TOPセキュリティ > ソーシャルエンジニアリング、4つの最新手口(上)

セキュリティ

ソーシャルエンジニアリング、4つの最新手口(上)

2014/05/19

Stacy Collett CSO

 「このパソコンのファイルを預かった。返してほしくば身代金を払え」「お使いの銀行口座の預金が盗まれている。ここをクリックして送金処理を中止せよ」「ご友人が逝去された。この葬儀社のサイトで詳細を確認されたし」――。最近のソーシャルエンジニアリングは手口がますます卑劣になっている。

 ソーシャルエンジニアリングとは、人間の心理や行動につけ込んでデータの入手や企業への侵入を図る犯罪行為である。かつての手口は、無料のオファーや面白い動画などを餌にして人々を詐欺に巻き込むという域にとどまっていた。しかし現在では手口が悪質化しており、強硬姿勢、脅迫、冷酷無比、恐ろしい最後通告といった面を見せるようになってきた。

 米Symantecが2014年4月中旬に発表した「2014 Internet Security Threat Report」によると、2013年は、スピアフィッシングの一連の攻撃で使用されるメールの数は減少し、標的の数も減ったものの、スピアフィッシングの件数自体は前年比91%増となった。

 一連の攻撃が続く期間は前年比で約3倍伸びた。ユーザーの意識や保護技術が高まったことから、犯人が標的を厳選し、ソーシャルエンジニアリングの手口に磨きをかけている徴候だという。また、仮想世界と現実世界の攻撃を組み合わせた「実社会的」なソーシャルエンジニアリングによって成功率を高めようとする動きも見られるとしている。

 ソーシャルエンジニアリング関連のコンサルティングやトレーニングを手がける米Social-Engineerで「Chief Human Hacker」を名乗るChris Hadnagy氏によると、企業の社員に対してこうした手口を使う事例は増えているという。

 「犯人側は、悪質なファイルを添付したフィッシングメールをまず送信する」。用心深い社員であれば、通常このようなメールは無視する。

↑ページ先頭へ