ソーシャルエンジニアリングとは、サイバー犯罪者やハッカーが、パスワードやクレジットカード情報などの機密情報を漏らしたり、コンピュータシステム、ネットワーク、デバイスのセキュリティを侵害するような行為を行うために、個人を操作したり騙したりする手法のことをいいます。ソーシャルエンジニアリングは、技術的な脆弱性を突くのではなく、人間の心理を狙い、信頼、恐怖、好奇心などの感情を利用して被害者を騙します。
フィッシングは、ソーシャルエンジニアリングの一般的な形態で、攻撃者は、銀行や人気のあるオンラインサービスなど、正当なソースから来るように偽装した詐欺的な電子メール、テキスト、またはメッセージを送信します。このメッセージには緊急性が含まれていることが多く、受信者はリンクをクリックしたり添付ファイルを開いたりして、自分のアカウントを確認したり情報を更新したりするよう求められます。このようなメッセージは、ログイン情報、個人情報の盗難、マルウェアのインストールにつながる可能性があります。
攻撃者は、被害者の信頼を得るために架空のシナリオを作成し、機密情報の提供や特定のアクションを実行するよう説得します。例えば、ITサポート技術者のふりをして従業員に電話をかけ、存在しない問題を解決するよう「手助け」し、その過程でログイン情報やその他の機密情報を要求することがあります。
被害者の好奇心や欲望を利用して、行動を起こすよう誘います。例えば、マルウェアに感染したUSBメモリを公共の場に置き、「従業員の給与」や「映画の独占試写会」など、魅力的なタイトルを付けておきます。無防備な人がそのUSBメモリをコンピュータに挿入すると、マルウェアが起動し、システムが危険にさらされます。
このソーシャルエンジニアリングの手法では、攻撃者は、適切な身分証明書や承認なしに、オフィスビルなどの安全なエリアに、権限のある人を物理的に尾行します。攻撃者は、アクセスカードを忘れた従業員になりすましたり、配達員になりすましたりして、入館を許可します。
スケアウェアとは、ソーシャルエンジニアリングの一種で、被害者が自分のデバイスがマルウェアに感染している、あるいは重大な問題を抱えていると騙されることを指します。攻撃者は、「修正プログラム」や「セキュリティソフトウェア」をダウンロードするよう促しますが、その正体はマルウェアや情報・金銭を盗み出すための詐欺です。
ソーシャルエンジニアリングから身を守るには、常に警戒し、情報や支援の要求があった場合はその出所を確認し、疑わしいリンクをクリックしたり、不明な送信元から添付ファイルをダウンロードしたりしないことが重要です。また、定期的にセキュリティトレーニングを受けることで、ソーシャルエンジニアリングの手口に対する認識を高め、個人や組織で安全な対策を行うことができます。