Tripwireは3月1日(米国時間)、「Social Engineering: Definition & 6 Attack Types」において、一般的に使われているソーシャルエンジニアリングの種類を紹介した。大きく6つのタイプに分けることができると説明している。

  • Social Engineering: Definition & 6 Attack Types

    Social Engineering: Definition & 6 Attack Types

ソーシャルエンジニアリングとは、感情や意思決定プロセスを混乱させることで人をだまし、機密情報を窃取するサイバー攻撃。インターネットにおける悪質な脅威の一つであり、さまざなタイプのソーシャルエンジニアリングが存在することが確認されている。

Tripwireが分類しているソーシャルエンジニアリングの6つのタイプは次のとおり。

  1. フィッシング - ソーシャルエンジニアリングにおいて最も一般的なサイバー犯罪とされている。短縮URLや誤解を招くようなリンクを使うものや恐怖や危機感をあおって、すぐにユーザーが反応するよう仕向けるものなどさまざまなフィッシングが存在する
  2. プリテクスティング - 信頼できる企業や個人になりすまし、身元を確認するために特定の情報を引き出そうとする。組織のセキュリティポリシーを回避するよう誘導する、より高度な詐欺もある
  3. ベイティング(ベイト攻撃) - フィッシングに似たソーシャルエンジニアリングといわれている。被害者を誘い出すために餌を用意する点がフィッシングと異なる。無料の音楽や映画のダウンロードを提供したり、アイテムや商品を約束するなどの嘘でだまそうとする
  4. 見返り詐欺 - 情報と引き換えに何かを提供するという詐欺。ベイティングと似ているがこちらは通常、サービスという形をとるといわれている
  5. テールゲーティング - 物理的なソーシャルエンジニアリングといわれている。攻撃者は配送業者などになりすまして従業員を尾行し、従業員が作業をするために建物に入る時に一緒に侵入する
  6. 最高経営責任者(CEO: Chief Executive Officer)詐欺 - この詐欺を成立させるため、詐欺師はまず経営陣に関する情報を集める。その後、最高経営責任者などの主要組織メンバーになりすまし、従業員に金銭的な取引や機密性の高い重要な情報を提供するよう要求するというもの

Tripwireは企業や組織に対し、従業員がソーシャルエンジニアリングに対抗できるよう支援する必要があると助言している。信頼できない送信元からのメールは開封しないことや見知らぬ人からの申し出には安易に応じないこと、パソコンから離れる際はロックを必ずかけるなどの基本的なセキュリティ対策が推奨されている。ウイルス対策ソフトを導入することや会社のプライバシーポリシーを確認しておくこと、リスクを意識する文化を組織に作り出すといったセキュリティ保護も紹介されている。