IT & Information security Journal

  1. UNITIS
  2. 脅威とサイバー攻撃
  3. 心理学から紐解くソーシャルエンジニアリングの手口と対策 「なぜ人は騙されるのか」

従業員を狙うソーシャルエンジニアリングの実態 第3回

心理学から紐解くソーシャルエンジニアリングの手口と対策 「なぜ人は騙されるのか」

フィッシングやビジネスメール詐欺(BEC)など、人間の心理や行動の隙を狙うサイバー攻撃である「ソーシャルエンジニアリング」による被害が深刻化しています。この攻撃は、情報または金銭の詐取を目的に、情報システムを利用している人の脆弱性を狙います。なぜなら、試行錯誤して情報システムの脆弱性を探すよりも、同じ手口を使い回して誰もが持っている認知の脆弱性を悪用する方が、攻撃者にとっては断然コストパフォーマンスが高いからです。

本記事では、ソーシャルエンジニアリングのさまざまな手口に被害者が騙されてしまう背景と、攻撃者が用いる騙しのテクニックを紹介したうえで、心理を踏まえた対策について解説します。

この記事のポイント


  • ソーシャルエンジニアリングの手口は、物理的な侵入や覗き見などの「物理型」、電話、メール、チャット、オンライン会議ツールなどを用いる「コミュニケーション型」、不安を煽る、利得をちらつかせる、または慣れに対する人間の習性を利用することによる「Web型」の3種類に大別される

  • 攻撃者は、社会的勢力を持つ差出人になりすまし、被害者が説得に従うよう誘導する。社会的勢力は、報酬を与える力や罰を与える力、社会的な地位や権威などの6つに分類される

  • 交渉のプロが共通して使う説得テクニックを6つに分類した「チャルディーニの法則」を攻撃者は用いる。特に日本人は、好意、権威、希少性を用いたメッセージに騙されやすいことがわかっている

  • 攻撃者の狙いや被害者の心理を踏まえたソーシャルエンジニアリング対策のポイントは「騙しのテクニックを学ぶ」ことと「疑似攻撃訓練では報告率を重視する」こと

ソーシャルエンジニアリングの定義と主な手口

ソーシャルエンジニアリングの定義

ソーシャルエンジニアリングとは、人間の心理・行動の隙を突くことで、情報や金銭を不正に取得する手段の総称を指します。その源流は1970~1980年代に行われていた電話システムを不正に操作する「フリーキング(Phreaking)」と関係しています。

フリーキングをする人たちは、当時高額だった長距離電話などを無料で利用するために、技術的な不正操作を試みていました。次第に技術だけでは限界が生じたことから、電話会社の保守点検者になりすまして電話越しにシステムの仕様を聞き出したり、電話会社のゴミ捨て場からマニュアルやシステム構成図などの情報を探し出したりするようになりました。ソーシャルエンジニアリングは、このようなフリーキング文化の中で発展しました。

ソーシャルエンジニアリングの主な手口一覧

ソーシャルエンジニアリングには多くの手口があります。ここでは3つに大別し、「物理型」「コミュニケーション型」「Web型」としてそれぞれ順番に解説します。

①物理型

標的企業や従業員から直接的に情報を詐取するだけでなく、実際に建物内に物理的に侵入するまでの幅広い手口が含まれます。具体的には、以下のようなものがあります。

  • ゴミ箱あさり(トラッシング):ゴミ箱から情報を探し出す。

  • 覗き見(ショルダーハッキング):カフェ、電車内、空港のラウンジなどで仕事をしている従業員のPC画面を盗み見る。

  • 盗聴:喫煙所やエレベーターなどで従業員の会話を盗み聞きする。施設やカフェの名前を模倣したフリーWi-Fiを設置して接続してきた端末の通信を盗聴する。

  • ベイティング(Baiting):マルウェアを混入したUSBメモリを近隣に放置して拾わせる。

  • 物理的侵入:従業員の後に続いて入退管理を通り抜ける(ピギーバック)。保守業者や清掃業者になりすまして侵入する。

②コミュニケーション型

会話、電話、メール、チャット、SNS、オンライン会議ツールなどを用いて、情報または金銭を詐取する手口です。具体的には、以下のようなものがあります。

  • プリテキスティング(Pretexting):もっともらしい偽の役柄とシナリオを作り、会話などのあらゆる手段を駆使して情報の詐取や行動の誘導を試みる。たとえば、従業員になりすましてサポート窓口から情報を詐取したり、パスワードの初期化を依頼したりする。

