情報セキュリティの基礎

ソーシャルエンジニアリングの手口と対策完全ガイド

「最強のセキュリティ対策は、最強のコンピュータシステムを作ることだ」

そう思っていませんか?実は、どんなに堅牢なシステムでも、絶対に修正できないバグが存在します。

それは「人間」です。

情報処理安全確保支援士(SC)試験では、技術的な攻撃だけでなく、人の心理的な隙や行動のミスにつけ込む「ソーシャルエンジニアリング」について詳しく問われます。特に午後試験の記述問題では、この手口がインシデントのきっかけとして描かれることが多々あります。

今日は、人間の心理をハックする代表的な手口と、私たちがとるべき確実な対策について解説します。

ソーシャルエンジニアリングとは?

技術を使わない「アナログなハッキング」

ソーシャルエンジニアリングとは、ネットワークへの侵入やマルウェアの使用といったIT技術を使わず、人間の心理的な隙や行動のミスにつけ込んで、秘密情報を盗み出す手口の総称です。

攻撃者は、「緊急事態だ」と焦らせたり、「困っている人を助けたい」という善意を利用したりして、パスワードを聞き出したり、オフィスに侵入したりします。

「そんな単純な手口に引っかかるわけがない」と思うかもしれませんが、プロの詐欺師のように巧みな話術を使われると、ITの専門家でも騙されてしまうことがあるのです。実際、情報セキュリティ企業の調査によれば、企業における情報漏洩の約70%は、技術的な脆弱性ではなく人的要因が関係しているとされています。

なぜソーシャルエンジニアリングが有効なのか

攻撃者がこの手法を好む理由は明確です。ファイアウォールやウイルス対策ソフトは、人間の判断ミスを防ぐことができません。高度な技術力がなくても、話術と演技力さえあれば実行できるのです。

さらに、人間には以下のような心理的特性があり、攻撃者はこれらを巧みに利用します。

権威への服従: 上司や専門家からの指示には従いがちになる

緊急性への反応: 「今すぐ」「至急」という言葉に冷静な判断力が低下する

好意の返報性: 親切にされると、何かお返しをしたくなる

社会的証明: 他の人もやっているという情報に影響される

SC試験で問われるポイント

試験では、以下の要素が組み合わされて出題されます。

心理的要因: 権威(社長からの命令)、緊急性(今すぐ対応が必要)、好意(親切心)、恐怖(アカウント停止の警告)

物理的要因: 覗き見、ゴミ漁り、不正侵入、記録媒体の持ち出し

対策: 従業員教育、運用ルールの策定、物理的セキュリティ対策、インシデント対応手順の整備

代表的な5つの手口と実例

トラッシング(スキャベンジング)

ゴミ箱漁り」のことです。

企業が出したゴミの中から、パスワードが書かれたメモ、IPアドレスが記載された資料、古い顧客名簿、組織図などを探し出します。一見価値がないように見える情報でも、攻撃者にとっては次の攻撃の足がかりとなる貴重な情報源です。

具体的な事例:

  • シュレッダーにかけずに捨てられた会議資料から、新プロジェクトのコードネームと担当者名が漏洩した
  • 付箋に書かれたパスワードが、そのままゴミ箱に捨てられていた
  • 顧客リストの印刷ミスを、そのまま廃棄したことで個人情報が流出した

対策:

  • 重要書類は必ず溶解処理かクロスカットのシュレッダーにかける
  • 廃棄物の管理記録を残し、適切に処理されたことを確認する
  • 電子媒体(CD、USB等)も物理的に破壊してから廃棄する

ショルダーハッキング(ショルダーサーフィン)

肩越しに覗き見る」ことです。

パスワードを入力している手元や、カフェで操作しているPC画面を、背後や横から盗み見ます。最近では、スマートフォンのカメラを使って遠くから望遠撮影する手口も報告されています。

具体的な事例:

  • 電車内で社外秘のメールを作成していたところ、隣の乗客に内容を見られてしまった
  • 空港のラウンジで業務資料を開いたまま席を離れ、その間に撮影された
  • ATMでの暗証番号入力を背後から観察され、カードをスキミングされた

