ソーシャルエンジニアリング最前線【第1回】ソーシャルエンジニアリングの定義と人という脆弱性

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本シリーズでは、「ソーシャルエンジニアリング最前線」として、2025年6月現在のフィッシングに代表されるソーシャルエンジニアリングに関する動向と企業・個人が取れる対策をまとめます。第1回はソーシャルエンジニアリングの簡単な定義と、ソーシャルエンジニアリングで悪用される「人」にまつわる脆弱性をご紹介します。

contents

関連記事はSQAT.jpで公開中！こちらからご覧ください。
「ソーシャルエンジニアリングとは？その手法と対策」

ソーシャルエンジニアリングの定義

ソーシャルエンジニアリングは人間の心理や認知機能を悪用したハッキングの技法を指します。よく知られている手法にはフィッシングがありますが、このほかにも様々な手法があります（第3回で詳述します）。

人という脆弱性

ソーシャルエンジニアリングが成立する背景には人間の心理や認知機能の問題や属性による前提知識といった人間固有の脆弱性があります。

認知機能に関連する脆弱性

皆さんはこんな状態になったことはありませんか？

一点に注意が集中してしまい、周囲の情報を見落とす状態
多くの人がいる中で待ち合わせをしていて、待ち合わせの相手を探すことに集中した結果、別の知り合いから声を掛けられたことに気付かなかったことはないでしょうか。こういった状態はほかのときでも起こる可能性があります
複雑な作業を行う、大量の情報を処理するといったときについうっかり何かを見逃してしまう状態
一点集中の場合と似ていますが、処理の複雑性や情報の量との因果関係もあります
過大なストレスがかかったときに注意が緩んでしまう状態
例えば身内の不幸や自身の病気の発覚など、心的ストレスがかかる状態のときに注意が緩んでしまうことはあるのではないでしょうか

こういったときにソーシャルエンジニアリング攻撃の犠牲になりやすいといわれています。

「認知バイアス」という脆弱性

認知バイアスは人間が判断を行う際に、判断のプロセスを省略し、簡略的な手段で結論を導き出すことが原因で起こります。プログラミング言語でもそうですが、簡略的な手段で得る結果には一定のエラーが混在します。エラーを前提としたフォローアップの行動やエラーを前提とした安全策、対策が用意されていればよいですが、そのままの結果を用いることで大きなミスを生むことがあります。つまり認知バイアスはソーシャルエンジニアリング攻撃に対する脆弱性なのです。

認知バイアスにはソーシャルエンジニアリングに関連するものに限定しても以下のようなものがあります。


認知バイアスの種類	概要
フレーミング効果	情報の提示方法で判断がゆがめられる傾向
アンカリング効果	最初に提示された情報に強く影響され、その後の判断がゆがめられる傾向
確認バイアス	自身の信念・期待・希望を支持する情報を優先的に探し、解釈する傾向
自己奉仕バイアス	成功を自身の能力などの内的要因に、失敗を状況など外的要因に帰属させる傾向
エゴバイアス	特に経営層に見られる、自身の能力を過大評価しリスクを過小評価する傾向

攻撃者はこのような認知バイアスを悪用して、被害者の思考プロセスや意思決定を操作しようと試みるのです。

読者の皆さまも、普段から知識を身につけ意識を高めるために本記事を読まれているかと存じますが、残念ながら意識や一般的な技術知識のみでは必ずしも脆弱性を減少させない可能性があるともいわれています。これは実際には知識が不足しているケースが含まれるということもありますが、何よりも効果的な対策は無意識のレベルで安全な行動が習慣となっている必要があるとされているためです。

心理的側面に関連する脆弱性

認知機能に関連する脆弱性を踏まえたうえで、心理的側面からみた脆弱性をみてみましょう。

説得

被害者を攻撃者の意図通りに行動させるための手段でソーシャルエンジニアリングの核心的な概念ともいえます
権威性、信憑性しんぴょうせい、メッセージの質やアピール（文脈化、パーソナライゼーション、視覚的欺瞞ぎまん）によって被害者が説得されてしまうものです
なんらかの権限を持つ人や著名な企業に成りすますことで説得できることがわかっています

信頼と欺瞞

攻撃者は対面ではなくオンライン環境であることを踏まえたうえで、オンライン環境におけるユーザーの信頼レベルを悪用します
攻撃者は親しい人物や評判の高い人物を装うなどして信頼を築こうとします

感情

感情は行動変化に強い影響を与えるため、ソーシャルエンジニアリング攻撃で頻繁に悪用されます
不安感をあおったり、切迫感を演出したりすることで認知機能を低下させて攻撃の成功確率を高める場合、好奇心をあおることで秘密情報を聞き出す場合などがあります

態度と行動

計画行動理論のような人間の行動を予測する心理学モデルの要素が悪用されうる側面を刺します
個人の性格特性、リスク認識、自己効力感、オンライン習慣がセキュリティ行動や攻撃に対する感受性に関連する可能性があるとされています

リスク認識と疑念

オンライン脅威に対するリスク認識が高いほど脆弱性が低下する可能性があります
説得の兆候を検出する能力や疑念を持つ姿勢が必ずしも被害を防げない場合もあります

属性に関連する脆弱性

以下の2属性は、比較的他の要因との組み合わせで脆弱性に影響を与える可能性があるとされています。

年齢
文化

―第2回「実例で解説！フィッシングメールの手口と対策」へ続く―

【連載一覧】

―第2回「実例で解説！フィッシングメールの手口と対策」―
―第3回「Non-Human Identities Top 10とは？自動化時代に求められる新しいセキュリティ視点」―
―第4回「企業が実践すべきフィッシング対策とは？」―

【参考情報】

Rosana Montanez, Edward Golob,Shouhuai Xu (2022),”Human Cognition Through the Lens of Social Engineering Cyberattacks”,2025年6月5日閲覧, https://www.frontiersin.org/journals/psychology/articles/10.3389/fpsyg.2020.01755/full

Murtaza Ahmed Siddiqi,Wooguil Pak, Moquddam A. Siddiqi(2022),”A Study on the Psychology of Social Engineering-Based Cyberattacks and Existing Countermeasures”,2025年6月5日閲覧, https://www.mdpi.com/2076-3417/12/12/6042

Udochukwu Godswill David, Ayomide Bode-Asa (2023),”An Overview of Social Engineering: The Role of Cognitive Biases Towards Social Engineering-Based Cyber-Attacks, Impacts and Countermeasures”,2025年6月5日閲覧, https://www.researchgate.net/publication/376450802_An_Overview_of_Social_Engineering_The_Role_of_Cognitive_Biases_Towards_Social_Engineering-Based_Cyber-Attacks_Impacts_and_Countermeasures

Martin Lee, Cisco Talos Blog: The IT help desk kindly requests you read this newsletter, May 8, 2025

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年6月25日（水）13:00～14:00
「リモートワークの落とし穴を塞ぐ！セキュリティ情報の効率的な収集法＆対策のポイント」

2025年7月2日（水）13:00～14:00
「いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-」

2025年7月16日（水）14:00～15:00
「進化するランサムウェア攻撃-国内最新事例から学ぶ！被害を防ぐ実践ポイント10項目を解説-」

最新情報はこちら