ソーシャルエンジニアリングとは│警告サイン・種類・防止対策

サイバーセキュリティ侵害の主な原因は、「人的要素」であることがほとんどです。社内にAI搭載型の最新の侵入検知システムやウイルス対策ソフトを導入していても、たった一人の従業員がソーシャルエンジニアリングの罠に嵌るとセキュリティが侵害されてしまいます。

ソーシャルエンジニアリングとは、人間の心理や感情的な脆弱性を悪用した手口を指します。

ソフトウェアやシステムの脆弱性を突く技術的攻撃とは異なり、ソーシャルエンジニアリングの攻撃は日常的なコミュニケーションの中に潜んでいます。メール、電話、正規を装ったリンク、時にはハッキングされた正規サイトが悪用されることもあります。

本記事では、ソーシャルエンジニアリングの手口と、人を巧みに操る戦術を解説します。また、これらの詐欺を検知・回避するための有効な対策も紹介しますのでぜひご参考ください。

ソーシャルエンジニアリング攻撃とは？

ソーシャルエンジニアリングとは、心理的な手法で人々の弱みに付け込み、セキュリティを侵害する手口です。人々を以下のような行動に誘導します。

• ログイン情報の入力
• 不正な支払いの承認
• 悪意のあるソフトウェアのインストール
• アクセス制限のあるシステムへの権限を付与

攻撃者はコードやインフラの欠陥を悪用するのではなく、緊急性・恐怖・好奇心・権威といった付け込みやすい人間の心理を利用します。そのため、この手法は「ヒューマンハッキング」と呼ばれることもあります。

詐欺師は感情的なトリガーに対する人間の反応を分析し、心理的なプレッシャーを悪用して被害者を信用させます。ソーシャルエンジニアリングは、被害者が自発的にアクションするように誘導する手法であり、ファイアウォールなどの技術的な防御を回避できるため、非常に巧妙な攻撃手段となります。

ソーシャルエンジニアリングはセキュリティ侵害の第一ステップで、この手口の罠に嵌ると権限へのアクセス、マルウェア感染、データ窃取、ネットワーク内侵入など、被害がエスカレートします。

ソーシャルエンジニアリングの仕組みとは？

ソーシャルエンジニアリング攻撃は典型的なステップで構成されており、被害者が不審に思わないよう、現実的で説得力のある設計がなされています。まず、被害者を信頼させるシナリオを作るため、被害者の公開プロフィール、職場情報、過去の侵害データ、日常的なインターネットの利用状況から得られる情報を収集します。

攻撃者はこれらの情報を基に、被害者が通常の業務で受信するような内容のメッセージを送ります。例えば、ITサポート、金融機関、ベンダー、同僚になりすまして、正当性を強調するために実際のシステム名、人名、プロセス内容が引用されることもよくあります。「アカウントがロックされます」「IRSセキュリティ確認」「未受領の請求」など、緊急性・公式性・誘惑性を強調した内容で、冷静な判断を妨げるよう仕組まれています。

信頼関係が確立すると、攻撃者は添付ファイルの開封など特定の行動を促してプレッシャーや誘惑を行います。例えば、2023年9月にハッカーがMGMリゾーツの社員を装ってITヘルプデスクに偽電話をかけ、パスワードリセットを要求して侵害された事例があります。 

ソーシャルエンジニアリングが特に危険な理由は、技術的な脆弱性（セキュリティホール）とは関係がないこと。「従業員が社内指示に従う」、「ユーザーが警告に慌てて対応する」、「財務チームが認証済み請求書を信頼する」など、技術的な防御策では防ぎにくい「人間の心理」を狙うので非常に危険です。

ソーシャルエンジニアリングの種類

フィッシングメールでのなりすまし、架空の問題をでっち上げて「テクニカルサポート」を装い被害者に電話をかけたりと、ソーシャルエンジニアリングには様々な種類がありますが、基本的には人間の心理的な隙や感情につけ込むという点で共通していますので、いずれも根本的な手法は似ていることが多いです。これらの罠に嵌ると、データ侵害、社内侵害、個人情報の盗難といった広範な被害に発展する恐れがあります。

一般的な手法を認識することで、詐欺師が誘導しようとする言動に惑わされることなく被害を阻止できます。

フィッシング（詐欺メール・メッセージ）

フィッシングとは偽のメッセージで、機密情報の開示、マルウェアのインストール、アクセス権の付与、金銭の送金を騙し取る、などを目的とした詐欺行為です。詐欺師は正規企業のロゴ・文言・レイアウトを悪用するので、あたかも本物の組織のように見えます。フィッシングは2024年に最多報告されたサイバー犯罪で、FBIに記録された事例は19万3000件以上に上りました。

バルクフィッシング（不特定多数に攻撃）

バルクフィッシングは、同一のメッセージが不特定多数に送信される手法です。有名なブランドを装ったり緊急性を強調したメッセージでクリック率が高く、わずかな成功率でも被害数が大きくなります。

2025年初頭には、AmazonやAppleなどの大手企業を装った詐欺メールがCoGUIで5億8,000万通以上生成されたと報告されています。

スピアフィッシング（標的型攻撃）

スピアフィッシングはバルクフィッシングとは異なり、特定の人物や小規模なグループなど標的が絞り込まれています。詐欺師は、対象者のソーシャルメディア、企業サイト、データブローカーの記録などの公開データを悪用してカスタムメッセージを生成します。

例えば、同僚を装ってメールに悪意のある添付ファイルや偽のログインページへのリンクを埋め込みます。主な目的は、アクセス権の取得、機密情報の窃取、組織内部への侵入などです。

上級幹部や著名人を狙う標的型攻撃は、しばしば「ホエールフィッシング」と呼ばれます。場合によっては、スピアフィッシングがビジネスメール詐欺などといった大規模な詐欺スキームの侵入経路となることもあります。有名な事例としては、オーストリアの航空宇宙企業がCEOを装った詐欺メールの要求に騙され、約5,000万ユーロの損失を被ったケースがあります。

ヴィッシング（ボイスフィッシング）

ヴィッシング（ボイスフィッシング）は、電話通話または事前に録音された音声メッセージを使った手口です。最近では、AI生成音声やディープフェイク音声で実在の人物を模倣するヴィッシングもあります。

有名な事例としては大手アラップ社の被害で、犯罪者がビデオ通話でリアルタイムディープフェイクを用いてアラップ社のCFOや同僚を偽装し、香港の財務担当者を騙して2,500万ドルを振り込ませました。

アングラーフィッシング（ソーシャルメディア詐欺）

アングラーフィッシングは、ソーシャルメディア上でカスタマーサービスなどを装って信頼を悪用する手法です。攻撃者は被害者の苦情や要望のSNS投稿をチェックし、公式に見せかけた偽アカウントから連絡し、偽の「ログイン」リンクへ誘導してログイン情報を盗み取るなどといった被害があります。

スミッシング（SMS・テキストフィッシング）

攻撃者が銀行や配送会社など信頼性のある組織を装ってメッセージを送信する手口で、クリック用のリンクが添付されていることが多いです。典型的な例としては、「お荷物をお届けできませんでした。再配達はこちら」や「銀行口座で不審な動きが検出されました。こちらから確認」といった内容です。偽のログインページに誘導してログイン情報を盗んだり、端末をマルウェア感染させるサイトへ誘導するリンクへ移動します。

検索エンジンフィッシング

詐欺師が有名ブランドやサービスを模倣した偽サイトを構築し、有料広告や検索エンジン最適化（SEO）手法を用いて検索結果の上位に表示させます。これらの偽サイトをクリックすると、ログイン情報や支払い詳細が漏洩したり、悪意のあるダウンロードやリダイレクトが発生する恐れがあります。

プリテキスティング（なりすまし）

プレテクスティング攻撃は、説得力のある架空のシナリオ（プリテクスト）を用いて、標的が不自然な要求に応じるように誘導する手法です。詐欺師は標的を調査し、ITサポート・人事・監査担当など信頼される人物になりすまし、内部用語・手順・ポリシーを模倣して正当性を装います。

例えば、攻撃者はIT技術者を装って「システム監査でアカウントの問題が検出された」と主張し、「問題を解決する」ためにログイン情報を要求するシナリオがあります。その他のケースでは、被害者にマルウェアのダウンロード、犯罪者への送金、あるいは本人や所属組織に損害が及ぶアクションの要求もあります。いずれも、説得力のあるストーリーで信頼を構築し、被害者に危険な操作を行わせることを目的としています。

