ナレッジ

ソーシャルエンジニアリングのリスク。Twitter社も被害にあったその手法とは?

2020年7月にアメリカで発生した大規模なTwitterアカウントの乗っ取り事件。この事件は、ソーシャルエンジニアリングという手法で乗っ取りが行われました。今回は、事件の経緯とともにソーシャルエンジニアリングの種類やその被害について紹介します。

ソーシャルエンジニアリングの怖さ

ソーシャルエンジニアリングという言葉を聞き慣れない方もいるかも知れません。具体的な情報セキュリティ事例を2つご紹介しながら、ソーシャルエンジニアリングの怖さや実態を解説します。

事例1:なりすましからの公式アカウント乗っ取り

2020年7月にアメリカを中心に発生したTwitterアカウントの乗っ取り事件の原因は、ソーシャルエンジニアリングでした。

皆さんの知る有名人の公式Twitterアカウントが乗っ取られ、この中には、当時は次期アメリカ大統領候補であったバイデン氏(日本時間2021年1月21日に大統領に就任)のTwitterアカウントも含まれており、社会的に影響力の高いアカウントが乗っ取りの対象とされました。

乗っ取られたアカウントからは、詐欺メッセージが全世界に送られ、大きな被害に繋がってしまいました。のちに調査した結果、この事件は犯罪グループが電話を使ってパスワードを聞き出すソーシャルエンジニアリング攻撃をTwitter社の社員に行い、アカウント乗っ取りに成功したことが判明しました。

事例2:ビジネスメール詐欺で3億円超を振り込み

次に2017年12月に起きたビジネスメール詐欺の事例を紹介します。

取引先を装ったメールで、旅客機のリース料などの振込先変更を依頼された日本企業が、偽メールに記載された銀行口座に約3億8000万円を振り込み、だまし取られました。のちの調査の結果、加害者側は様々な手段で標的となったユーザーのビジネスメールを盗み見しており、担当者の文体を細かく把握していました。そのため、日本企業の担当者は、偽メールにも違和感を覚えることなく、手続きを行ってしまったとのことです。

ここまで2つの事例を紹介してきました。サイバー攻撃のようなIT技術による外部からの攻撃ではなく、人の脆弱性に漬け込んで、情報を取得するソーシャルエンジニアリングも、サイバー攻撃同様に大きな被害に繋がってしまう可能性があります。ここからは、ソーシャルエンジニアリングの特性を紹介していきたいと思います。

ソーシャルエンジニアリングとは?

ソーシャルエンジニアリングとはネットワークへの侵入に必要なパスワードなどの情報を、情報通信技術を使用せずに入手する方法です。

人間の心理的な隙や行動のミスにつけ込んで個人が持つ秘密情報を入手します。情報セキュリティの3つの脅威の中では、人的脅威に属する脅威です。

ソーシャルエンジニアリングは、一見アナログな手法ですが、億を超える被害の発生や、ソーシャルエンジニアリングから漏洩した情報をきっかけにサイバー攻撃で不正アクセスの被害に遭う可能性もあり、侮ることは出来ません。具体的に、ソーシャルエンジニアリングにはどのような手法があるのでしょうか。代表的な手法を紹介します。

ショルダーハッキング

ショルダーハッキングとは、パスワードなどの重要な情報が入力されているところを肩(ショルダー) 越しにさりげなく覗き見る方法です。PC画面を盗み見するケースだけではなく、デスクの書類、デジタルデバイスの通知情報から情報を盗み見ることもショルダーハッキングに含まれます。

カフェで情報漏洩するなんて?あなたも狙われているショルダーハッキング情報セキュリティのリスクは至るところに潜んでいます。今回は、ソーシャルエンジニアリングの一つ、ショルダーハッキングの怖さや対処法をご紹介します。...

スキャビンジング(トラッシング、スカビンジング)

スキャビンジングとは、パスワードなどの重要な情報をごみ箱に捨てられた資料や、廃棄された中古IT機器のハードディスクに残っている情報から探す方法を指します。トラッシングやスカビンジングと呼ばれる場合もあります。また、不正アクセス等の外部からネットワークに侵入する際に、事前の情報収集としてスキャビンジングが行われることもあります。

ゴミ箱に捨てた情報がサイバー攻撃の引き金に?スキャビンジングの怖さとは。情報セキュリティのリスクは、企業の至るところに潜んでいます。今回は、ソーシャルエンジニアリングの一つ、スキャビンジングの怖さや対処法をご紹介します。...

盗み聞き

カフェや公共スペースでの電話や、居酒屋等の会話を盗み聞きして重要な情報を入手することを指します。そのような情報はSNSで拡散されて、炎上につながる危険性もあります。

ビジネスメール詐欺

ビジネスメール詐欺とは、経営幹部や取引先になりすまし、メールのやり取りでターゲットを騙すものです。偽の送金指示や振込先の変更依頼などをメールで行い、金銭の被害も出ています。

ビジネスメール詐欺(BEC)とは?その手口と非対面の増加に潜むリスク情報セキュリティリスクの一つにビジネスメール詐欺(BEC)。ソーシャルエンジニアリングの手法であるその手口について、1億円を超える損害が出た事例とその対策を解説します。...

なりすまし電話

なりすまし電話とは、ターゲットとなる利用者のユーザー名やID を入手することで、その利用者を装い、ネットワークの管理者に電話をかけ、パスワード変更や情報を聞き出す手法です。

また、管理者になりすまして、直接利用者にパスワードを確認することもあります。なりすまし電話で完結するのではなく、サイバー攻撃や不正アクセスの引き金となる重要な情報漏洩に繋がっている可能性もあり、実害が見えにくい手法です。

共連れ(構内侵入)

共連れ(構内侵入)は、実際にオフィスへ侵入し、ゴミ箱を探す、システムに不正侵入する、のぞき見などをして重要な情報を入手する方法です。

侵入方法としては、偽造または拾得したIDカードを使う、他の社員の後ろについて一緒に社内に入る、清掃員や回収業者になりすまして社内に入るなどの手法が挙げられます。テレワークなどで、実際に顔を合わせない従業員も増えている中で、今後リスクが高まる可能性もあります。

まとめ

不正アクセスなどの外部脅威だけではなく、私達には様々な脅威が隣り合わせになっています。テレワーク増加によるカフェやシェアオフィスなどでの労働環境の変化は、ショルダーハッキング、盗み聞きなどのリスクが高まります。

また、デジタル化の促進で、メールでのビジネス完了やセキュリティカードの所有などに依存しすぎるが故に、ビジネスメール詐欺や共連れなどの脆弱性も発生していることを忘れてはなりません。

デジタル化は、便利ではあるものの、ときに私達にとってリスクとなりうることを忘れず、デジタルリスク対策を行っていきましょう。

参考
ソーシャルエンジニアリングの手口と対策|ソーシャルエンジニアリング(特定非営利活動法人 日本ネットワークセキュリティ協会)
令和2年【春期】【秋期】情報セキュリティマネジメント合格教本(技術論評社)

Powerd by Eltes

デジタルリスクラボ編集部

デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら