TOPセキュリティ > 最近のソーシャルエンジニアリングの手口(前)

セキュリティ

最近のソーシャルエンジニアリングの手口(前)

2021/05/11

Derek Slater CSO

 この記事では、専門家らの話をもとに、最近増えているソーシャルエンジニアリングの手法を7つ紹介する。

Credit: Curaga / Cofotoisme / Getty Images
Credit: Curaga / Cofotoisme / Getty Images

 ソーシャルエンジニアリングを手がける攻撃者にとって、現在の世の中は活動にうってつけだ。新型コロナウイルスの感染拡大に伴う混乱、収入の懸念、健康の不安があり、人々の気持ちに付け入りやすい。

 ソーシャルエンジニアリングは、コンピューターそのものではなくそれを使う人間を狙った攻撃だ。不正アクセスの実現につながる行動を促したり、情報を引き出したりすることを目的としている。嘘をつくという昔ながらの行為に、コンピューティング時代に合った名前を付けたのが、ソーシャルエンジニアリングだ。その一つひとつの手法も、表看板を付け替えながら進化を続けてきた。

 「全体として見ると、現在確認されている攻撃手法は、本質的には以前と変わらないが、表面的にイメージチェンジしたものが多い」。セキュリティ意識向上トレーニングを手がける米KnowBe4のチーフエバンジェリストで戦略責任者のPerry Carpenter氏はそのように説明する。

 セキュリティの専門家にとっては承知の通り、こうしたイメージチェンジは大きな意味を持つ。以前と同じ攻撃手法でも、見た目が変わっていると、防御をすり抜ける恐れがある。

 ここからは、専門家らの話をもとに、最近増えているソーシャルエンジニアリングの手法を7つ紹介する。

1:悪質なQRコード

 QRコードを使ったフィッシング詐欺は、昨年目立つようになった。

 コロナ禍で消費者にアプローチし、サービスを実現する手段として、QRコードの利用はますます広がった。例えば、飲食店の中には、紙のメニューをなくし、客がスマートフォンでQRコードから見られるようにしたところも多い。また、ガールスカウトが販売するクッキーも、最近はQRコードを使った非接触の注文と配達に変わっている。

 スマホでQRコードを読み取ると、どこかのWebサイトが開く場合が多い。不正なサイトにつながる悪質なQRコードを作成することも可能だ。こうしたQRコードをスキャンさせるのは、不正なリンクをクリックさせるのと変わらない。見た目は違うが、本質的な発想は同じだ。

 「QRコードやその先のサイトが本物だと人々が思い込むことはあり得る」とCarpenter氏は言う。

 QRコードのデリバリーの方法はさまざまだ。英セキュリティ企業CybSafeのOz Alashe最高経営責任者(CEO)は、チラシを使った手法の話を耳にしたという。「このQRコードからXboxを当てよう」とうたって、悪質なQRコードが記載されているというものだ。

 「コードをスキャンすると、危険なサイトが開いて、スマホにマルウエアがダウンロードされるといった事例が多い」

↑ページ先頭へ