ビジネスメール詐欺（BEC）

ビジネスメール詐欺（BEC）は、信頼関係を悪用して金銭的損失をもたらす高度な標的型詐欺です。攻撃者は、内部の役割、ワークフロー、支払いプロセスを調査して、経営幹部、財務担当者、または信頼関係にあるベンダーを装います。

例えば、上級幹部を装って財務担当者へメールを送信し、緊急の送金やベンダーへの請求支払いの詳細変更を要求する手口があります。日常的に受信するような社内メッセージや重要なメッセージを装って、攻撃者が管理する口座へ資金を送金させます。BECは非常にパーソナライズされているので巨額の金銭的損失が発生しており、FBIの報告によれば2024年だけでBEC関連の損失は27億ドルに上るとされています。

見返り型詐欺

見返り型（Quid Pro Quo）詐欺は、「見返り」を悪用した詐欺です。個人に対して、情報やアクセス権と引き換えに、支援、サービス、または報酬を提供すると持ちかける詐欺の手口です。つまり、「交換条件」という相互性の原理を悪用した戦術です。

例えば、詐欺師はサポート担当を装って被害者にリモートアクセスソフトウェアのインストールや認証情報の共有を要求します。この手口でアクセス権を取得すると、データの窃取、スパイウェアのインストール、デバイスのバックドア作成（システムに不正侵入する隠し経路）が可能になります。

ベイティング

ベイティング（Baiting）は、ギフトカードや有料コンテンツの無料アクセス、その他の無料特典を装った「エサ（bait）」を利用してマルウェアをダウンロードさせる手口です。ツールや更新プログラムを装った偽のダウンロードページに誘導し、これらをクリックすると、スパイウェア、キーロガー、その他の有害プログラムがインストールされます。

ネット上ではなく、物理的なベイティングもあります。例えば、犯罪者が「人事給与データ」や「機密」など、人の目を引くようなラベルを付けた感染USBメモリを公の場（駐車場、トイレ、エレベーターなど）に放置し、誰かが所有者を探すまたは興味本位でUSBに接続するのを狙います。

ある調査では、アメリカ国内の2か所の発電所で、感染したUSBメモリを介して制御システムがマルウェアに感染した事例が報告されています。

スケアウェア

ベイティングが誘惑（エサ）に悪用するのに対し、スケアウェアは人の「恐怖心」を悪用した手口です。脅威的なメッセージで被害者を怖がらせ、偽のセキュリティソフトのダウンロードや不要な「クリーンアップ」サービスへの有料加入を強要します。「デバイスが感染している」または「危険にさらされている」などといった偽のウイルス警告やシステム警告を表示させ、ポップアップをクリックするとマルウェアがインストールされるか、偽のサポートサイトに移動します。

ウォーターホール攻撃とセッションフィッシング

ウォーターホール攻撃は、特定のグループが頻繁にアクセスするウェブサイト（業界フォーラムやサプライヤーサイトなど）にハッカーが悪意のあるコードを注入する攻撃です。侵害されたページを単に読み込むだけで、デバイスが知らぬ間に感染します。

一方、セッションフィッシングはブラウジングセッションを悪用した手口で、サイト自体を侵害するのではなく、被害者が正規サイト利用中に偽の入力プロンプトやポップアップを挿入します。偽の再ログイン要求、更新通知、セキュリティ警告などといったものが多く、信頼されている正規セッション内で表示されるため、メールや電話による攻撃よりも信憑性が高く見分けにくいのが特徴です。

テールゲーティングとピギーバッキング

テールゲーティングとは、許可されていない物理的な場所（データセンターなど）に、正規の権限を持つ人の背後にこっそりついて侵入する行為を指します。例えば、犯罪者が従業員のすぐ後ろに付いて施錠されたオフィスビルのドアが閉まる前に押さえて入り込むといった手口があります。この手口では、一般的な礼儀（ドアを開けてあげる）も悪用されます。

一方で、ピギーバッキングは攻撃者が正規の利用者の承諾（無意識の協力）を得て便乗する手口です。これには、正規ユーザーの認証済みセッションの悪用、無人デバイスの悪用、制限エリアへの物理的な不正アクセス（親切心で制限エリアのドアを開けておく、入室情報を共有する、などの行為が原因）が含まれます。

アカウント乗っ取り

アカウント乗っ取りでは、犯罪者がアカウントを侵害して乗っ取って、被害者の友人や同僚にマルウェアを含むメッセージを拡散します。攻撃者は実在のプロフィールを使いますので、受信者はリンクや添付ファイルに警戒心がなくクリックしてしまい、マルウェアに感染してアカウントが乗っ取られるという拡散のループになります。

キャットフィッシング

キャットフィッシング（別名：恋愛詐欺、または「ピッグバッチャリング詐欺」）は、恋愛感情を悪用するソーシャルエンジニアリング攻撃です。詐欺師は盗んだ他人の写真やプライベートな話で相手を誘惑し、長期にわたる偽の恋愛関係を築きます。数週間から数か月にわたり相手の信頼を得ると、金銭の要求や詐欺的な投資の提案を仕掛けます。

ソーシャルエンジニアリング攻撃から身を守る方法

信頼性や現実味のある内容だと、セキュリティに詳しいユーザーでも騙される可能性は十分あります。

ファイアウォールやウイルス対策ソフトだけでは人間の心理に付け込んだ巧妙な手口を完全に防ぐことはできません。ソーシャルエンジニアリング攻撃の種類や対象は実に幅広く、たった一人の身内や社員の不意な行動でネットワーク全体やデータベースが危険に晒される危険性があります。

但し、以下のような対策と定評のあるセキュリティツールを併用することで、リスクを大幅に低減できます。

• 不審な要求には注意する：たとえ知人からのメッセージであっても金銭・ログイン情報・内部アクセス・異常なアクションを求める内容は、必ず事実確認を行いましょう。
• 送信者情報を確認する： メールアドレスのスペルミスや微妙な違い（例：「@paypal.com」→「@paypaIl.com」）に注意しましょう。
• プレッシャーを感じても直ぐに応答しない： 詐欺師は心理的プレッシャーをかけてくることが多いです。緊急性や即時対応を求めるメッセージは、直ぐに応答せず発信元の信頼性を確認しましょう。
• 不審なリンクや添付ファイルに気を付ける： クリックせず、リンクにカーソルを合わせてリンクのアドレスを確認しましょう。また、不審なファイルはウイルススキャナでスキャンするか、開封は避けてください。
• 上手い話には乗らない： 話が上手すぎるキャンペーン、見覚えのない返金オファー、当選通知などは罠があることが多いです。
• 口調や文脈に注意する： 不自然な表現、奇妙な挨拶文、送信時間が異常なメッセージには疑いの目を持ちましょう。
• ネット上で過剰な情報共有は避ける： 犯罪者がソーシャルネットワークやデータブローカーからあなたに関する詳細情報を入手できやすくなり、信憑性のある戦略を仕掛けられる可能性が高くなります。
• サイトのセキュリティを確認する：「HTTPS」と鍵アイコンは接続が暗号化されていることを意味しますが、サイトの正当性を保証するものでは決してありません。サイトに機密情報を入力する前にドメイン名のスペルが正しく公式のものと一致しているか確認しましょう。
• 強力なパスワードを設定する：各アカウントにはそれぞれ固有のパスワードを設定+パスワードは定期的に更新しましょう。そうすれば、万が一1つのアカウントが侵害されても他のアカウントに被害が及ぶことはありません。
• 二要素認証を有効にする：ログイン時にワンタイムコード等の二要素認証を追加しましょう。
• システムは常に最新の状態に保つ：ソフトウェアの自動更新機能やスパムフィルターを有効にします。ウイルス対策ソフトウェアは必ず信頼できるものを使用しましょう。
• VPNでオンライン活動を保護する：定評のあるVPNサービスに加入・接続しましょう。特に公共Wi-Fiを利用する際には、VPNを有効にして通信内容や位置情報を保護して、盗難を防ぎましょう。
• 意識を高める：従業員や家族に不審なメッセージに注意するよう促したり、トレーニングやフィッシングシミュレーションへの参加を促すのも良いでしょう。

よくあるご質問