ITmedia NEWS > セキュリティ >
ニュース
» 2020年05月07日 15時43分 公開

IT基礎英語:社会的関係を悪用する“social engineering”の手口とは

「社会工学」ではない方のソーシャル・エンジニアリングはやっかいだ。

[鈴木聖子,ITmedia]

 取引先企業の幹部になりすましたメールを送って連鎖的に人をだます“social engineering”の被害が世界で広がっているというニュースがあった。人と人との社会的関係を悪用するのがsocial engineeringと呼ばれる詐欺の手口。同じsocialでも、新型コロナウイルス対策のsocial distancingと違って、こちらはたちが悪い。

 「engineer」(エンジニア)といえばもちろん、物事を作り上げる人のこと。そして「engineering」(エンジニアリング)は作り上げる行為を意味する。この言葉に、社会や社交など人と人との関係を表す「social」を付けたsocial engineeringは「社会工学」という学問の意味もあるけれど、ITセキュリティ用語の「ソーシャル・エンジニアリング」はそれとは少し異なる。

photo この場合の意味は、「社会工学」ではない

 social engineeringの詐欺師たちが作り上げるのは虚偽の世界。狙った相手に照準を合わせて入念な下調べを行い、その人物に関する情報をかき集め、社会的関係を利用して相手をだまそうとする。

 最近では相当手の込んだsocial engineeringの手口が横行しているらしい。セキュリティ企業のGroup-IBによると、今回発見されたのも、まさにそんな手口だった。

photo Group-IBの記事

The threat actors leverage perfectly orchestrated social engineering technique by “persuading” people holding significant corporate positions to open a non-malicious PDF email attachment coming from an authentic address in their contacts.(Group-IB

脅威集団は完璧に仕立て上げたsocial engineeringの手口を利用して、企業の要職にある人物を「説得」し、連絡先に登録されている正規のアドレスから届いた電子メールに添付したPDFを開かせていた。

 当然ながら、「怪しいメールの添付ファイルを開いたり、リンクをクリックしたりしてはいけない」という常識は多分、誰でも知っている。そこでsocial engineeringを仕掛けてくる相手は、いかに怪しく見せないかに知恵を絞る。

 今回の手口では、企業幹部や経営者の電子メールアカウントが不正侵入され、そのアカウントから詐欺メールが送信されていた。受け取った相手は、いつも連絡を取り合っている大切な取引先の幹部からメールが届いたと思い込む。しかも添付のPDFファイルは、Microsoftの正規サービスのファイル共有通知そっくりに作り込まれていて、取引先の社名や幹部の氏名まで入っていた。

 こうした手口にだまされて不正なファイルを開いたり、リンクをクリックしたりすれば、マルウェアに感染して重大な情報が流出する恐れもある。

 人の不安に付け込んだり、誰もが関心をもつニュースや話題に便乗したりするのもsocial engineeringの常套手段。今は新型コロナウイルス騒ぎに便乗して保健機関をかたるメールを拡散させたり、マスク販売に見せかけたWebサイトを開設したりしてだまそうとする手口が横行している。

 こういう手口こそ、社会的距離を置くsocial distancingや、社会から排除するsocial distanceで対抗したい。

Copyright © ITmedia, Inc. All Rights Reserved.