タグ: SNS

投稿日:

ソーシャルエンジニアリングとは?代表的な手口・事例・対策を解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2020-2021年 秋冬号掲載
「人という脆弱性~ソーシャル・エンジニアリング攻撃~」より一部抜粋

特殊詐欺のイメージ画像(電話・お金・メモ)

サイバー攻撃というとシステムの脆弱性を狙うイメージがありますが、実際には「人」を狙う攻撃が多く発生しています。ソーシャルエンジニアリングは、人間の心理や行動の隙を悪用して情報を窃取する攻撃手法です。標的型メール、なりすまし、SNSを利用した情報収集など、その手法は年々巧妙化しています。本記事では、ソーシャルエンジニアリングの代表的な手口や心理的脆弱性について解説します。

※本記事は「SQAT® Security Report 2020-2021年 秋冬号」の内容を一部再編集したものです。

この記事でわかること

  • ソーシャルエンジニアリングとは何か
  • 人が騙される心理的要因
  • 代表的な攻撃手法
  • 企業で必要な対策
  • セキュリティ教育の重要性

ソーシャルエンジニアリングとは

そもそも、ソーシャル・エンジニアリングとは何なのだろうか? ソーシャル・エンジニアリングフレームワークの第一人者と知られるクリストファー・ハドナジー(Christopher Hadnagy)氏は、著作『ソーシャル・エンジニアリング』(日経BP社)の中で、ソーシャル・エンジニアリングを「人を操って行動を起こさせる行為。ただし、その行動が当人の最大の利益に適合しているか否かを問わないこともある」と定義づけている。これには警察官、弁護士、医師といった人々が、標的当人の利益となるように誘導するといったケースも含まれているが、一般的にサイバー攻撃におけるソーシャル・エンジニアリングとは、不正アクセスするのに必要なシステム情報、アカウント、パスワード、ネットワーク・アドレス等を正規のユーザあるいはその家族、友人などから人間の心理的な隙や、行動のミスにつけ込んで手に入れる手法と位置付けられることが多くなっている。ソーシャル・エンジニアリング攻撃の定義は様々なものがあるが、その共通するところは、人を介して攻撃を行うという点である。

なぜ人は騙されるのか

では、なぜ人が脆弱性となってしまうのか、この点について、原因の一つとなっていると考えられる、人に存在する心理的脆弱性を見ていきたい。ハドナジー氏は人には以下のような8つの心理的脆弱性が備わっていると主張している。

返礼

人からの親切に対し、お返しをせずにはいられない特性
例:プレゼントのお返しに、何かしてほしいことはないかと聞く。

義務感

社会的、法的、道徳的に、人がなすべきだと感じている行動をとってしまう特性
例:身体が不自由な人に、積極的に手を差し伸べなくてはならないと考えて寄付を行う。

譲歩

何かを譲ってもらったら、同じように譲らなくてはならないと考える特性
例:相手の大きな要求を最初に断ったのだから、次の小さな要求には応じてあげたいと考える。

希少性

入手しづらいものであるほど貴重なものに思え、手に入れたくなってしまう特性
例:同様の商品の中で手に入れるなら、期間限定で販売された商品を手に入れたいと考える。

権威

組織的、社会的に、強い権威者とみなされる者の命令に従ってしまう特性
例:強い権威を持つ人間が言っているのだから、正しいと考える。

言質と一貫性

自分や他人の行動・言質が、過去から一貫性がとれていることを高く評価する特性
例:一度購入すると言ったものが、予想よりも高かったとしても、前言を撤回するのは恥ずかしいと考える。

好意

好意を持っている人から頼まれると、承諾してしまう特性
例:親密な人から何かを頼まれると、そうでない人から頼まれるよりも簡単に請け負ってしまう。

コンセンサスもしくは社会的証明

他人の考えにより、自分が正しいかどうかを判断する特性
例:有名人が利用している商品を、自分も利用したいと考える。

代表的なソーシャルエンジニアリング攻撃

ここ数年、ソーシャル・エンジニアリングを用いた攻撃による大規模な事件が多数発生している。

・2015年に発生した日本年金機構の大規模な情報漏洩事件*1
・2017年の大手航空会社が3億8000万円をだましとられた事件*2
・2018年の暗号通貨の不正送金事件*3
・2020年7月に起きた大手SNSの大規模アカウントハック事件*4

これらはすべてソーシャル・エンジニアリングを用いた攻撃に端を発しているといわれている。ソーシャル・エンジニアリングを用いた攻撃の高まりを受けて、IPA(独立行政法人 情報処理推進機構)が「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」*5 を発表したのが2009年であるが、10年以上が経過した今も、ソーシャル・エンジニアリングを用いた攻撃は、収まる気配がない。それは、ソーシャル・エンジニアリングが持つ、人間という脆弱性を狙う性質に原因がある。ここでは、今一度、ソーシャル・エンジニアリングと人間とのかかわりを考えていきたいと思う。

公開日:2021年9月17日
更新日:2026年5月27日

編集責任:木下

ソーシャルエンジニアリング対策をさらに詳しく知りたい方へ

Security Report 2020-2021年 秋冬号表紙画像

弊社では、ソーシャルエンジニアリング攻撃や人的脆弱性について詳しく解説した
SQAT® Security Report 2020-2021年 秋冬号」を無料公開中です。ぜひ資料ダウンロードをしてご一読ください。

※参考(続き)
contents
4.人へのバッファオーバーフロー攻撃
5.人間の隙をつくソーシャル・エンジニアリング攻撃
6.テクノロジーが人間を追い詰める
7.ソーシャル・エンジニアリングに対する防御
8.おわりに

人的セキュリティ対策を強化したい方は、ぜひご活用ください。

無料PDF|SQAT® Security Report 2020-2021秋冬号

その他のSQAT® Security Report

無料PDF|SQAT® Security Report 2026春夏号
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

投稿日:

【注意喚起】「業務上の理由で…」そのメール、本当に上司ですか?―年末年始を狙うLINE誘導型ソーシャルエンジニアリングの実態

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

慌ただしい年末、皆様が突然上司から業務上の理由で…―というメールが来たらどうしますか?今回は年末のこの忙しい時期を狙った、詐欺と思われるメールについての注意喚起です。

【注意喚起】「業務上の理由で…」そのメール、本当に上司ですか?―年末年始を狙うLINE誘導型ソーシャルエンジニアリングの実態アイキャッチ画像

年末に増加する「上司なりすましメール」とは

企業のとある社員にこんなメール(下図参照)が届きました。

上司なりすましメールの実例(メール文面)

実はこのメールは、社員が受信する前日にIPAから注意喚起が出されていた事例と、内容が全く同じものでした。

参考情報:独立行政法人情報処理推進機構(IPA)Xアカウント(情報セキュリティ安心相談窓口)の投稿(2025年12月22日付)(https://x.com/IPA_anshin/status/2002941037422203120

実在する社員名・社名を使った信頼性の偽装

本メールでは実際に存在する弊社の社員名をかたっているほか、弊社の社名も記載されています。しかし、送信元のメールアドレスはフリーメールで、メールヘッダでたどれる限りでは日本国内から送信されていることがわかりました。なお、ここで表示されている会社名はいわゆるFromヘッダのところに付加する表示名となっています。これはソーシャルエンジニアリングでよく使われる手法で、正規の社名や実在する人物名を使い、受信者の信頼感を高める狙いがあると考えられます。しかし、よく表示を見ると明らかにメールアドレスがフリーメールのものなのでおかしい?と気づく可能性は高いです。

上司なりすましメールの実例(メール文面)2、実在する社員名・社名の偽装

ソーシャルエンジニアリングの手口について詳しく知りたい方はこちらの記事もぜひあわせてご覧ください。

【関連記事】
ソーシャルエンジニアリング最前線【第2回】実例で解説!フィッシングメールの手口と対策」SQAT®.jp
https://www.sqat.jp/kawaraban/37135/

またSNSなどの情報によると、このような形式のメールが2025年12月に入ってから急増しているといいます。年末の繁忙期、また年末年始休暇で会社から切り離される時期を狙って送信されているものと考えられます。

企業がサポートしていないコミュニケーションツールの危険性

さらに今回の攻撃におけるソーシャルエンジニアリングのポイントは、メールから舞台をLINEに移していることにあります。多くの企業ではLINEを業務ツールとして採用していません。もし採用している企業があったとしてもLINE Worksの方を利用していることが多いと思われます。また、小売業などでアルバイト従業員との連絡ツールとしてLINEを利用している場合でも、企業ごとに利用ガイドラインを作成しており、ガイドラインに従って運用されていることでしょう。つまり、IT部門やセキュリティ部門からするとサポート外の全く見えないところが今回のLINEのグループとなります。

年末年始休暇を控え、社員が社内システムや公式コミュニケーションツールに触れない期間が発生します。その直前にこのようなメールで、会社がサポートしていないコミュニケーションプラットフォームへ誘導されることで、被害の発覚が遅れ、詐欺が遂行されるリスクが高まる点にも注意が必要です。今回のフィッシングメールは、おそらくLINEに誘導した後に何らかの詐欺などのスキームに巻き込むことを想定したフィッシングメールではないかと推測されます。

LINEを悪用した詐欺は若年層もターゲットに

LINEを悪用した特殊詐欺はご高齢の方だけではなく昨今は若年層もターゲットとなっています。LINE側でも対策は行っていますが、アプリ側の判定基準自体が過去の事例によるもので、後追いになっている可能性も否めません。

参考情報:

まとめ:年末こそ“いつもと違う連絡”に要注意!

今後は、所属している会社側から推奨されているコミュニケーションプラットフォームのみ利用し、それ以外のプラットフォームは利用しないことを徹底することをおすすめいたします。また、今回のフィッシングメールに関しては、日常的にもSNSからLINE、メールからLINEへの誘導で詐欺が行われている事例があることから、場面の切り替えが行われる場合は十分に警戒し、信頼できる家族や知人に相談するのが良いでしょう。

本年もSQAT.jpをご愛読くださいましてありがとうございました。2026年も引き続き皆様の役に立つセキュリティの話題をお届けしてまいります。今後ともご愛顧のほどよろしくお願いいたします。

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

限定キャンペーン実施中!

今なら新規お申込みで 初回診断料金 10%OFF
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか?

詳細・お申し込みボタン

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
Swift Delivery Web診断キャンペーン案内バナー画像
投稿日:

サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性を解説-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性_アイキャッチ画像

サイバーセキュリティとは、インターネットやデジタル技術を利用する社会で欠かせない「防犯」の仕組みです。情報セキュリティとの違いを正しく理解し、その目的や重要性を把握することは、セキュリティ担当者だけでなくすべての利用者に求められます。本記事では、サイバーセキュリティの基本から具体的な対策、最新トレンドまでをわかりやすく整理し、日常業務や企業活動に活かせる実践的なポイントを解説します。

サイバーセキュリティという言葉を初めて耳にすると、多くの人が「何か難しそう」「専門家向けでは?」と思ってしまうかもしれません。しかし、インターネットやスマートフォンを使って日常生活を送る現代において、サイバーセキュリティは私たちにとっても実は身近な存在です。

サイバーセキュリティとは?日常とのつながり

たとえば、「情報セキュリティ」という言葉の通り、サイバーセキュリティは個人や企業が保有する情報を、外部の攻撃や内部の不正から守るためのあらゆる取り組み——つまり「デジタル社会の防犯」と言ってもいい存在です。特別なものではなく、日々のネット利用やデバイス操作そのものがサイバーセキュリティと密接に関わっているのです。現代はスマートフォンやパソコンだけでなく、テレビや冷蔵庫までがネットにつながる”IoT社会”。SNSでのコミュニケーションやオンラインショッピング、各種アプリの利用など、「サイバー空間」と呼ばれるインターネットの世界は生活の一部になっています。この便利さの裏には、見えないサイバー攻撃のリスクが潜んでいます。ここを知ることが、サイバーセキュリティへの第一歩です。

サイバー攻撃とは何か

サイバー攻撃とは、インターネットやネットワークを通じてコンピュータやスマートフォンなどのデバイス、Webサービスなどに損害を与える行為を指します。ニュースでは「ウイルス」「マルウェア」「フィッシング詐欺」「ランサムウェア」「不正アクセス」などの言葉が頻繁に登場しますが、これらはすべてサイバー攻撃の一種です。たとえば、フィッシング詐欺 は本物そっくりの偽メールや偽サイトに誘導し、パスワードやクレジットカード情報を盗み取る手口です。マルウェアは悪意をもったプログラムで、感染することで大切なデータの流出や端末の壊滅的な損害につながります。ランサムウェアは、データを人質に身代金を要求する攻撃手法です。

攻撃名主な手口被害の特徴主な被害対象
マルウェア感染メール添付や危険なサイトからのダウンロード情報漏洩、コンピュータの乗っ取り、不正操作個人・企業全般
フィッシング詐欺偽サイトや偽メールで認証情報取得ID・パスワード盗難、金銭的被害個人ユーザー、ネットバンキング利用者
ランサムウェアメール・ウェブ経由で感染しデータ暗号化し身代金要求データ利用不可能、金銭的要求、業務停止企業・医療機関・自治体等
不正アクセス弱いパスワードや設定ミスを悪用機密情報の漏洩、なりすまし被害企業システム・個人サービスアカウント

サイバーセキュリティの目的

サイバーセキュリティの目的は、単に攻撃を防ぐことにとどまりません。情報セキュリティの3要素、「機密性」「完全性」「可用性」を合わせて「CIA」と呼びます。つまり「誰にでも見せていい内容か」「内容が改ざんされていないか」「必要な時に使えるか」を守り抜くことこそ、サイバーセキュリティの本懐です。たしかな一次情報によれば、この三要素は、世界中でセキュリティを考えるときの共通する普遍的な指針となっています。このCIAを守るためには、実に幅広い知識と対応策が必要とされます。企業だけでなく、個人が日々の生活でできるセキュリティ対策もたくさん存在します。

要素概要リスク例
機密性 (Confidentiality)許可された人だけが情報にアクセスできる状態を保つ情報漏洩、不正閲覧
完全性 (Integrity)情報が正しく保たれ、改ざんされていない状態を維持データの改ざん、不正操作
可用性 (Availability)必要な時に情報やシステムが利用できる状態を保つシステム障害、サービス停止

なぜサイバーセキュリティが重要なのか

インターネットに依存する現代社会では、サイバー攻撃の被害はもはや特殊な例ではありません。たとえば、企業で情報漏洩が起きれば信用失墜や巨額賠償の問題が発生します。個人の場合でも、SNSの乗っ取りやネットショッピングでの不正利用、クレジットカード情報の流出など、誰もが被害者になりかねません。さらに、近年は、サプライチェーン攻撃ゼロデイ攻撃など、従来の対策では防ぎきれない高度な手口も拡大。セキュリティ対策のトレンドや法規制(サイバーセキュリティ基本法GDPRなど)の最新動向をしっかりと抑えることも必須となっています。

こうした被害や課題を正しく理解するためにも、具体的な被害事例や判例、世界的な潮流は表にまとめて学ぶことが効果的です。業界団体や行政機関(総務省やIPAなど)が公開している公的なデータやレポートを活用することで、サイバーセキュリティに対する理解を深めることができます。

サイバーセキュリティにおける基本対策

「何をすればいいのか?」と悩む方に向けて、まずは日常生活で実践できる初歩的な対策からスタートするのが推奨されます。総務省が示す三原則は、すぐにでも始められる実践的なセキュリティ対策の例です。

  1. ソフトウェアは常に最新版に保つ
  2. 強固なパスワードの設定と多要素認証の活用
  3. 不用意なメール・ファイルを開かない、アプリをインストールしない

これらに加え、「ウイルス対策ソフトの導入」「ネットショッピングサイトのURL確認」「Wi-Fiルーターの設定見直し」「スマートフォンのOSアップデートの定期的な実施」なども効果的です。企業で働く場合は、「アクセス権限の制御」「重要データのバックアップ」「ログ管理」など、さらに高度な対策が求められます。こうした対策の具体例や実践ポイントは、図表やチェックリスト形式でまとめると自己点検にも役立ちます。セキュリティ対策チェック表や安全なパスワードの選び方、多要素認証の設定ガイド等の図解は、初心者が最初に取り組むべき項目を可視化できるため推奨されます。

セキュリティ対策チェックリストの例

以下はチェックリストの一例です。実際に運用する際には業務や使用しているシステムに合わせてより細かく作成していく必要があります。

やるべきこと重要度対応状況
OSやアプリの定期的なアップデート実施/未実施
ウイルス対策ソフトの導入・更新実施/未実施
強固なパスワード設定と多要素認証の利用実施/未実施
不用意なメールや添付ファイルを開かない実施/未実施
バックアップの定期実施実施/未実施
ネットワーク機器の初期設定見直し実施/未実施
従業員向けセキュリティ教育・研修実施/未実施

サイバーセキュリティと情報セキュリティの違い

初学者からよくある質問の一つが「サイバーセキュリティと情報セキュリティは同じですか?」という点です。情報セキュリティは、あらゆる情報(紙媒体、物理的なデータも含む)を対象にしますが、サイバーセキュリティは特にインターネットやデジタル技術が関与する電子的な情報・デバイス・システムにフォーカスしています。つまり、インターネットやIT機器を使って情報をやり取りする現代において、サイバーセキュリティの重要性は年々増しています。サイバー攻撃に対応するためには、技術だけでなく利用者の意識も不可欠です。

サイバーセキュリティの最新トレンド

2025年現在、ゼロトラストモデルEDRSOCMFA(多要素認証)など新しいサイバーセキュリティ技術・サービスの導入が進んでいます。AI技術の進化により、攻撃側・防御側ともに手法が高度化し、サイバー攻撃事例、セキュリティインシデント、情報漏洩等のニュースが増加傾向にあります。また、テレワークの普及やIoT機器の急増は新たなセキュリティリスクを生み出しつつあり、最新のサイバーセキュリティ関連キーワード(ゼロデイ、サプライチェーン、ランサムウェア、フィッシング、VPN、SOC、EDR)は、入門段階から意識して覚えておくべきです。 こうした最新動向は、企業サイト、行政レポート、業界ニュースなど一次情報を出す信頼できる媒体で確認することを強く推奨します。

サイバーセキュリティの相談窓口・一次情報へのアクセス

一歩踏み込んで「どこに相談すればいいの?」と感じたら、総務省やIPA(情報処理推進機構)など、一次情報を発信している公的機関の情報を閲覧することからはじめてみましょう。また今皆様が記事を読んでいる弊社SQAT.jpサイトをはじめとした、サイバーセキュリティ情報を扱ったWebサイトから一次情報を確認するのも一つの手段です。独自の見解や推測ではなく、根拠となるニュースリリース、ガイドライン、最新動向をもとに判断するのが大切です。また、さらに一歩踏み込んで対策を始めていきたい、指針がほしいと思ったらセキュリティベンダーを頼ってかかりつけ医のように利用してみてはいかがでしょうか。

BBSecでは

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

まとめ:誰もが守るべきデジタル時代の「防犯」

サイバーセキュリティは社会のインフラを守る防犯意識に他なりません。スマートフォン、パソコン、ネットショッピングやSNSなど身近な存在を守るために、まずは基礎を知り、簡単な対策から一歩踏み出してみることが重要です。専門家の世界だけでなく、どなたでも役立つ情報を、身の回りのことからオンラインサービスの使い方まで、生活目線で学ぶ姿勢がセキュリティレベルの向上につながります。今後もサイバー攻撃や新しいリスクは進化を続けますが、一次情報に基づいた正しい知識をもとに、日々小さな工夫から実践を積み重ねていくことこそ、自身と社会を守る最良の方法です。サイバーセキュリティは難しいものではなく、まずは「知る」「見直す」「具体的に始める」―その小さな一歩から、身近な世界に安心と安全をもたらすことができるでしょう。

【参考情報】

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年10月22日(水)14:00~15:00
    ランサムウェア対策セミナー2025 ~被害を防ぐための実践的アプローチ~
  • 2025年10月29日(水)13:00~14:00
    【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年11月5日(水)13:00~14:00
    【好評アンコール配信】「SQAT®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-
  • 2025年11月12日(水)14:00~15:00
    なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較
  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    北朝鮮によるソーシャルエンジニアリング攻撃ソーシャルエンジニアリング攻撃とは?手口と脅威を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年12月24日、警察庁および金融庁は、同年5月に発生した国内の暗号資産(仮想通貨)取引所から約482億円が窃取された事案に関連して注意喚起*6を発表しました。本記事では、北朝鮮によるソーシャルエンジニアリング攻撃の事例と手法を解説し、企業が取るべき対策例をご紹介します。

    ソーシャルエンジニアリング攻撃の概要

    北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」は暗号資産・NFTの窃取を目的とした不正アクセスやソーシャルエンジニアリングを駆使した攻撃を行っています。CISA(米サイバーセキュリティ・インフラセキュリティ庁)によると、暗号資産事業者に加えて暗号通貨に投資するベンチャーキャピタルや暗号通貨・NFTの個人保有者など、ブロックチェーン技術や暗号通貨業界の様々な組織が標的とされていることが確認されています*2

    ソーシャルエンジニアリングとは
    ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

    関連記事:「ソーシャルエンジニアリングとは?その手法と対策

    ソーシャルエンジニアリングの手法

    「TraderTraitor」はまず、ビジネスパーソン向けの交流サイト「LinkedIn」上で採用希望者になりすまし、ターゲットとなる企業の従業員に接触しています。これにより、従業員の信頼を得たうえで企業の内部システムに侵入し、暗号通貨の正規取引を改ざんしたとされています。

    SNSを悪用した手法は近年の北朝鮮の攻撃キャンペーンに多く使われる手法です。偽のアカウント・ペルソナを構築し、ターゲット企業や個人にアプローチします。ディープフェイク技術を用いて履歴書やSNSに掲載する画像やビデオ通話の偽装を行うこともあります。このアプローチは、ターゲット企業内の資産を窃取する、従業員として入り込んで国連決議に基づく経済制裁をかいくぐって外貨を獲得する、ターゲット企業にマルウェアを展開するといった侵害を目的としています。

    参考:金融庁/警察庁/内閣サイバーセキュリティセンター
    北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる 暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

    ソーシャルエンジニアリング攻撃の代表的な手法

    手法
    フィッシングターゲットをだますことで情報を引き出す(認証情報や個人情報)、マルウェアやマルウェアのダウンローダーなどの実行リンクや添付ファイルを送信する。従来はメールやSMSを使う手法が主流だったが、近年はSNSや音声を使う手法も増えている
    スピアフィッシングフィッシングの一形態
    特定の個人や企業を狙ったフィッシング攻撃を指す
    ビジネスメール詐欺取引先などになりすまし、入金を促す詐欺
    ベイティングマルウェアを仕込んだUSBメモリを廊下に落とす、無料の音楽や映画のダウンロードを提供し認証情報を盗むなど、「餌」を使って被害者をおびき寄せる攻撃
    プリテキスティング権威のある人物(銀行員、警察、ITサポートなど)になりすまし、個人情報を聞き出す
    テールゲーティング正規従業員の同僚や配達員、修理業者などを装って物理的なセキュリティを突破し、機密情報にアクセスする

    ソーシャルエンジニアリング攻撃の事例

    近年の代表的なソーシャルエンジニアリング攻撃2例をご紹介します。

    • XZ Utilsへのソーシャルエンジニアリング攻撃
      Linuxのオープンソース圧縮ファイルアプリケーションXZ Utilsに悪意のあるコードが埋め込まれたことが発見されたことから2024年3月に発覚した事件*3です。その後、偽のペルソナを騙る攻撃者が約2年間、プロジェクトの貢献者として活動し、悪意のあるコードを埋め込んでいたことが判明した事件です。オープンソースプロジェクトのエコシステムの在り方も同時に問われたのでご存じの方も多いのではないでしょうか。
    • ディープフェイク技術を悪用した詐欺
      在香港の多国籍企業の財務担当者がディープフェイクを用いたビデオ通話会議を通じて騙され、2億香港ドル(日本円で約40億円)を詐欺師に送金してしまった事件*4です。財務担当者は当初CFOを名乗る人物から送られたメールには疑念を抱いたものの、ビデオ通話会議に実在の同僚やCFOが出席しているものと思い込んだことが原因とされています。

    ソーシャルエンジニアリング攻撃の対策方法

    今回の北朝鮮によるソーシャルエンジニアリング攻撃を受け、FBIは注意喚起*5を行い、企業や個人に対して警戒を促しました。また、日本の警察庁も企業に対し、セキュリティ対策の強化を求めています。企業側では、「システム管理者」「従業員」「人事担当者」の3方向からの対策例を考え、組織一丸となってセキュリティ対策を実行することが重要です。技術的な面では、マルウェア検出システムの導入や定期的な更新も重要となります。これにより、自組織がソーシャルエンジニアリング攻撃で踏み台にされていた場合でも被害を最小限に抑えることが可能になります。

    ディープフェイクを用いたSNS上の偽アカウント・ペルソナは、過去の研究で多くの人が簡単に見抜けないことが明らかになっています。企業や個人は最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが不可欠です。継続的な教育、技術的防御、国際協力を通じて、安全なデジタル環境を維持することが求められます。

    関連情報:
    Mink, J., Luo, L., Barbosa, N. M., Figueira, O., Wang, Y., & Wang, G. (Year), University of Illinois at Urbana-Champaign & Santa Clara University., DeepPhish: Understanding User Trust Towards Artificially Generated Profiles in Online Social Networks.

