サイバー攻撃というと高度なハッキング技術を思い浮かべるかもしれませんが、実は最も成功率が高いのは「人間の心理」を突く手口です。この記事では、ソーシャルエンジニアリングの代表的な手口と実際の被害事例、そして個人・企業ができる対策をわかりやすく解説します。
管理人
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、コンピュータの脆弱性ではなく、人間の心理的な隙を悪用して機密情報を盗み出すサイバー攻撃手法の総称です。
攻撃者は信頼・権威・緊急性といった心理的トリガーを巧みに利用し、ターゲットにパスワードや認証情報を「自ら」提供させます。ファイアウォールやウイルス対策ソフトでは防げないのが最大の特徴で、Verizon社の調査レポート(DBIR 2024)によると、データ漏洩の68%に人的要素が関与しているとされています(Verizon DBIR(https://www.verizon.com/business/resources/reports/dbir/))。
IPA(独立行政法人 情報処理推進機構)が発表する「情報セキュリティ10大脅威 2025」でも、フィッシングによる個人情報の詐取が7年連続で個人向け脅威に選出されており、ソーシャルエンジニアリングの脅威は年々増大しています(IPA 情報セキュリティ10大脅威 2025(https://www.ipa.go.jp/security/10threats/10threats2025.html))。
電話1本で数百億円の損害 — 17歳が突いた「人間の脆弱性」
2025年4月、英国の大手スーパーマーケットチェーンMarks and Spencer(M&S)が大規模なサイバー攻撃を受けました。イースター休暇中に実店舗のコンタクトレス決済が停止し、オンラインショッピングも全面停止。被害はCo-opや百貨店Harrodsにも拡大し、損害額は数百億円規模に達しました。
驚くべきことに、攻撃の起点はたった1本の電話でした。攻撃者はM&Sの従業員になりすまして外部委託先のヘルプデスクに電話をかけ、パスワードのリセットを要求。取得した認証情報でActive Directory(社内の認証システム)に侵入し、ランサムウェアを展開したのです。
この攻撃を主導したのはScattered Spiderというサイバー犯罪グループで、逮捕された4人の年齢は17歳〜20歳でした。高度なハッキング技術ではなく、「人を騙す」スキルだけで数百億円の被害を生み出したのです(Yahoo!ニュース(https://news.yahoo.co.jp/articles/33505b70d86cf321ac85c3e280523f28463fd4cb))。
同グループは2023年にも米国のカジノ大手MGM Resortsに同じ手口で約150億円以上の被害を出しており、手口が広く知られていたにもかかわらずM&Sは防げませんでした。
代表的なソーシャルエンジニアリングの手口
ソーシャルエンジニアリングにはさまざまな手口があります。代表的なものを紹介します。
| 手口 | 概要 |
|---|---|
| フィッシング | 偽のメール・SMSで偽サイトに誘導し、ID・パスワードを詐取する |
| プリテキスティング | IT部門や取引先になりすまし、架空の口実で情報を聞き出す。M&S事件の手口 |
| ビッシング | 電話を使ったフィッシング。銀行を装い暗証番号を聞き出す |
| ベイティング | マルウェア入りUSBメモリを放置するなど、好奇心を利用して罠にかける |
| テールゲーティング | 正規の入室者の後ろについて、セキュリティエリアに物理的に侵入する |
| スミッシング | SMSを使ったフィッシング。宅配不在通知を装う手口が多い |
これらの手口に共通するのは、技術的な突破ではなく、人間の「信頼」「焦り」「好奇心」を利用するという点です。「自分は騙されない」という過信こそが、攻撃者にとって最大の味方になります。
個人でできるソーシャルエンジニアリング対策
- 不審なリンクをクリックしない: メールやSMSに記載されたリンクではなく、公式サイトにブックマークから直接アクセスするか、公式アプリを利用する
- 多要素認証(MFA)を有効にする: パスワードが漏洩しても、ワンタイムパスワードや指紋認証などの第二の認証要素が不正アクセスを防いでくれる
- パスワードを使い回さない: パスワード管理アプリを活用し、サービスごとに異なる強固なパスワードを設定する
- 電話での個人情報提供に慎重になる: 銀行やIT部門が電話でパスワードや暗証番号を聞くことはない。不審に感じたら一度電話を切り、公式の連絡先にかけ直す
- OSやアプリを最新の状態に保つ: セキュリティアップデートを速やかに適用し、脆弱性を悪用した攻撃を防ぐ
これらの対策は、警察庁のフィッシング対策ページでも推奨されています(警察庁 フィッシング対策(https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html))。
企業が取るべき対策
- 従業員へのセキュリティ訓練: 定期的なフィッシング訓練や、ソーシャルエンジニアリングの手口に関する研修を実施する。特にヘルプデスク担当者への訓練はM&S事件の最大の教訓
- ヘルプデスクの本人確認強化: パスワードリセット時に複数の本人確認手段(社員番号+上司確認+コールバック等)を適用する
- 多要素認証の全社導入: Active Directory、VPN、メールなどの重要システムには、フィッシング耐性のあるMFA(FIDO2等)を導入する
- ゼロトラストの採用: 「社内ネットワークだから安全」という前提を捨て、すべてのアクセスを都度検証するモデルに移行する
まとめ
- ソーシャルエンジニアリングは、技術ではなく人間の心理的な隙を突くサイバー攻撃
- 2025年のM&S事件では、電話1本のなりすましから数百億円規模の被害が発生した
- フィッシング、プリテキスティング、ビッシングなど、手口は多様だが共通点は「人を騙す」こと
- 個人の対策は「多要素認証の設定」と「不審な連絡への慎重な対応」が基本
- 企業は「ヘルプデスクの本人確認強化」と「従業員へのセキュリティ教育」が不可欠
- 「自分は騙されない」という過信が、最大のセキュリティリスクになる
管理人
最後までお読みいただき、ありがとうございました!
