ソーシャルエンジニアリング(人の隙をつく情報窃取)
人の心理や行動の隙をついて機密情報を聞き出す手法。
📌ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、人の心理や行動の隙をついて、機密情報を聞き出す手法のことです。プログラムの欠陥を突くのではなく、狙うのはあくまで「人」である点が特徴です。
どんなに頑丈なセキュリティシステムでも、それを使う人が「うっかり」教えてしまえば意味がありません。攻撃者はそこに目をつけ、親切心・思い込み・権威への弱さといった人間の性質を利用します。
身近な例で考えると、清掃員や業者を装って建物に入り込むのと同じ発想です。鍵を破るのではなく「中の人にドアを開けてもらう」──このイメージが、人をだまして情報を引き出す手口に重なります。
📌主な手口
ソーシャルエンジニアリングの代表的な手口には、次のようなものがあります。
・なりすまし電話:システム管理者や上司、取引先を装って電話をかけ、パスワードなどを聞き出す
・ショルダーハッキング:背後からそっと覗き見て、入力中のパスワードやPIN(暗証番号)を盗む
・トラッシング(ゴミ箱あさり):捨てられた書類や記録媒体をあさり、有用な情報を集める
・尾行・後追い:認証ドアを通る人のすぐ後ろについて、一緒に入り込む
どの手口も特別な技術を必要としないのがポイントです。電話・視線・ゴミといった日常の隙を突くため、システム側の防御では防ぎきれません。
とくになりすまし電話はよく使われます。「急いでいる」「上司の指示だ」と急かされると、つい確認を省いて教えてしまう──この心理の隙が狙われます。
📌対策
狙いが「人」である以上、対策も人と運用の工夫が中心になります。
・本人確認のルール化:電話やメールでパスワードを聞かれても、その場で教えず、正規の手順で本人確認する
・物理的な対策:画面に覗き見防止フィルターを付け、不要な書類はシュレッダーで処分し、入退室を管理する
・教育・訓練:どんな手口があるかを従業員に共有し、「怪しいと感じたら確認する」習慣をつける
重要なのは、「相手が社員や上司を名乗っても、確認するまで安易に情報を教えない」という姿勢です。なりすましは肩書きを装うので、名乗りだけを信用しないことが防御の土台になります。
ソーシャルエンジニアリングはセキュリティの最も弱い部分である「人」を狙います。だからこそ、技術だけに頼らず、一人ひとりが手口を知り、立ち止まって確認できることが最大の対策になります。
📌なぜ技術的対策だけでは防げないのか
ファイアウォール(=不正な通信を遮断する壁)やパスワード認証は、外から攻撃者が侵入するのを防ぐ仕組みです。しかし、ソーシャルエンジニアリングはその壁の中にいる人を操って情報を引き出すため、どれほど強固なシステムでも防ぎきれません。
なぜ「人の問題」はシステムで解決しにくいのか。システムは「正しい手順を踏んだ操作」を止めません。人が正規のパスワードを教えれば、攻撃者は正規利用者としてログインできます。システムからすると「本物の利用者が操作している」と区別がつかないのです。
だから対策の核心は「人が情報を渡さない・渡す前に確認する」という運用ルールになります。どんな高いセキュリティ予算をかけても、一人の従業員がパスワードを口頭で教えてしまえば一瞬で無効化されます。技術的対策と人的対策の両輪が欠かせない理由がここにあります。
📌手口の種類と覚え方
ソーシャルエンジニアリングの手口は、「どうやって情報を盗むか」で3つに分けると覚えやすいです。
| 手口名 | 分類 | 具体的な内容 |
|---|---|---|
| なりすまし電話 | 口頭 | システム部・上司・取引先を装い、パスワードなどを聞き出す |
| ショルダーハッキング | 視覚 | 背後からパスワードや画面を覗き見る |
| トラッシング | 書類 | ゴミ箱の書類や使用済み記録媒体から情報を拾う |
| 尾行(テールゲート) | その他 | 認証ドアを通る人のすぐ後ろについて入り込む |
いずれも共通点は「特別な機器も技術も必要ない」点です。電話・視線・ゴミ箱という日常のものだけで実行できます。逆に言えば、人が少し意識を変えるだけで防げる手口でもあります。なりすまし電話・ショルダーハッキング・トラッシングは代表的な3手口としてセットで覚えると理解が深まります。