対策:

  • PCにプライバシーフィルター(覗き見防止フィルム)を貼る
  • パスワード入力時は周囲を確認し、手元を隠すように入力する
  • 公共の場所での機密情報の取り扱いを禁止するポリシーを定める
  • 離席時は必ず画面をロックする

共連れ(テイルゲーティング/ピギーバッキング)

正規の社員の後ろについて侵入する」ことです。

セキュリティゲートなどで、認証済みの社員がドアを開けた隙に、後ろから一緒に入室します。日本人の「断りにくい」という国民性が、この攻撃を成功させやすくしています。

具体的な事例:

  • 両手に荷物を持った攻撃者が「すみません、開けてもらえますか?」と頼み、親切心を利用してサーバ室に侵入した
  • 配送業者を装った人物が、社員の後ろについて入館し、無断で社内を撮影した
  • 喫煙所から戻る社員に続いて建物内に侵入し、数時間にわたって社内に潜伏した

対策:

  • 「一人一認証(アンチパスバック)」を徹底する
  • 知らない人には必ず声をかけ、来訪目的と訪問先を確認する
  • 来訪者には必ず受付を通してもらい、入館証を携帯させる
  • 監視カメラの設置と定期的な録画データの確認

なりすまし(電話・メール)

関係者や権威ある人物のふりをする」ことです。

システム管理者や経営層を装って電話をかけ、パスワードを聞き出したり、送金を指示したりします。最近では、CEOや経営幹部になりすまして送金を指示する「ビジネスメール詐欺(BEC)」の被害が急増しています。

具体的な事例:

  • 「情報システム部ですが、トラブル対応のため一時的にあなたのパスワードが必要です」と電話があり、教えてしまった
  • 社長を装ったメールで、取引先への緊急送金を指示され、数千万円を振り込んでしまった
  • 人事部を名乗る人物から「マイナンバーの再確認」として個人情報の提供を求められた

対策:

  • 電話でパスワードや機密情報を絶対に教えないルールを徹底する
  • 相手の所属・氏名を確認し、折り返し電話をする(コールバック)
  • 送金指示は必ず複数人で確認し、電話や対面で真偽を確かめる
  • メールアドレスのドメインを注意深く確認する習慣をつける

プリテキスティング(口実作り)

もっともらしいシナリオを作って近づく」ことです。

事前に収集した情報をもとに、説得力のあるストーリーを作り上げ、ターゲットの信頼を得ます。アンケート調査員、監査担当者、取引先の新任担当者など、さまざまな役柄を演じます。

具体的な事例:

  • 「新しいセキュリティソフトの導入テストのため」と称して、管理者権限のあるアカウント情報を聞き出した
  • 「内部監査の一環」として、各部署のシステム構成やアクセス権限の詳細を収集された
  • 「取引先の担当者が変わった」として、新しいメールアドレスに請求書を送るよう依頼され、偽の口座に振り込まれた

対策:

  • 不審な問い合わせは、必ず上司や情報システム部門に確認する
  • 定期的な情報共有で、組織内の人事異動や取引先の変更を把握する
  • 「確認するのは失礼」という心理的ハードルを下げる組織文化を作る

実践的な防御策

物理的セキュリティ対策

技術で防げないなら「ルール」と「物理」で守ります。ソーシャルエンジニアリングはウイルス対策ソフトでは検知できないため、物理的な環境整備と従業員の行動ルールが最大の防御壁となります。

クリアデスク・クリアスクリーン:

クリアデスクとは、離席時や帰宅時に、机の上に書類や記憶媒体(USBメモリなど)を放置しないこと。鍵付きのキャビネットにしまう習慣をつけます。

クリアスクリーンとは、離席時にPC画面をロックすること(Windowsなら Win + L、Macなら Control + Command + Q)。画面つけっぱなしは、情報の垂れ流しと同じです。わずか数分の離席でも、その間に機密情報が盗まれる可能性があります。

廃棄物の適切な処理:

