目次

  1. ソーシャルエンジニアリングとは
  2. ソーシャルエンジニアリングの手口① のぞき込む
    1. 手口の特徴
    2. 具体例
    3. 対策
  3. ソーシャルエンジニアリングの手口② メールのリンクをクリックさせる
    1. 手口の特徴
    2. 具体例
    3. 対策
  4. ソーシャルエンジニアリングの手口③ 安全地帯の緩みを狙う
    1. 手口の特徴
    2. 具体例
    3. 対策
  5. ソーシャルエンジニアリングの手口④ 店舗管理用パソコンを狙う
    1. 手口の特徴
    2. 具体例
    3. 対策
  6. ソーシャルエンジニアリングの手口⑤ 家族を狙う
    1. 手口の特徴
    2. 具体例
    3. 対策
  7. 中小企業経営者として、とくに持っておきたいセキュリティへの意識3つ
    1. 経営者から定期的にセキュリティ意識を発信する
    2. 役員・従業員が何か問題を感じたときに共有できる仕組みにする
    3. 担当者を責めない(責めるルールにしない)
  8. 社内でセキュリティ研修をするときに重視すべきポイント
    1. 座学+ロールプレイ方式で実施しましょう
    2. こんなことが起きたら恥ずかしい!という事例を交えましょう
    3. 一人あたり数年に1回という繰り返し計画を立てましょう
  9. 手口に引っかかる可能性は誰にでもある。普段から正しい知識の習得と相談ができる環境を

 ソーシャルエンジニアリングは、コンピュータと関わる行動における、人の心の隙間や行動の緩みにつけ込んで、機密情報を搾取することを示します。

 情報漏洩の原因を「誤操作」「管理ミス」「不正アクセス」に分類すると、不正アクセスが増えてきているものの、依然として誤操作の比率が高い状態です。

2018年 情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版) p.7│NPO日本ネットワークセキュリティ協会
2018年 情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版) p.8│NPO日本ネットワークセキュリティ協会

(引用:2018年 情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版) p.7、8│NPO日本ネットワークセキュリティ協会

 そのため、犯人にとっては、人為的なミスを誘発するもしくは人為的なミスに付け込むソーシャルエンジニアリングは、非常に費用対効果の高い手法といえます。

 では、どのような手口があるでしょうか。

 実際に私自身が見聞きした事例をもとに、5つの手口に絞ってお伝えします(実際に被害が出たかどうかは開示しません。被害に繋がる行動という観点でご覧ください)。

 カフェや電車の中で「のぞき込まれているな…」と感じること、その逆に「のぞき込む気はないけど、見えてしまう…」という経験があるのではないでしょうか。

 パソコンやスマホの画面をのぞき込むことで、SNSのトーク画面やキーボードの操作を確認できてしまいます。その情報をネットに書き込まれたり、不正ログインをされたりすることで、被害を受けます。

  1. 飛行機や新幹線で隣の席に座り、パソコンの画面をのぞき込まれていた。
  2. 電車等で立っているとき、不自然に肩口にスマホが構えられていた。
  3. カフェでトイレに立ち、パソコンをロックし忘れていたことに気づき急いで戻ってきたら、画面を見ている人がいた。
  1. のぞき見られる危険性があるときは、のぞき見防止フィルタをつけましょう。
  2. ドア付近に立つなど、できる限り後ろに人が立つことができない場所に立ちましょう(トンネル通過時など、窓で反射して見える場合もあります)。
  3. 短時間でロック画面に切り替わるよう設定しましょう。

 「○○カードからの重要なお知らせ」という件名で、一見ありそうだが、よく見れば日本語が変だったり、文章が雑だったりするメール、届いたことありませんか。

 受信者を慌てさせるメールを送信し、そこに貼られているリンクをクリックさせて、偽サイトに誘導します。そこに入力した情報をもとに、不正行為がおこなわれることで被害を受けます。

  1. 「○○カードから重要なお知らせ」という件名で「利用状況を確認してほしいから、以下のリンクから確認してほしい」という本文のメールが届き、疑わずにリンクをクリックした。
  2. 取引先の実在のアドレスから「まだ請求に基づく支払いが発生していないから支払ってほしい。念のため請求書を添付する。」とメールが届き、請求書を開いたら、ウィルスソフトの警告が出た。
  3. あなたのパソコンを数時間以内に使えなくするから、仮想通貨で支払えというメールが届いた。
  1. 実物か判断がつかない場合は、メールのリンクはクリックせず、直接ウェブサイトにアクセスするようにしましょう。
  2. ウイルスソフトが最新であったため防げた事案です。ウイルス対策ソフトの最新化は、コロナ対策におけるマスク・手洗いと同じように、一人ひとりができる最大限の対策の一つです。
  3. 思い当たらないメールが届いた場合は、まず「迷惑メール相談センター」を確認しましょう。

 自社の業務エリアは、会議室も含めてすべてICカードがないと入室できないから安心だと、気の緩みを自覚することはありませんか。

 ICカードが必要なスペースも、点検業者等を装うと入室できる場合があります。そういう業者に潜り込んだ悪意のある者が、機密情報を盗み取ることで被害を受けます。

  1. パソコンをロックしたつもりで席から離れた。戻ってきたとき、IT関係のメンテナンスをお願いしている会社の作業員が画面をのぞき込んでいた。
  2. 会議室で、取引先と打ち合わせをした際、社外の方には閲覧のみ可能な資料を一時的に置いたまま離席した。数日後、電話で話した際、会議のときに見せていないページの内容を明らかに知っていると感じる会話があった。
  3. 総務部の方針で、裏紙の再利用が推奨されている。あるとき、プリンタ横の裏紙置き場に誤って機密資料を置いてしまったことに気づき、確認したらすでになくなっていた。その資料を裏紙として利用した可能性があるか社内で確認したが、申し出る社員はいなかった。
  1. 席を離れるときは必ずロックすることが基本ですが、パソコン・スマホ側でも自動的に短時間にロックがかかるように設定しましょう。
  2. 極めて重要な情報を、第三者がいるところに短時間であっても放置することは好ましくありません。そのような場合は、面倒でも一度持ち出すか、別の社員にきてもらう必要があります。
  3. 現在は、機密漏洩の危険性と裏紙利用の節減額のバランスを考えて、裏紙利用を禁止する企業も増えています。また、裏紙の利用はメーカーも利用を控えるよう推奨しています。

