人の心理を突くソーシャルエンジニアリングが高度化、技術だけでは防げない脅威

背景

高度なセキュリティ技術が普及する一方で、「人間の心理的な隙」を突くソーシャルエンジニアリング攻撃が依然として有効な攻撃手段として多用されています。ファイアウォールや暗号化をいくら強化しても、従業員が巧妙な口実で騙されて認証情報を渡してしまえば、全ての防御が無力化されます。近年では、SNSやLinkedInなどのビジネスSNSから収集した個人情報を基に、極めてパーソナライズされた攻撃が展開されており、標的となる人物の上司、同僚、取引先を装った精巧ななりすましが行われています。電話、メール、対面訪問、さらには物理的な侵入まで、あらゆる手段を組み合わせた複合的な攻撃が確認されており、技術対策だけでは防ぎきれない脅威として認識されています。

実態

ソーシャルエンジニアリング攻撃の代表的な手口としては、まず「プリテキスティング（口実作り）」があります。攻撃者はIT部門のヘルプデスク担当者を装い、「システム障害の対応のためパスワードを確認させてください」と電話をかけ、従業員から認証情報を聞き出します。また、「ビッシング（音声フィッシング）」では、銀行や公的機関を装った自動音声ガイダンスで個人情報や暗証番号の入力を促します。物理的な侵入では、「テイルゲーティング」という手法で、正規の従業員の後ろをついて歩き、セキュリティゲートをすり抜けて社内に侵入します。侵入後は、放置されたPCへのUSBメモリ挿入、机上の付箋に書かれたパスワードの撮影、ゴミ箱から廃棄書類の回収などが行われます。また、SNS上で長期間にわたって信頼関係を構築した後に攻撃を仕掛ける「ロングゲーム」や、緊急性を装って冷静な判断力を奪う「緊急事態詐欺」も巧妙化しています。特に経営幹部を装ったBEC（ビジネスメール詐欺）では、出張中のCEOになりすまして財務担当者へ緊急送金を指示するメールを送り、数千万円から数億円規模の被害が発生しています。最近では、ディープフェイク技術と組み合わせた音声・映像での詐欺も報告されており、従来の「怪しい日本語」「不自然な文面」といった判別方法が通用しなくなっています。

影響と対策

ソーシャルエンジニアリング攻撃による被害は、認証情報の窃取、不正送金、機密情報の漏えい、物理的な侵入による設備破壊など、組織の存続を脅かすレベルに達する可能性があります。対策の基本は「人」への投資です。定期的なセキュリティ意識向上トレーニング、模擬フィッシングメール訓練、インシデント報告制度の整備が不可欠です。特に「緊急」「至急」「機密」といったキーワードを含む依頼には、必ず別の手段（既知の電話番号への折り返し確認、対面での確認など）で真偽を検証する文化を醸成することが重要です。技術的対策としては、FortiGateやCheck Pointのメールセキュリティ機能によるなりすましメールの検知、送信ドメイン認証（SPF、DKIM、DMARC）の厳格化、疑わしいメールへの警告表示が有効です。また、重要な操作（送金、権限変更、システム設定変更等）には必ず多要素認証と承認ワークフローを義務付け、単独判断での実行を防ぐ仕組みが推奨されます。物理セキュリティでは、入退室管理の厳格化、クリアデスクポリシーの徹底、廃棄文書のシュレッダー処理、訪問者の厳格な本人確認も欠かせません。

まとめ

最も高度なファイアウォールも、人間の「善意」や「焦り」を突かれると無力化されます。ソーシャルエンジニアリング対策は、技術・プロセス・人の三位一体で取り組む必要があります。「疑うことは失礼ではない」という組織文化の醸成が、最も強力な防御となります。PSI社では、ネットワーク製品による技術的防御に加え、従業員教育プログラムの設計支援を通じて、人的脆弱性を最小化する包括的なセキュリティ体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp