Stepio

ソーシャルエンジニアリングとは?手口と対策

ソーシャルエンジニアリングとは?手口と対策

情報セキュリティマネジメント ソーシャルエンジニアリングとは?手口と対策
ソーシャルエンジニアリングという言葉の意味が分からず悩む初心者
「ソーシャルエンジニアリングって、結局なに?」
「ウイルスとは違う攻撃なの?」
「どうやって身を守ればいいの?」

そんな疑問を抱える、これからセキュリティを学ぶあなたへ。

結論から言えば、
ソーシャルエンジニアリングとは、技術ではなく人の心理や行動の隙を突いて、情報を盗み出す攻撃です。

この記事では、なぜ人が狙われるのか、なりすまし電話やのぞき見といった代表的な手口、そして教育や本人確認といった守り方まで、初心者向けにやさしく解説します。

 

目次

1. ソーシャルエンジニアリングとは

ソーシャルエンジニアリングの意味を整理するイメージ

まずあなたに、言葉の意味から掴んでもらいます。

ソーシャルエンジニアリング(social engineering)とは、コンピュータの仕組みではなく、人の心理や行動の隙を突いて、パスワードや機密情報を聞き出す手口のことです。

たとえば、上司や取引先を装った電話で「急ぎだから今すぐパスワードを教えて」と迫る。あわてた相手がつい答えてしまう。こうした「人」を入口にした攻撃が、その典型です。

イメージとしては「鍵そのものを壊すのではなく、鍵を持つ人をだまして開けてもらう」考え方に近いです。頑丈な扉でも、中の人が開けてしまえば意味がありません。

どんなにシステムを固めても、それを使うのは人です。あなたがうっかり情報を渡してしまえば、技術的な守りは飛び越えられてしまいます。だからこそ、攻撃者は手間のかかるシステム侵入より、人の隙を狙うことがあります。

覚えておきたいポイント:ソーシャルエンジニアリングは「機械をだます」のではなく「人をだます」攻撃です。狙われるのは、システムではなく、それを使うあなた自身です。

 

2. 技術的な攻撃との違い

ソーシャルエンジニアリングと技術的攻撃を比較するイメージ

次にあなたに知ってほしいのが、技術を突く攻撃との違いです。ここを押さえると、対策の方向性も見えてきます。

見分け方のカギは、「機械の弱点を突くのか」「人の弱点を突くのか」です。表で整理します。

観点 技術的な攻撃 ソーシャルエンジニアリング
狙う対象 OS やソフトの脆弱性 人の心理・行動の隙
主な手段 マルウェア・不正アクセス なりすまし・のぞき見・誘導
有効な対策 更新・対策ソフト 教育・本人確認・運用ルール

たとえばマルウェアは、ソフトの脆弱性などを突いてコンピュータに害を与える、技術側の攻撃です。一方ソーシャルエンジニアリングは、プログラムを使わずに人をだまして情報を引き出します。

ただし、この2つは組み合わさることもあります。だます手口でクリックさせ、その先でマルウェアに感染させる、といった具合です。人の隙と技術の弱点は、別々のようでつながっています。

違いのまとめ:技術的な攻撃には更新や対策ソフトが効きますが、ソーシャルエンジニアリングは人が判断する場面が標的です。守る側も「人への備え」が必要になります。

 

3. 代表的な手口

ソーシャルエンジニアリングの手口を確認するイメージ

あなたが対策を考えるうえで、まず知っておきたいのが具体的な手口です。入口が分かれば、注意すべき場面も見えてきます。

代表的な手口は、次のようなものです。

  • なりすまし電話:上司や取引先、サポート窓口を装い、パスワードや個人情報を聞き出す
  • ショルダーハッキング:肩越しにのぞき見て、入力中のパスワードや画面の情報を盗む
  • トラッシング:ゴミ箱に捨てられた書類やメモから、有用な情報を拾い集める
  • フィッシングへの誘導:本物そっくりの偽メールやサイトへ導き、自分で情報を入力させる

共通しているのは、「相手を信じ込ませて、自分から情報を渡させる」という流れです。あわてさせたり、親切そうに振る舞ったりして、判断を急がせるのが手口の核心です。

たとえばトラッシングは地味に見えますが、社員名や内線番号が分かるだけでも、次のなりすまし電話の材料になります。一見ささいな情報が、攻撃の足がかりになるのです。

こうした手口は、複数を組み合わせて使われることもあると言われています。ゴミから拾った担当者名を使い、その人になりすまして電話をかけ、聞き出した情報をもとに偽メールを送る、といった具合です。一つひとつは小さなだましでも、つなげることで本物らしさが増し、相手が疑いにくくなる流れになりがちだとされています。だからこそ、入口の段階で小さな違和感に気づけるかどうかが分かれ目になりやすいです。

手口のポイント:電話・のぞき見・ゴミ・偽サイトと入口はさまざまですが、ねらいは同じ「人にしゃべらせる・入力させる」ことです。場面ごとに警戒の癖をつけておくと気づけます。

 

4. 基本の対策

ソーシャルエンジニアリング対策を準備するイメージ

では、あなたが今日から意識できる対策を整理します。技術というより、習慣と仕組みで守るのがポイントです。

対策の柱は、大きく3つです。

  • 利用者の教育:手口を知り、急かされても情報を渡さない判断力を養う
  • 本人確認の徹底:電話やメールでの依頼は、別の正規の連絡先でかけ直して確かめる
  • クリアデスク・クリアスクリーン:書類を放置せず、離席時は画面をロックして、のぞき見を防ぐ

とくに効くのが本人確認の一手間です。「急ぎ」と言われても、いったん正規の番号にかけ直す。それだけで、なりすましの多くは見破れます。あなたが宅配の不在通知を、公式アプリで確かめ直すのと同じ考え方です。

またクリアデスクは、トラッシングやショルダーハッキングへの地道な備えになります。机に付箋でパスワードを貼らない、印刷物は使い終えたら適切に処分する。小さな習慣が、情報の入口をふさぎます。

こうした守りは、組織のルールづくりとも深く関わります。基礎をひと通り押さえたい人は、情報セキュリティマネジメント はじめてガイド もあわせて読むと、全体像がつかめます。

対策の心構え:完璧な人はいません。だからこそ「迷ったら確認する」「急がされても立ち止まる」ルールを、個人と組織の両方で持っておくことが現実的な守りになります。

 

5. まとめ: 今日からできる、最初の一歩

今日からの一歩を示すイメージ

ここまでをあなたと一緒に振り返ります。

ソーシャルエンジニアリングのポイントは 3つ でした。
(1)意味:技術ではなく人の心理・隙を突いて情報を盗む攻撃
(2)手口:なりすまし電話・ショルダーハッキング・トラッシング・フィッシング誘導
(3)対策:教育・本人確認・クリアデスクを組み合わせる

これは 情報セキュリティの基礎 として、試験でもくり返し問われる重要分野です。

今日からできる最初の一歩は、とてもシンプルです。
1. 4つの手口の名前を声に出して言ってみる(3分)
2. 自分の机に、パスワードのメモが貼っていないか確認する(3分)
3. 下の問題集で1問だけ解いてみる(10分)

たった16分で、あなたのソーシャルエンジニアリングの基礎は試験で戦えるレベルまで動き出します。ここまで読み切ったあなたなら、手口を問う選択肢でも落ち着いて見分けられます。

次のステップ

ソーシャルエンジニアリングがどの分野でどう問われるかを含めた試験の全体像は、情報セキュリティマネジメント試験(SG)の全体概要で俯瞰できます。守りの全体像と学習の進め方を確認したいときの入口になります。

知識が身についたか確かめたいなら、情報セキュリティの脅威の問題集で実際に解いてみるのが近道です。手口や対策が問われる範囲です。