IT & Information security Journal
攻撃者が人の心理の隙を突き、情報窃取やマルウェア感染、業務プロセスの破綻へとつなげるサイバー攻撃である「ソーシャルエンジニアリング」。
「入口となる手口ばかりを見ていると、本当に守るべき“その先の被害”が見えなくなる」と警鐘を鳴らすのが、セキュリティ専門家のpiyokango氏です。
本記事では、ソーシャルエンジニアリングの最新動向から、とるべき対策や情報収集のポイント、「被害に気付く経験」を積ませる教育の重要性まで、実践的な視点をもとにpiyokango氏に聞きました。
この記事のポイント
サイバー攻撃の侵入経路は、「脆弱性」から「人間」へとシフトしている。システムの堅牢化により脆弱性の悪用が難化したこともあり、人間を狙うソーシャルエンジニアリングが増加していると考えられる
ソーシャルエンジニアリングの代表的な手口はフィッシングであり、常に新たな手法が生み出されている。そのほか、サポート詐欺やビジネスメール詐欺も企業にとって脅威となる
ソーシャルエンジニアリング対策の第一歩は、多要素認証の徹底。また、EDR(Endpoint Detection and Response)をはじめとしたエンドポイント対策などを、他のセキュリティ課題への対応とあわせて進めることが有効
国内では、ソーシャルエンジニアリングがインシデントの原因としてあげられることは稀なため、海外の被害事例にもあたったうえで自社なりの評価や机上訓練を行うことが重要
ソーシャルエンジニアリングに関する従業員教育では、手口に気付けるか気付けないかを知るための「経験を積ませる」ことが大切。メール開封率や報告率だけで効果を測る訓練は見直すべき
最近話題となっているClickfixをはじめ、企業の従業員を狙った「ソーシャルエンジニアリング」による被害を耳にする機会が増えている印象です。被害が相次いでいるのにはどういった背景があるのでしょうか。
まず前提として、攻撃者がシステムに侵入するためにとる手口は、大きく2つに分けられます。1つが、システムに存在する脆弱性を悪用して入り込む方法。もう1つが、いわゆるソーシャルエンジニアリングと呼ばれる、システムを利用する人をだましてそのシステムに侵入する方法です。
そのうえで、ソーシャルエンジニアリングの被害が相次いでいる背景として、脆弱性を突いた攻撃が以前より難しくなっているという事情があると考えられます。
例として、10年以上前であれば、怪しいサイトにアクセスしただけでウイルスに感染するような事例も多く、特にInternet Explorer全盛の時代には強く注意すべき脅威でした。しかし、現在使われるブラウザは堅牢性が高く、たとえば、ワーム型のように自動拡散する攻撃が可能となってしまうような脆弱性はほとんど見られません。つまり、攻撃者にとって、脆弱性を起点とした攻撃が以前ほど「使いやすい手段」ではなくなってきているわけです。
その結果、人をだます手法に寄っていったということですね。
「ClickFix」が象徴的な例です。もともとはスパム拡散に使われていた手口でしたが、その有効性に攻撃者が気付いたことで、2025年には、金銭目的の攻撃はもとより、APT(Advanced Persistent Threat)のような国家関与が疑われる脅威アクターによる攻撃にも使われる状況になっています。脆弱性が突きづらくなるなか、人間をだますのに有効な方法があればそれを利用していくという流れが強まっているのではないでしょうか。
たとえば、ベライゾンによる調査レポート 1 を見ても、「ランサムウェア」によるデータ漏洩/侵害における既知の初期アクセス経路としてフィッシングの割合が上昇し、脆弱性の悪用の割合は下降しています。断定はできませんが、こうした傾向を見ると、ソーシャルエンジニアリングが収束する状況にはまだないと感じています。
ソーシャルエンジニアリングのなかでも、直近ではどんな手口に注意すべきでしょうか。
真っ先にあげられるのは、フィッシングです。相手をだまして攻撃者の目的を達成するための手段として非常に多く使われているテクニックで、多くは認証情報や認可情報を盗むために用いられます。ソーシャルエンジニアリングの代名詞と言ってもよいのではないでしょうか。
現在、フィッシングの攻撃動向はどのように推移しているのでしょうか。