 店員が接客中に、お客さまがレジカウンター越しに店舗管理用のパソコンをのぞき込んでいるのを目撃したことはありませんか。

 悪意のある者が、店舗担当者の接客中に、店舗のパソコンを覗き込みます。このとき、個人情報等の機密情報が表示されている場合、それを搾取されることで被害を受けます。

 接客中にふとレジカウンターのほうに目を向けたら、別のお客さまがのぞき込んでいた。声を掛けたらそそくさと店の外に出て行った。画面を確認したら、発送用の個人情報が表示されていたままだった。

 部外者が容易に近づける場所にパソコンを置かざるをえない場合、前述のように自動で短時間でロックがかかるようにしましょう。お客さまに急に声がけされた場合でも、個人情報が表示されていないか、印刷物が放置されていないかを確認してから接客しましょう。

 家族にSNSで「そんなことを書かれては…」ということを書かれた経験、ありませんか。

 SNSで書かれた内容をもとに、その家族の人と具体的に話を共有することで、言葉巧みに色々と聞き出し、その情報を活用することで被害を与えます。

 子供に対してつい雑談として話した機密情報を、SNSで友達などに話してしまった。その話に不快感をもった同級生が、悪意をもって拡散した可能性がある。

 機密情報は、家族にも漏らさないこと、業務用のPC以外には絶対に書き残さないこと、印刷物であれば機密情報は持ち帰らない・口外しないことが大切です。

 また、家族には、機密情報を外部に漏らすと自分たちに何が起きるかをしっかりと話すことも重要です。

 いかがでしたか。このように、人間の気の緩みに付け込む手段はたくさんあります。

 役員・従業員の行動が基でこのような事案が発生しないよう心がけることも大切ですが、被害を受けた場合にできるだけ迅速に対処できるような環境づくりも重要です。

 経営者の皆さまは、次の3つの意識を心がけていただければと思います。

 情報セキュリティに関連した定期的な発信が理想です。

 たとえば、社内報等を活用し月1度、できれば、社内のICT担当者または外部の専門家の監修のもと、「私がヒヤッとしたパソコン利用時の失敗とその後の対策」「他社の社長から聞いたセキュリティ周りの恐怖事例…」といったようなテーマを決め、自分が普段からどういうことを意識しているかを発信しましょう。

 社長も完璧ではないという空気感でありながらも、セキュリティ事故は起こさない、起こしたとしてもきちんと対処するという空気感が伝わる記事が理想的です。

 情報セキュリティに関連してなにか違和感を覚えた際に、自分事、他者事であっても報告できる仕組みを設けておくとよいでしょう。匿名でもよい仕組みにしておくことが好ましいと思います。コンプライアンス推進室等と似たような枠組みでよいでしょう。

 問題や被害が明確になった際、「ヒトではなくコトに向き合う」ということが大切です。

 会社が被害を受けると「あなたが弛んでいるから」と責める気持ちが生まれるかもしれません。

 ですが、誰であっても当事者になり得ます。同じ手口の被害を繰り返さないよう、コトに注目して展開し、事案の重要性次第では早急に全社員研修等で対応しましょう。

 上記でも触れたように、ソーシャルエンジニアリングが起きたときに迅速に対応する、そもそも発生しないように防止するには、各社員の情報セキュリティへの意識を高める研修が重要になります。

 ただ、情報セキュリティを高める行動は、手間がかかる・面倒なものが多く、問題が起きなければ手を抜きがちなものが多く、研修の効果が限定的になりがちです。

 ここでは、意識を定着させる上で重要な「研修の進め方」について3点お伝えしたいと思います。

 座学で聞いているだけでは、なかなか自分事になりにくいです。ロールプレイを組み込む、もしくは、組み込まれている研修を選択し、仮想的に実感する機会を作りましょう。

 座学で紹介する事例にも、ロールプレイで実践する事例でも、セキュリティ事故が発生した際に、自分の身にどんなことが起きたら恥ずかしいか?冷や汗ものか?という事例を盛り込むようにしましょう。

 セキュリティ研修は、一回やって終わりとなりがちですが、3年に一度は何らかの研修を実施することをおすすめします。

 とくに問題が起きなければ、意識は薄れていくものです。そもそもセキュリティ事故自体もどんどん新しくなっていきます。

 一回受講したら、次はなにか問題が発生したときに一斉研修という形ではなく、定期的に受講できる体制を整えましょう。

 情報セキュリティ対策の肝は、普段から正しい知識を繰り返し習得できる環境を整えることと、問題発生または問題が発生したかもと感じたときに即相談できる環境を整えることです。

 誰でもこのような手口に引っかかる可能性はあります。

 自分は、ウチの従業員は絶対に大丈夫とは考えず、一人ひとりの意識だけではなく、環境からも問題が発生しないように、また、問題が発生しても被害を最小限に抑えられるように環境を整えておくことが大切です。