セキュリティ事故において最も多い原因はヒューマンエラー、つまり人のミスです。この絶対的な脆弱性を付いてくる攻撃があります。それが、ソーシャルエンジニアリングです。ソーシャルエンジニアリングは、人間の性質や行動を利用した攻撃形態になります。人間は、間違いを犯したり、だまされて加害者にまわったり、意図的に会社のセキュリティを侵害する可能性があるため、セキュリティの弱点となりえます。ソーシャルエンジニアリングは、人の信頼や援助したいという願望、目立ちたがり屋といった人間の特性を悪用し、不正な操作や機密情報を開示するように仕向けます。「すごく困っている人がいたら助けてあげたい」、「自分はこんな機転の利く人間なんだ」という人を狙って、情報の漏洩を成功させます。ソーシャルエンジニアリングはある特定の攻撃を指したものではありません。状況に応じてさまざまな形を取ります。
例えば、部長を名乗りヘルプデスクに問い合わせて、「資料がダウンロードができない!このままでは会社の命運を分ける会議が失敗する!」ということをいい、怒鳴りながらパスワードリセットを要求してきたり、「緊急の修理できたんですけど!」と言いながら建物内に許可なく入ってきたり、自然な会話の中で秘密の質問の回答を聞いてきたり、”緊急対応”とかかれたメールを送付し悪意のあるサイトに誘導したり、「やってくれなかったら、君には信頼を置けない」というように指示に従わないことに対するペナルティを付けて強迫してきたり、「こんなことは2度と起きないですよ!」というように事象の希少性をあげてみたり、「以前の営業は、そのぐらいやってくれたけどね」というように他の人もやっているかのように見せて安心させ実施を促したりと、騙すということは人のついついやってしまいがちな癖を利用していきます。ソーシャルエンジニアリングは多種多様な方法があるため、一概に解決案を提示できないところがあります。そのため、意識向上とトレーニングは常に実施することが重要になってきます。
先ほどの例でも紹介しましたが、ソーシャルエンジニアリングでよくある攻撃の例は、フィッシング詐欺です。フィッシング詐欺とは、Eメールなどから偽のサイトに誘導させ、アカウント情報を奪う攻撃です。「1週間後にアカウントが無効化されます。変更は下のサイトから、~」のような文言で誘導します。偽サイトは本物そっくりに作られており、見分けることはほぼ不可能でしょう。ユーザー情報を打ち込むと、あなたの情報が取れます。打ち込んだ後も、本人が釣られていることに気づかないのが恐ろしいところです。フィッシング攻撃から身を守るためには、ユーザーは予期しない電子メールや、差出人不明の電子メールを怪しみ、添付ファイルを開かない、機密情報を共有しない、リンクをクリックしないようにします。その上で、このような怪しいメールなどは、組織に報告し、削除する必要があります。こういった反応を得るには、普段からのトレーニングが必要です。そのため、組織から被害のない偽のフィッシングメールをあえて社員に送付し、メールからリンクに飛んでしまったユーザーに対して追加のトレーニングや注意喚起を行うこともあります。ちなみに、フィッシング詐欺の”フィッシング”の綴りは、”釣り(Fishing)”ではありません。”賢い釣り(Phishing)”という造語です。
利用ユーザーが多いほどソーシャルエンジニアリングに標的も増える。