観測手段や対象範囲などの前提はそれぞれ異なるものの、「フィッシングによる攻撃や被害は減少していない」という点は共通していると感じます。右肩上がりに極端に増えているわけではないものの、増加傾向を示す調査結果が多い印象です。
国内でいえば、フィッシング対策協議会が年に一度発表するレポート 2 が分かりやすい例ですし、グローバルでは先ほども触れたベライゾンのレポートにも、同様のデータが含まれています。私が目にした範囲では、「フィッシングが減っている」と説明する脅威トレンドのレポートはありません。
フィッシングと一口に言っても手法の幅が広いと思われますが、実際にどのような手口があるのでしょうか。
典型的なフィッシングは、メールでURLを送りつけ、アクセスした先でメールアドレスやパスワードを入力させるという手口だと思います。現在もそのタイプの攻撃は多いのですが、それだけには留まりません。
2025年に報告されたフィッシングによる攻撃事例を私なりにまとめたところ、オーソドックスな手法以外にも、新たなフィッシングの形がいくつも確認できました。
手口そのものが常に変化しているということですね。
常に様々なバリエーションの手口が生まれていることが、ソーシャルエンジニアリングの特徴です。攻撃者が対策をどう回避するかと考えて変化させた手法や、私たちが普段使うシステムやサービスなどの環境変化に付け入る形で生まれた手口など、多様な形態があります。こうした変化は、ソーシャルエンジニアリング全般の対策を考えるうえでも特に注意しておくべきポイントといえるでしょう。
フィッシングによる攻撃や被害の数が横ばいから増加傾向にある背景として、どのような理由が考えられますか。
まず大きいのは「実感のなさ」です。トレンドレポートや統計を見れば、フィッシングが流行していることは分かります。しかし、それが「自分たちの目の前で実際に起きている攻撃」として像を結びづらいのではないでしょうか。
私は国内の公表インシデントを集中的に追っていますが、2025年に公表された事例のうち「フィッシングでやられた」と断定していたのは、確認した約900~1,000件のなかでわずか1件でした。被害は確実に発生しているはずなのに、公表段階では「認証情報を悪用された」といった表現止まりで、初期侵入の手口にまで言及されないケースが多いのです。
「流行っている」と「実際に起きている」の間に大きなギャップがあり、結果として実感が湧きづらいのが現状です。
その「脅威の見えづらさ」が、現場の対策の優先度にも影響していると。
そう思います。また、手口が把握しきれないという問題もあります。不正なメールが届いてURLをクリックしてしまう──という一般論は知られていても、実際に入力を求められる情報や、リアルタイムフィッシングのようにワンタイムパスワードを要求するスキーム、国勢調査を装った事例のように実在の電話番号を入力させる仕組みなど、手口の細部まで理解している方は多くありません。
結果として、ソーシャルエンジニアリング対策の優先度をどれだけ高く設定すべきかが判断しづらく、経営判断に必要な材料も不足しがちです。この「実感がない」「被害の入口が公表されない」「手口が不明瞭」という状況では、被害に遭っても気付けないことすらあり得ます。こうした要因が重なって、フィッシング被害がなかなか減らない状況につながっていると感じています。
被害の実感がなく、手口が不明瞭ななかにあっては、フィッシングをはじめソーシャルエンジニアリングの脅威について、セキュリティ担当者から一般の従業員に説明することも難しそうです。
一般の従業員の方にとっては、ソーシャルエンジニアリングという名称を聞いても、すぐにはサイバー攻撃の話だと結び付かないのではないかと思います。専門家やセキュリティ担当者であれば当然知っているべきワードですが、一般の従業員に注意喚起をしたり教育したりする場面では、どうしても伝わらないというギャップが生じやすいといえるでしょう。
ランサムウェアのように一般メディアでも目にする機会が多々ある言葉とは異なり、ソーシャルエンジニアリングというワードは日常の中であまり見かけないのが現状です。代替の言い回しもないため、注意喚起を行うシーンでも「そもそもこういうものです」というところから始めざるを得ない点は課題だと感じています。
フィッシングのほかに、特に企業として注意しておくべきソーシャルエンジニアリングの手法にはどのようなものがありますか。
攻撃者が対象の人をだまして操作させるという意味では、サポート詐欺やビジネスメール詐欺も同様に脅威となり得ます。
