お問い合わせ
0120-855-995
LINEで相談ソーシャルエンジニアリングの脅威と対策:人から情報を盗む手口を知る
2025年11月14日
情報セキュリティ対策と聞くと、高度なハッキング技術を想像しがちです。しかし、実は企業の情報漏洩を引き起こす最も簡単な方法の一つが、「ソーシャルエンジニアリング」です。
ソーシャルエンジニアリングとは、技術的な手段を用いず、人間の心理的な隙や行動のミスを突いて、機密情報や認証情報を不正に入手する手口の総称です。どんなに強固なシステムを構築しても、従業員一人の油断や善意が、セキュリティホールとなってしまいます。
本コラムでは、ソーシャルエンジニアリングの具体的な手口と、組織および個人が取るべき対策について解説します。
ソーシャルエンジニアリングの主な手口
攻撃者は、人々の「助けたい」「信じやすい」「急いでいる」といった心理を巧みに利用します。
物理的な手口
オフィス環境や物理的な行動から情報を盗み出す手法です。
ショルダーハック(覗き見)
カフェや電車、オフィス内で、背後や横からPCの画面やスマートフォンのパスワード入力を盗み見する手口です。
ゴミ漁り(スキャベンジング)
企業や個人のゴミ箱を漁り、廃棄された書類やメモから、パスワード、電話番号、業務情報といった機密性の高い情報を探し出す行為です。
なりすましによる侵入
修理業者や宅配業者、清掃員などを装ってオフィスに侵入し、無人になったデスクからメモや資料を盗み出す、あるいはPCに不正なデバイスを接続する手口です。
デジタル・心理的な手口
デジタルツールやコミュニケーションを利用して信頼を勝ち取り、情報を聞き出す手法です。
フィッシング
大手企業や銀行、公的機関などを装ったメールやSMS(ショートメッセージサービス)を送りつけ、偽サイトに誘導してID、パスワード、クレジットカード情報などを入力させる手口です。
プリテキスティング(口実利用)
あらかじめターゲットの情報を調べ上げ、それを口実にして相手を信用させ、必要な情報を聞き出します。例えば、ITサポートの担当者や取引先の社員を名乗り、「システム障害の復旧にあなたのパスワードが必要です」と要求するケースなどです。
ベイト(餌付け)
マルウェアを仕込んだUSBメモリなどを人目に付く場所に意図的に放置し、親切心や好奇心からそれを拾った人がPCに接続するのを待つ手口です。
組織と個人で取り組むべき対策
ソーシャルエンジニアリング対策の鍵は、「疑う習慣」と「ルール化」です。
組織として取り組むべき対策
定期的なセキュリティ教育と訓練
従業員に対し、ソーシャルエンジニアリングの具体的な事例や手口を定期的に教育します。特に、不審なメールや電話を受けた際の「報告義務」を徹底させることが重要です。
入退室管理の徹底
部外者の侵入を防ぐため、オフィスへの入退室は厳格に管理し、来訪者には必ず受付を通し、目立つ位置に身分証明(名札など)を着用させます。
クリーンデスク・クリーン画面の徹底
離席時にはPC画面をロックし、机上には機密情報が記載されたメモや書類を放置しない(クリーンデスクポリシー)ルールを定めます。
情報廃棄ルールの厳格化
機密文書は必ずシュレッダーにかけるか、専門業者による溶解処理を利用し、安易な廃棄を禁止します。
個人で実践すべき対策
認証情報の絶対的な保護
パスワードやIDは誰にも教えない、メモに書かない、ショルダーハックを警戒して人前での入力には細心の注意を払います。
「確認の徹底」を習慣化
電話やメールで機密情報を要求された場合、安易に応じず、知っている別の連絡先(公式HP記載の電話番号など)を使って、相手の身元や要求の真偽を必ず確認し直します。
不審なメールやUSBメモリを扱わない
心当たりのない送信元からのメールは開かず、また、放置されている外部メディア(USBメモリ、CDなど)は絶対にPCに接続しないようにします。
FAQ(よくあるご質問)
Q:ソーシャルエンジニアリングを防ぐための最も効果的な対策は何ですか?
技術的な対策以上に効果的なのは、「従業員教育」です。特に、攻撃者から接触があった際に、個人で判断せず、すぐに上長や情報システム部門へ報告・相談する「報告の徹底」をルール化し、訓練することが最も重要です。
Q:社員を装って電話がかかってきた場合、どう対応すべきですか?
重要な情報を要求された場合は、その場で答えるのを拒否し、「折り返し連絡します」と伝えます。電話を切った後、相手が名乗った部署の公式な内線番号やメールアドレスを社内名簿で確認し、その番号へかけ直して真偽を確認してください。加えて、本人でなければ知りえない情報を質問することによって認証すると良いでしょう。
Q:「フィッシングメール訓練」はどのように実施すれば良いですか?
実際に攻撃者が使う手口を模倣した訓練用メールを全従業員に一斉送信します。訓練後に、メールを開封した人、リンクをクリックした人に対して、なぜそれが危険だったのかを個別にフィードバックし、教育を実施します。これにより、従業員は緊張感をもって学ぶことができます。
まとめ
ソーシャルエンジニアリングは、人間の心理的な弱点を突く、巧妙で古典的な手口です。最新のセキュリティシステムを導入していても、この人に対する脅威への対策がなければ、意味を成しません。
組織を守るためには、以下の2点を徹底することが重要です。
「疑う習慣」の徹底
誰からの要求であっても、安易に情報を渡さず、常に正規のルートで真偽を確認する。
物理的・電子的ルールの遵守
クリーンデスク、PCロック、文書の確実な廃棄といった基本的なルールを全員が厳守する。
技術の進化と同時に、この「人」に対するセキュリティ対策を継続的に強化していくことが、現代の情報セキュリティの要となります。
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
