Hello there, ('ω')ノ
1. ソーシャルエンジニアリングの定義
「人の心理的スキ」を突き、機密情報を引き出したり、不正操作をさせたりする一連の行為」 (技術的脆弱性ではなく、人間の行動・感情が“脆弱点”)
2. 代表的な 5 つの手口
| 手口 | しくみ | キーワード |
|---|---|---|
| フィッシング | 偽メール・偽サイトで ID/PW を入力させる | 「至急」「緊急」「アカウント停止」 |
| スピアフィッシング | 対象を特定して巧妙に偽装 | 経理だけ に請求書 PDF |
| プレテキスティング | 権威を装い情報を聞き出す | 「IT サポートですが…」 |
| ベイト(USB/景品) | 誘惑アイテムにマルウェアを混入 | 落とし物 USB、社内イベント景品 |
| テールゲーティング | 他人に付いて入館し物理侵入 | 喫煙帰りの社員の“後ろ”で一緒に |
3. 実例で学ぶ“人の心理”4パターン
| 心理トリガー | 攻撃シナリオ | 防御のポイント |
|---|---|---|
| 恐怖・焦り | 「不正ログイン検知。15 分以内に再認証を」 | 時間制限メールは一呼吸置いて公式サイト直アクセス |
| 権威・上下関係 | 「CEO の〇〇ですが、資料を今すぐ送って」 | 役職者でもメールドメイン・電話番号を必ず確認 |
| 好意・親切心 | 「国際会議の論文レビューお願いします」 | 添付ファイルをオンラインスキャンに通す |
| 貪欲・お得感 | 「抽選で iPhone が当たるアンケート!」 | URL プレビューで実ドメインを確認し掲示板で共有 |
4. 企業内で出来る 3 層防御
A. 教育・訓練層
- 年 1 回の座学ではなく、月 1 回ミニクイズ&模擬メール
- 失敗しても罰しない。「なぜ引っ掛かったか」を共有
B. プロセス・制度層
- 金銭/機密のやり取りは 二者確認(4-eyes principle)
- IT 部門を名乗る電話は 社内ダイヤルバック で真偽確認
C. 技術層
- URL フィルタリング・メールサンドボックス
- USB ポートの無効化/デバイス持込管理 (BYOD ポリシー)
5. バグバウンティとソーシャルエンジニアリング
多くのプログラムでは 「ソーシャルエンジニアリング禁止」 が明記されています。 とはいえ、脅威モデルを理解しておくことで技術的バグの 影響度説明 が深まります。
例: 「この IDOR により他者の個人情報が閲覧可能です。フィッシングで資格情報を得た攻撃者が組み合わせれば大量窃取が容易になります。」
6. 社員向け“5秒セルフチェック”ポスター例
1️⃣ 送り主のドメイン、怪しくない? 2️⃣ リンク先 URL、知らない短縮形じゃない? 3️⃣ 添付ファイル、拡張子が .exe / .js / .lnk では? 4️⃣ 「今すぐ」「緊急」は要注意信号! 5️⃣ 困ったら IT チームに転送して相談!
設置場所:プリンター横・給湯室・Slack ピン留め
7. まとめ:最強のセキュリティは“疑う習慣”
- ソーシャルエンジニアリングは “人間 OS” のゼロデイ
- テクノロジー対策+日常動作のルール化 が効果的
- 攻撃メールで学び、「引っ掛かっても共有」 する文化を作ろう
「一番脆弱なのは人間」という現実を、 “恥ずかしくない学習機会” に変えれば組織は強くなれます。
Best regards, (^^ゞ
