行はこのメールを送信しておらず、アカウントはブロックされていません。嘘の情報であり、銀行口座がブロックされるという脅威で余分な圧力をかけることによって、犯罪者は銀行の詳細を得ようとします。
「インターネット警察」は存在しますか?
現在、公式のインターネット警察のようなものは存在しません。一部の国や組織ではサイバー犯罪と戦うためのイニシアチブを開始しましたが、犯罪、詐欺、プロパガンダ、またはその他の違法行為に対する公式またはインターネット全体の協力はありません。
人を犯罪者から守るため警察官や役人がいたとしても、まずはご自身が慎重に冷静な判断をする必要があります。
ソーシャルエンジニアリングにだまされないようにする方法はありますか?
ソーシャルエンジニアリングの試みを完全に把握することは困難であり、犯罪者の脅威は悪質となってきました。
最も重要なことはソーシャルエンジニアリングの意識を高め、知識を身に付けることです。
攻撃に対する最善の防御策は備えることです。ソーシャルエンジニアリングの認識を高めることで、自身のみならず、友人、家族、同僚を守ることに繋がります。より多くの人が警戒することで、詐欺師、詐欺師、トリックスター、ハッカー、ソーシャルエンジニアが犯罪を犯すことから身を守れます。
TeamViewerでは、潜在的な詐欺攻撃から身を守るためのお手伝いをしたいと考えています。
ソーシャルエンジニアリングから保護するための5つの黄金のルール
本人・本物であることを認識する
まず、詐欺やソーシャルエンジニアリング攻撃は現実として行われていることを理解し、誰もが犯罪者の標的になることを自覚することが大切です。
警戒することを怠らない
次のステップは、警戒することを怠らないことです。何かがおかしい、またはあまりにも条件の良すぎる情報であると感じた場合は、ソーシャルエンジニアリングというワードを心に留めてください。誰かがあなたの情報を利用しようとしているかもしれません。
例えば、USBスティックを見つけた場合は、USBをコンピューターに接続して、誰が紛失したかを調べないでください。むしろ、技術専門家に直接持ってきて、どこで見つけたかを説明してください。詐欺師がUSBを会社のコンピュータに接続することで、会社のネットワークへのアクセスを許可することを目的としている罠かもしれません。この手の詐欺はUSBベイティングと呼ばれ、会社に深刻な損害を与える可能性があります。
落ち着いた行動を心がける
不審な電話やメールを受け取った場合は、電話を切るか、メールを削除するか、コンピューターをシャットダウンして、何が起こったかを振り返るのがよいでしょう。そして心配は無用です。単に電話を切るのは失礼ではありません。
ゆっくりと時間をかけて、何が起こったのかを考えてください。
誰かがあなたを急かし、今すぐ判断をくだすよう強制してきている場合もご注意ください。また、発信者にお金を送金または銀行振込を行わないでください。ギフトカードによる支払いや、要求されたその他の形式の仮想支払いは絶対に行わないでください。
最近では、「セキュリティを意識しすぎる」ということはありません。
慎重な判断・行動をする
常にメールの内容とその送信者が提供する情報に疑問を持ってください。また、データを共有するときは今一度よく考えてください。誰と話しているのか、また提供を求められている特定の情報が必要であることが確実でない限り、情報や個人データの提供を拒否してください。
以上の行動はペースを少し遅くするかもしれませんが、ご自身、家族、そして勤め先にとってより安全な環境作りへと繋がります。また、犯罪者にだまされないことで、長期的には多くの時間と手間を省くことができます。
疑わしいメールのハイパーリンクをクリックしないでください。フィッシングWebサイトは、探していたWebサイトとまったく同じように見える可能性があることに注意してください。
適切なソフトウェアを使用する
身を守るために適切なソフトウェアをインストールしてください。
セキュリティパッチが利用可能になり次第インストールします。また会社のオフィシャルウェブサイトから直接ソフトウェアをダウンロードすることも重要です。
最新バージョンのオペレーティングシステムとソフトウェアを実行することは、自分自身を安全に保つための重要な柱です。また、堅牢なウイルス対策ソフトウェアを使用することのメリットを過小評価しないでください。ハッキングの試みを認識するのに役立ちます。
ソーシャルエンジニアリングから100%保護できるソフトウェアは存在しません。ソーシャルエンジニアリングを日頃から意識し身を守ることができるのはご自身です。
最後に
ひとりひとりのセキュリティに対する意識は非常に重要であると考えています。ご自身の意識や使い方によって、インターネットを楽しむことも、身を守ることもできます。
ソーシャルエンジニアリングはとても身近に起こりうる犯罪です。このブログをご覧になり、ひとりでも多くの方が安全にインターネットをご利用できることを願います。