    まとめ

    • ソーシャルエンジニアリングとは、人の心理を巧みに操り、重要情報等を聞き出したりすること
    • 従業員教育×技術対策×物理セキュリティの3つを組み合わせて対策を強化
    • 最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが重要

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    安全なスマホ利用を目指して
    -学生必見!8つのセキュリティ対策とは-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    画面に顔が描かれたスマホが剣と盾を持っているイラスト

    スマホは私たちの日常生活に欠かせない存在になっています。SNS、友達や親との連絡、勉強、エンターテインメント、ニュースのチェック、ゲーム、さらにはショッピングや支払いまで、さまざまな活動がスマホ1台でできるようになりました。その一方で、スマホの便利さは悪意ある人々にも利用されています。そこで、セキュリティ対策が重要になってきます。ここでは、スマホのセキュリティ対策について解説します。個人情報やプライバシーの保護、オンラインの脅威から身を守る方法を学びましょう。

    スマホのセキュリティ対策の必要性とは

    まず、なぜスマホのセキュリティ対策が必要なのでしょう?
    スマホは便利なツールですが、危険も存在します。

    主に以下の3つのリスクが挙げられます。

    スマホの紛失または盗まれるリスク

    スマホや財布などの忘れ物の入った箱のイメージ

    スマホには、持ち主やその知人の名前や住所、連絡先などの個人情報が保存されています。万が一スマホが盗まれたり、紛失したりした場合、その情報が悪意のある人の手に渡る可能性があります。そのことで、身に覚えのない買い物やプライバシーの侵害といった被害につながる可能性があります。

    ウイルスが仕込まれるリスク

    サイバー攻撃者などによって、ウイルスやスパイウェアといった悪意あるソフトウェア(マルウェア)が、あなたのスマホに仕込まれてしまった場合、個人情報を盗み取られたり、データを破壊されたりする可能性があります。

    サイバー攻撃などによる個人情報漏洩リスク

    個人情報が漏洩してしまって焦る様子の男性のイメージ

    スマホを使用してネット上で買い物をする場合や、オンラインバンキングを利用する場合、サイバー攻撃によって個人情報や銀行口座の情報がハッカーによって盗まれてしまう可能性があります。

    スマホには個人的な情報、例えば電話番号やメールアドレス、写真、そしてアプリのログイン情報などが保存されています。こうした情報が悪意ある人々に盗まれると、あなた自身や友人や家族を巻き込んだトラブルにつながる可能性があります。そのため、スマホのセキュリティ対策は必要です。では、情報漏洩などの被害から身を守るためには、何をすれば良いのでしょうか。

    スマホに必要な8つのセキュリティ対策

    1.スマホのパスワードおよびロックの設定を行う

    指紋認証とスマホのイメージ

    スマホのセキュリティを強化する最初のステップは、パスワードを設定することです。パスワードには、他人があなたのスマホにアクセスできないようにするために、強力なパスワードを選びましょう。また、他の人に知られないようにしましょう。それぞれのアカウントごとに違うパスワードを設定し、それらを定期的に更新することが推奨されます。パスワード管理アプリというものを利用すれば、複数のパスワードを安全に管理することが可能です。また、顔認証、指紋認証、パスコードやパターンなどのロックを設定して、自分以外の人がスマホを操作できないようにしましょう。

    安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。安全なパスワードの作成条件としては、以下のようなものがあります。

    (1) 名前などの個人情報からは推測できないこと

    (2) 英単語などをそのまま使用していないこと

    (3) アルファベットと数字が混在していること

    (4) 適切な長さの文字列であること

    (5) 類推しやすい並び方やその安易な組合せにしないこと

    引用元:安全なパスワード管理(総務省)https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

    2.不審なアプリやリンクに注意する

    スマホには多くのアプリがありますが、安全であると信頼できないサイトやSMSなどからのアプリをダウンロードしないようにしましょう。公式のアプリストア(Google PlayやApp Store)からのみアプリをダウンロードすることをお勧めします。また、メッセージやメールで届いたリンクを開く前に、送信元が本当に信頼できるかどうかを確認しましょう。フィッシング詐欺(※)やマルウェアから身を守るために、注意深く行動しましょう。

    フィッシングサイトのイメージ(偽サイトと釣り竿)