  • フィッシング:実在する組織を騙った偽メールで情報を詐取する。偽SMSを送付するスミッシング、音声合成の電話によるボイスフィッシング、偽QRコードを送付するクイッシングなどがある。

  • ビジネスメール詐欺:経営層や取引先などになりすまして不正に送金させる。メールのほか、ディープフェイクでなりすましてオンライン会議にて指示するケースもある

③Webサイト型

不安を煽る、利得をちらつかせる、または慣れに対する人間の習性を利用して、情報または金銭を詐取する手口です。具体的には、以下のようなものがあります。

  • スケアウェア:マルウェアに感染していると偽画面を表示し、恐怖心や不安を煽って偽セキュリティソフトをダウンロードさせる。あるいは、サポート窓口へ電話をするように誘導し、サポート費用として金銭を詐取する(テクニカルサポート詐欺)。

  • オンラインアンケート詐欺:景品があたるアンケートと称して情報を詐取する。

  • ClickFix:CAPTCHA認証画面などの偽画面を表示し、画面の指示に従って操作させることでマルウェアに感染させる。

  • ディセプティブパターン(別名ダークパターン):強制・誘導・欺くことによって商品購入や会員登録をさせるなど、意図しないことを実行させるUIデザインのことを指す。

心理学から見る被害者が騙される背景

なぜ人はソーシャルエンジニアリングに騙されてしまうのか。それは、心理学の観点から説明できます。ここからは、攻撃者が狙う「人間の心理・行動の隙」について、解説します。

人は、感情・認知・行動の3つの成分から「態度」を形成し、形成された態度に基づいて行動します(図1)。たとえば、好意という感情的成分から相手の指示に従う、信念という認知的成分から情報の真偽を判断して拡散する、習慣という行動的成分からポップアップ画面が出たら反射的にOKボタンを押すといったことです。

この態度は、外的な力に影響されて変化することがあります。これを「態度変容」といい、態度変容を促進する方法には説得学習があることがわかっています。説得とは、理性や感情に働きかけ、自発性を尊重しながら、送り手の意図する方向に意見・態度・行動を変化させることです。説得に応じなければ態度変容は起こらず、元から形成していた態度が維持されて行動につながります。これに対し、説得に応じた場合は態度変容が起こり、送り手の意図する行動をとることにつながります。

図1:態度と態度変容の概略図
図1:態度と態度変容の概略図

説得に対する人の態度変容の詳細について、精緻化見込みモデル 1 を用いて解説します(図2)。精緻化見込みモデルは、人が説得を受けて態度を決めるプロセスには2つのルートがあるとしています。1つ目は、動機付け、認知的能力、論拠の質に基づく認知構造の変化によって態度が決まる「中心ルート」です。2つ目は、周辺情報から簡便に判断して態度を決める「周辺ルート」です。

図2:精緻化見込みモデルの概要
図2:精緻化見込みモデルの概要

人は説得されると、まず中心ルートの動機付けにおいて、自分との関係や関心の有無によって分岐します。

次に、説得内容を精査する認知的能力があるかどうかで分岐します。この際、思考を妨害する要素(多忙、睡眠不足、体調不良、切羽詰まった状況など)があると、能力が十分に発揮されず周辺ルートに移行します。

最後に、処理の性質という内容の説得力から、説得内容を「支持」する認知が構成されると、態度変容が起こって説得が成功します。逆に、説得内容に「反論」する認知が構成されると態度変容は起こらず、説得は失敗します。