ゴミ箱は情報の宝庫です。以下の方法で確実に処理しましょう。

溶解処理は、専門業者に依頼して書類をドロドロに溶かします。復元は事実上不可能です。

シュレッダーは、復元困難なレベル(微細なクロスカットなど)で裁断します。縦方向だけの単純なカットでは、復元されるリスクがあります。

電子媒体は、物理的に破壊するか、データ消去専用ソフトウェアで完全消去してから廃棄します。

入退室管理の強化:

ICカードや生体認証による入退室管理を導入し、誰がいつどこに入室したかを記録します。特に、サーバ室や機密情報を扱う部屋は、厳重な管理が必要です。

来訪者には必ず受付を通してもらい、訪問先の担当者が迎えに来るまで待機エリアで待機してもらいます。入館証は必ず見える位置に携帯させ、社員が常に来訪者の所在を把握できるようにします。

教育・訓練プログラム

SC試験の午後問題の記述回答で頻出なのが「教育と訓練」です。

セキュリティ意識向上研修:

年に1回以上、全従業員を対象としたセキュリティ研修を実施します。実際の攻撃事例を紹介し、「自分事」として捉えてもらうことが重要です。

研修内容には、最新の攻撃手法、社内のセキュリティポリシー、インシデント発生時の報告手順などを含めます。

標的型攻撃メール訓練:

実際に疑似的な攻撃メールを従業員に送信し、開封率やリンクのクリック率を測定します。訓練に引っかかった従業員には、個別にフィードバックを行い、なぜ危険なのかを理解してもらいます。

この訓練を定期的に実施することで、従業員の警戒レベルを維持できます。

報告しやすい組織文化の構築:

「怪しいメールを開いてしまった」「パスワードを教えてしまったかもしれない」という時に、すぐに報告できる環境を作ることが重要です。

報告したことで叱責されるのではなく、早期発見に貢献したとして評価される文化を醸成します。報告が遅れれば遅れるほど、被害は拡大します。

技術的対策との組み合わせ

ソーシャルエンジニアリング対策は、技術的対策と組み合わせることで、より効果を発揮します。

多要素認証(MFA)の導入:

パスワードだけでなく、スマートフォンアプリやSMSによる認証コード、生体認証などを組み合わせることで、パスワードが漏洩しても不正アクセスを防げます。

アクセス権限の最小化:

従業員には、業務上必要最小限の権限のみを付与します。万が一、アカウントが乗っ取られても、被害を最小限に抑えられます。

ログの監視と異常検知:

システムへのアクセスログを常時監視し、通常と異なるパターンを検知したら、すぐにアラートを発する仕組みを導入します。

日常業務で気をつけるべきこと

セキュリティ対策は、特別な時だけ行うものではありません。日常業務の中で、以下の習慣を身につけることが大切です。

電話での本人確認:

電話で重要な情報を求められた場合、相手の所属・氏名・連絡先を聞き、一旦電話を切って、公式の連絡先に折り返し電話をかけます。これだけで、なりすましの多くを防げます。

メールの送信者確認:

メールアドレスの表示名だけでなく、実際のメールアドレス(@以降のドメイン)を必ず確認します。「support@yourcompany.security.com」のように、一見正規に見えても、実際のドメインが異なる場合があります。

リンクをクリックする前の確認:

メール内のリンクは、クリックする前にマウスオーバーして、実際のリンク先URLを確認します。短縮URLは展開してから確認するか、クリックを避けます。

USBメモリの取り扱い:

出所不明のUSBメモリは、絶対に業務用PCに挿入しません。駐車場に落ちているUSBメモリを拾って挿入したところ、マルウェアに感染した事例も報告されています。

【演習】理解度チェック!セキュアな思考を鍛える10問

学んだ知識を定着させるために、本番形式の4択クイズを解いてみましょう。 答えをクリック(タップ)すると、正解と解説が表示されます。

【演習】ソーシャルエンジニアリング 理解度チェック(全10問)