サポート詐欺はもともと個人の被害として語られることが多く、組織にとっての脅威としてはあまり重視されてこなかった印象があります。しかし、実際の手口を見れば、攻撃者が相手をだまして遠隔操作が可能となるソフトウェアを実行させるものであり、企業の端末が同じ被害に遭えば重大なリスクが発生します。
サポート詐欺によって営業秘密が盗み取られたという話は聞いていませんが、手口だけ見ればランサムウェアと大きく変わらない脅威だといえるでしょう。
個人向けの手口が企業向けに転用される可能性もあるということですね。
2023年には国内の組織でサポート詐欺によって1,000万円をだまし取られた事例もあり 3、金銭的に「儲かる」と攻撃者が認識すれば、個人から企業に標的が移ることは十分にあり得ます。ランサムウェアも同じ流れをたどってきましたし、サポート詐欺も同様に変化してもおかしくありません。
ビジネスメール詐欺も、ソーシャルエンジニアリングのテクニックが複雑に組み合わされた攻撃です。これは企業の事業継続に直結し得る深刻な被害で、数千万円どころか数億円、数十億円規模の損失が発生するケースもあります。2025年も国内で特別損失を公表した企業が複数ありました。
ただし、具体的に「どうやられたか」が詳細に公表されることはほぼなく、独立行政法人情報処理推進機構(IPA)などの被害レポート 4 に事例が掲載される程度です。こうした手口の「見えなさ」が障壁となり、脅威として理解はしていても対策に踏み切れない企業が多いのではないかと感じています。
ソーシャルエンジニアリングの脅威に対して、具体的にどう対策すればよいでしょうか。
数あるセキュリティ対策のなかで、ソーシャルエンジニアリングに特化した対策を最優先として進めるのは、現実的にはなかなか難しいと思います。実施には判断や準備をすべきことが多く、リソースも必要です。そのため、「ソーシャルエンジニアリングの手口にだまされた先で発生するリスク」を踏まえて、エンドポイントの対策やアカウント管理をきちんと整備することが大切だと考えます。
ソーシャルエンジニアリングに限らず、多くの攻撃は最終的にエンドポイントを侵害するか、アカウントを奪取するかのどちらかの道を通ります。そこの防御を固められていれば、仮にソーシャルエンジニアリングの手口でだまされてしまったとしても、被害を止める、あるいは早期に気付くことができます。
被害時に「なぜ盗まれたのか」「端末内で何が行われたのか」が分からないケースは、エンドポイント管理が不十分であることが背景にあります。そのため、私自身、最近は特にEDR(Endpoint Detection and Response)の導入を強く推しています。
また、アカウント管理についても、多要素認証や権限管理などは企業が取り組みやすい領域だと思いますが、ソーシャルエンジニアリングへの対策としても有効です。
ソーシャルエンジニアリング専用の対策ではなく、他のセキュリティ課題への対策とまとめて取り組むべきということですね。
ソーシャルエンジニアリングだけに閉じて対策を考えてしまうと、どうしても漏れが出ます。広い視点で脅威全体を見て、日々の動向を踏まえながら「この攻撃が来た場合、どの対策が効くのか」を議論できる状態にしておくことが非常に重要だと思います。
なかでも、企業のセキュリティ担当者に「最低限これは取り組んでほしい」という対策はありますか。
多要素認証の導入です。オーソドックスなフィッシングであれば、多要素認証は今もっとも効果的な対策の1つとしてあげられます。最低限これだけは実施して、そのうえで次の対策を考える、という順番が非常に重要です。
多要素認証すら導入していない状態で「アカウント管理を強化しましょう」というのは取り組みの順序が逆だといえます。多要素認証を用いることで、パスワード以外の認証要素についても管理しなければならないという意識が自然と高まり、認証情報全体の取り扱いにも注意が向きやすくなります。
もちろん、多要素認証を入れれば終わりではありません。これを回避するフィッシング手口もすでに登場しており、セキュリティ担当者はその変化に追随していく必要があります。ただし、攻撃者側も多要素認証を突破するために新たなコストを払わざるを得ないわけで、その導入は確実に防御力を高めます。
企業の規模や業種にかかわらず、まずは多要素認証を「必須の基本線」として確実に整えることが、ソーシャルエンジニアリング対策の第一歩だと思います。