    ※フィッシング詐欺とは、悪意のある攻撃者が信頼性のある組織のふりをして個人情報を盗もうとする行為です。これは普通、メールやメッセージを通じて行われます。その内容は、あなたのパスワードをリセットするためのリンクであったり、重要な通知があるので見てほしいといった内容であったりします。こうしたリンクをクリックすると、あなたの情報が盗まれる危険性があります。また、見知らぬ番号からの電話にも警戒しましょう。特に、個人情報を求めるような場合には注意が必要です。

    3.OSやアプリを定期的にアップデートする

    スマホのOS(オペレーティングシステム)やアプリのアップデートは重要です。これらのアップデートは新機能の追加だけではなく、セキュリティの脆弱性を修正するためのものであることも多いため、新たな脅威から守るためにも、定期的に更新を実施することを推奨します。

    4.Wi-Fiの安全性を確認する

    公衆wifiを見つけた笑顔の男性のイメージ

    公共のWi-Fiを利用するときには注意が必要です。公共の無料Wi-Fiは便利ですが、常に安全とは限らず、利用者の個人情報が漏洩してしまうなどの危険性があります。個人情報を送信するようなアプリやウェブサイトにアクセスする際には、自分のモバイルデータ通信を使用するか、パスワードが必要なプライベートネットワークを利用しましょう。また、公共のWi-Fiを使用する場合は、より安全なVPN(仮想プライベートネットワーク)を利用することも検討してください。

    5.SNS(ソーシャルネットワーキングサービス)でのプライバシー設定を行う

    SNSは重要なコミュニケーション手段ですが、プライバシーの保護も必要です。以下のポイントに気をつけましょう。

    SNSアカウントを乗っ取りされて青ざめる男性のイメージ

    a. プライバシー設定の確認: プライバシー設定を確認し、プライバシーにかかわる個人情報を一般公開にせず、友達やフォロワーとの共有範囲を制限しましょう。個人情報や位置情報など、他人に知られては困る情報を公開しないようにしましょう。

    b. 友達やフォロワーの選択: 友達やフォロワーを受け入れる際には、信頼できる人々に限定しましょう。知らない人や怪しいアカウントからのリクエストには注意し、受け入れないようにしましょう。

    c. 投稿文の慎重な管理: 投稿には慎重になりましょう。個人情報や個人的な写真をむやみに公開しないようにし、誹謗中傷をしたり、プライベートな写真を投稿したりするのは控えましょう。一度公開した情報や写真は、後で取り消すことが難しいため、慎重な判断を行いましょう。

    6.アプリの権限設定を確認する

    スマホアプリのイメージ

    スマホのアプリは、個人情報やデバイスへのアクセスを要求する場合があります。アプリをインストールする前に、そのアプリが何の情報にアクセスする必要があるのかを確認しましょう。例えば、料理のレシピアプリであるのに位置情報へのアクセスを要求してくるといった、必要のない権限を要求してくるアプリには注意し、不要な権限を持つアプリを削除しましょう。

    7.バックアップをとる

    あなたのスマホが盗まれたり、壊れたりして情報が突然失われてしまった場合でも、重要な情報を守るために、定期的にバックアップをとっておくことを推奨します。

    8.アンチウィルスソフトの利用

    アンチウイルスソフトを利用することで、ウイルスやスパイウェアといったマルウェアからスマホを守れます。

    まとめ

    スマホは便利なツールであり、私たちの日常生活では欠かせないものとなっています。だからこそ、個人情報などを狙う悪意を持った攻撃者のターゲットになる可能性があります。そのため、自分の身を守るためにも基本的なセキュリティ対策の方法を理解することが重要です。学生の皆さんは、以下のポイントを守りながらスマホのセキュリティを強化しましょう。

    1. スマホのパスワードおよびロックの設定を行う
    2. 不審なアプリやリンクに注意する
    3. OSやアプリを定期的にアップデートする
    4. Wi-Fiの安全性を確認する
    5. SNSでのプライバシー設定を行う
    6. アプリの権限設定を確認する
    7. バックアップをとる
    8. アンチウイルスソフトを利用する

    これらの対策方法はあくまで例です。普段からセキュリティに注意し、安全に利用しましょう。また不安を感じたら身近な友人や保護者に相談することも大切です。本記事が、スマホを利用するすべての人々にとって、自分と自分の大切な人々を守り、より安全なスマホライフを送るために役立つ情報提供となれば幸いです。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像