マスターベース®オートメーション ブログ
マスターベース
連絡先

ソーシャル・エンジニアリングの正体を暴く:実際の事例と防御戦略

ソーシャル・エンジニアリングは、サイバー・セキュリティにおいて最も過小評価されている脅威の一つである。
ソーシャル・エンジニアリング

多くの人がウイルスやマルウェア、ハッカーについて心配する一方で、最大の脆弱性は自分自身、つまり人間にあることを忘れがちだ。

ソーシャル・エンジニアリングは、心理的な操作に基づいて、あなたを騙して機密情報を漏らしたり、会社のセキュリティを危険にさらす行動を取らせたりするものです。

ソーシャル・エンジニアリングとは何か?

ソーシャル・エンジニアリングは新しいものではないが、テクノロジーとともに進化してきた。

コードを解読したり、システムに侵入したりする必要のないハッカーを想像してみてほしい。その代わりに、会社の従業員を操って機密情報にアクセスする。

このアプローチは自信や好奇心、あるいは恐怖心を利用する。

ソーシャル・エンジニアリングは、誰かがあなたに機密情報の入力を求めたり、偽って不審なリンクをクリックするよう誘ったりすることで見分けることができます。

フィッシングメール、詐欺電話、ソーシャルメディアへの投稿などが一般的な手口だ。

あなた自身とあなたの会社を守るためには、常に警戒し、常に情報の要求を確認し、要求者の信憑性を完全に確認することなく機密データを共有しないことが不可欠です。

企業における脆弱性の事例

  1. 従業員を狙ったフィッシングある大企業が、ハッカーからIT部長を装った電子メールを複数の従業員に送られ、攻撃を受けた。そのメールは、従業員に偽のサイトでパスワードを変更するよう求め、ハッカーが会社のアカウントにアクセスできるようにした。

 

  1. フィッシング攻撃別の会社では、ハッカーがその会社の常連サプライヤーを装い、支払い用の銀行口座の変更を要求した。同社は詐欺に気づく前に、ハッカーの口座に大金を振り込んだ。

 

  1. ソーシャルネットワークを利用したソーシャルエンジニアリングある従業員が、自分の業務内容や使用しているシステムの詳細をソーシャルメディアに公開していた。ハッカーはこの情報を使って会社の技術サポート部門を騙し、従業員のアカウントにアクセスした。

ソーシャル・エンジニアリング攻撃を防いだ企業の成功事例

1.スタッフの意識向上によりフィッシングを阻止

ハッカーが試みたこと サイバー犯罪者グループは、複数の従業員にフィッシング・メールを送りつけ、金融サービス会社を攻撃しようとした。メールは同社のCFOからのものと思われ、従業員に同社のログイン・ページを模倣したウェブサイトに認証情報を入力するよう求めていた。目的は、従業員のアカウントにアクセスし、社内システムを侵害することだった。

どうやって回避したのか 継続的なサイバー・セキュリティ・トレーニング・プログラムのおかげで、従業員の1人がこの電子メールを不審なものと認識した。彼はリンクをクリックする代わりに、会社のセキュリティ・チームに報告した。このチームはメールを分析し、それがフィッシングの試みであることを確認することができた。そして、組織全体に警告を発し、セキュリティ対策を強化し、攻撃の成功を阻止した。

2.厳格な検証によるなりすましの防止

ハッカーが試みたこと 別の例では、ハッカーが製造会社の常連サプライヤーを装い、支払銀行口座の変更を要求する電子メールを買掛金部門に送った。ハッカーの計画は、自分たちが管理する口座に多額の資金を流用することだった。

どうやって回避したのか 会社の方針として、支払情報の変更要求は、サプライヤーに直接電話をかけて確認する必要があった。この依頼を確認するため、買掛金支払部門は実際のサプライヤーに連絡したが、サプライヤーは変更の依頼を否定した。これは赤信号となり、送金前になりすましの企ては阻止された。

3.ソーシャル・ネットワークを介したソーシャル・エンジニアリングは、プロアクティブ・モニタリングによって中断される。

ハッカーが試みたこと ハッカーたちは、あるテクノロジー企業の従業員のソーシャル・ネットワークから、その従業員を特定し、その従業員が投稿した情報を使って偽のプロフィールを作成し、その従業員になりすました。そして、その従業員が投稿した情報を使って偽のプロフィールを作成し、彼になりすました。アクセスに問題があるとして、同社のテクニカル・サポートに連絡し、パスワードのリセットを要求する計画だった。

どうやって回避したのか 同社は、ソーシャル・エンジニアリングに関連する潜在的なセキュリティ・リスクを検知するために、プロアクティブなソーシャルメディア・モニタリング・システムを導入していた。偽のプロフィールが作成されたことに気づいたセキュリティ・チームは、従業員のアカウントを保護するために直ちに行動を起こし、テクニカル・サポート・スタッフにデマが試みられたことを通知した。その結果、ハッカーはどのアカウントにもアクセスできず、会社のセキュリティは維持された。

これらの事例は、ソーシャル・エンジニアリング攻撃の成功を防ぐために、準備、トレーニング、明確なポリシーがいかに違いを生むかを示している。重要なのは、警戒を怠らず、常に強固なセキュリティ・プロトコルを導入することである。

概要

ソーシャル・エンジニアリングは、テクノロジーに依存するのではなく、人間の操作に依存するため、複雑な課題である。企業は、潜在的な攻撃の兆候を認識するために従業員を教育し、情報の要求に対処するための明確な手順を確立する必要があります。認識、トレーニング、セキュリティ・プロトコルの組み合わせが、こうした脅威から身を守る鍵になるかもしれない。

オートメーション・コース

 

シェアする

その他の記事

ご意見は?ご意見をお寄せください

MasterBase®をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む