侵入の「入口」となるソーシャルエンジニアリングの手口だけでなく、その先を含めた脅威全体を見て対策を行ううえで、注意すべき点はありますか。
被害としてよく話題になるのは、認証情報を盗まれるケースや、マルウェアに感染してしまうケースですが、実際にはさらにその先の被害まで把握していないと、対策が対症療法になってしまいます。
たとえば、ビジネスメール詐欺の場合も、金銭をだまし取られるという結果だけを見てしまうと、「だまされたからお金が盗まれた」という理解で止まってしまいます。しかし、どのようにだまされたのか、だまされた後に何が行われたのかまで踏み込まないと、本質的な対策は取れません。マルウェア対策やメールフィルターだけで十分かというと、そうではないのです。
送金指示の改ざんのような被害は、もはやセキュリティ部門だけで対応すべき話ではなく、総務や経理といった業務レイヤーでの処理プロセスが関わってきます。そうした業務部門の方々が「セキュリティ部門が対策しているので、改ざんされた指示など現場には届かないはず」などと思い込んでしまうと、実際にセキュリティ対策が突破された瞬間に、一気に大きな被害へとつながります。これは実際の事例でも起こってしまっていることです。
ソーシャルエンジニアリングは「人をだます入口」の手口ですが、本当に注意すべきはその先にある業務プロセスの破綻や金銭被害と考えています。
従業員への周知や教育については、どのようなアプローチが効果的だと考えますか。
先ほども触れたとおり、「ソーシャルエンジニアリング対策をしましょう」と言っても、具体的に何を指すのかが伝わりにくいという課題があります。
また、具体的な教育方法として、標的型メール訓練はよく実施されていますが、典型的な「URLをクリックしたらレッドカードが出て終わり」という形式では、実際の攻撃とは大きく乖離があります。URLをクリックした先で入力画面が現れたり、入力後にワンタイムパスワードを求められたりする「その先」の被害まで体験しなければ、気付きにつながりません。
教育の本質は「経験を積ませること」です。自分はどこで気付けるのか、逆にどこで気付けないのかを理解して初めて、行動が変わります。開封率やエスカレーション率だけで効果を測る訓練は、そろそろ見直すべき時期ではないでしょうか。
また、ソーシャルエンジニアリングの教育は、座学だけでは限界があります。たとえば、最近のボイスフィッシングの事例を見ると、社長や役員を名乗る声が電話越しに届いた時に、それを本物かどうか判断できる人がどれだけいるかが大切になります。生成AIによる音声生成技術も進化していますから、なおさら実体験を伴う訓練が重要です。
「怪しいものに気をつけましょう」ではなく、実際の攻撃に近い形で「気付けるかどうか」を検証する──教育はその方向にシフトすべきだと感じています。
ソーシャルエンジニアリングによる被害事例の中で、特に注意しておくべきものはありますか。
正直なところ、国内では脅威に対する「実感が湧く」事例があまり多くありません。たとえば、ウエルシア薬局株式会社で発生したサポート詐欺被害 5 のように公表されるケースもありますが、頻度としては年に数回あるかどうかというレベルです。
一方で、実際にはソーシャルエンジニアリングによる被害は日々発生しているわけです。国内で公表される被害事例だけを基準にしてしまうと、今まさに発生している脅威から一歩、二歩と対策の遅れを取ってしまう可能性があります。
そのため、日本企業であっても、海外の事例にも積極的に目を向ける必要があると感じています。日本語のソースは少ないため情報収集の難易度は上がりますが、積極的に情報にあたるべきだと思います。最近でいえば、英国のエンジニアリング大手であるArupの香港オフィスで発生した、偽のテレビ会議を用いた詐欺被害の事例 6 はまさに参考にすべきケースでしょう。
そうした事例を「そんなこともあったね」で終わらせず、ニュースや報告が出るたびに、もし自社で同様の攻撃を受けた場合にどう検知できるのか、仮に気付けなかったらどんな被害が生じるのか、既存対策をどこまでブラッシュアップするべきかなど、自社なりの評価や机上訓練を行っておくことが、ソーシャルエンジニアリング対策では特に重要だと思います。
(文:小池 晃臣)
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