Q1. ネットワーク経由でシステムに侵入するのではなく、人間の心理的な隙や行動のミスにつけ込んで情報を盗む攻撃手法の総称はどれか。

正解:イ

解説:
技術的な脆弱性ではなく、人間の脆弱性(不注意、親切心、焦りなど)を突く攻撃の総称です。

Q2. オフィスから排出されたゴミ袋を漁り、廃棄された書類や記憶媒体からパスワードや機密情報を探し出す行為はどれか。

正解:ア

解説:
ゴミ箱(Trash)を漁ることからトラッシングと呼ばれます。対策としてシュレッダーや溶解処理が必要です。

Q3. カフェや電車内などで、背後からPCやスマートフォンの画面を盗み見て、パスワードなどの情報を入手する行為はどれか。

正解:ア

解説:
肩(Shoulder)越しに覗き見ることからこう呼ばれます。ショルダーサーフィンとも言います。

Q4. 入退室管理システムのあるドアで、正規の権限を持つ社員が通過する際に、その背後にぴったりとついて不正に侵入する行為はどれか。

正解:イ

解説:
尻尾(Tail)のように付いていくことからテイルゲーティング、またはピギーバッキング(おんぶ)とも呼ばれます。

Q5. 「システム管理者」を名乗って電話をかけ、「メンテナンスのため」と偽って利用者のパスワードを聞き出す手口はどれか。

正解:ア

解説:
何らかの口実(Pretext)を作って相手を信用させ、情報を引き出す手法です。IT管理者を装うケースは非常に典型的です。

Q6. 離席時に机の上に書類などを放置せず、キャビネット等に片付けることで盗難や盗み見を防ぐ対策を何と呼ぶか。

正解:ウ

解説:
机(Desk)の上を綺麗にするため「クリアデスク」です。PC画面をロックすることは「クリアスクリーン」と呼びます。

Q7. ショルダーハッキング対策として、PCモニタやスマホ画面に貼ることで、斜めからの視認を困難にする物理的な対策グッズはどれか。

正解:イ

解説:
視野角を狭くして、横からの覗き見を防止するフィルムです。

Q8. 「共連れ」を防ぐための物理的なセキュリティ設備として、最も適切なものはどれか。

正解:イ

解説:
一人ずつしか通れないゲート(フラッパーゲートや回転扉)や、入室記録がないと退室できない(アンチパスバック)機能が有効です。

Q9. ソーシャルエンジニアリング攻撃で、攻撃者が利用する「人間の心理」として不適切なものはどれか。

正解:エ

解説:
ソーシャルエンジニアリングは、相手をパニックにさせたり、情に訴えたりして「冷静な判断力」を失わせることで成功します。

Q10. 電話でパスワードや機密情報を聞き出そうとする攻撃への対策として、最も適切な行動はどれか。

正解:ウ

解説:
相手が本人かを確認するために、電話をかけ直す「コールバック」が基本かつ確実な対策です。また、そもそも「パスワードは電話で教えない」というルール徹底も重要です。

まとめ:人間が最大の防御線

ソーシャルエンジニアリングの代表的な手口を整理します。

トラッシング: ゴミ箱から情報を盗む(対策:シュレッダー、溶解処理)

ショルダーハッキング: 画面を覗き見る(対策:プライバシーフィルター、周囲の確認)

共連れ: ドア通過時についていく(対策:一人一認証、来訪者への声かけ)

なりすまし: 電話等で騙す(対策:コールバック、送金前の複数人確認)

プリテキスティング: 口実を作って近づく(対策:不審な依頼の上司確認、情報共有)

攻撃者は、一番弱いところ=「人間」を狙ってきます。しかし、適切な教育と訓練、そして日々の心がけによって、人間は最強の防御線にもなり得ます。

「知らない人がオフィスにいたら声をかける」「怪しいと思ったら確認する」「すぐに報告する」——このシンプルな行動が、最新鋭のセキュリティシステム以上の効果を発揮することもあるのです。

情報処理安全確保支援士試験では、こうした人的対策の重要性を理解し、具体的な対策を記述できることが求められます。技術だけでなく、人の心理と行動を理解することが、真のセキュリティ専門家への第一歩です。

-情報セキュリティの基礎