動機付けや認知的能力がない、加えて説得内容に対する支持/反論もない場合(「中立」)は、周辺ルートに移行し、周りに判断材料となる手がかりを求めます。たとえば、メールであれば差出人に対する信頼が説得成功につながることがわかっています 2。周りに手がかりがない場合には、初期の態度が保持されます。これは説得失敗に該当しますが、慣れや反射などの無意識からの行動によって結果的に説得成功と同じ行動(URLクリックなど)をしてしまう可能性は残ります。

攻撃者が用いる騙しのテクニック

攻撃者は、説得によって被害者の態度変容を促し、情報または金銭を詐取するという目的を達成しようとします。被害者を説得するために攻撃者が用いる騙しのテクニックについて、「社会的勢力」と「チャルディーニの法則」の2つをあげながら解説します。

社会的勢力(Social Power)

社会的勢力 3 とは、他者へ影響を与える側が持っている力を6つに分類した理論です(表1)。攻撃者は社会的勢力を持つ差出人になりすまし、被害者が説得に従うよう誘導します。

報酬勢力とは、相手が望む報酬を与える力のことです。攻撃者の説得に従うと被害者は得をすると騙します。強制勢力とは、罰を与える力のことです。攻撃者の説得に従わないと被害者は損をすると騙します。正当勢力とは、社会的な地位や権威による力のことです。攻撃者は被害者が説得に従う義務があるかのように見せかけます。準拠勢力とは、魅力的で追従したくなる力のことです。攻撃者は魅力な要素により被害者を誘引します。専門勢力情報勢力は、専門的な知識や有用な情報を持つことによる力のことです。攻撃者は専門家を騙ることで説得内容の論拠の質を高めようとします。



表1:社会的勢力を悪用するフィッシングメールの例

種類 メール本文の例

報酬勢力

還付金がありますので以下のリンクから手続きをお願いします。

強制勢力

現在お使いのパスワードを変更しないとアカウントが停止されます。

正当勢力

親会社/経営層からのアンケートに回答ください。

準拠勢力

1万人がこのアプリを高く評価!今すぐダウンロード!

専門勢力
情報勢力

セキュリティ会社のサポート窓口です。セキュリティ向上のため、以下のリンクから最新バージョンにアップデートをしてください。

チャルディーニの法則

チャルディーニの法則 4 は、交渉のプロが共通して使っている説得テクニックを6つに分類した理論です(表2)。攻撃者は説得テクニックを用いたメッセージにより、被害者が無意識に説得に応じた行動をするよう誘導します。

返報性とは親切にされたらお返しをする習性のことであり、攻撃者が親切な対応の見返りとして被害者に従うよう要求します。コミットメントと一貫性とは一度確約したことを守ろうとする習性のことであり、攻撃者は被害者が同意したからと追加の要求をします。社会的証明とは確信がない時に他者の行動を参考にする習性のことであり、攻撃者は多くの人が選択したと被害者を騙します。好意とは相手からの好意を感じると要求を受け入れやすくなることを指し、攻撃者は被害者に好感を持たせて騙します。権威とは信頼や服従から短絡的な意思決定を誘導するものであり、攻撃者は肩書きなどを使って被害者を騙します。希少性とは機会が失われるものや限られたものに価値を見出す習性のことを指し、攻撃者は数量、時間、情報などを限定することで被害者を騙します。



表2:チャルディーニの法則を悪用するフィッシングメールの例

種類 メール本文の例
返報性 ご利用アカウントへの不審なログインをブロックしました。安全のため、こちらからログインしてパスワードを変更してください
コミットメントと一貫性 ご利用前に同意頂いたサービス規約が改定されました。引き続きご利用いただくには、下記のボタンよりお手続きをお願いいたします。
社会的証明 85%のお客様が更新を完了しました。未完了の方はお急ぎください。
好意 インタビュー取材をさせていただきたく、添付の詳細をご覧ください。
権威 国の統計調査にご協力ください。すべての人に回答義務があります。
希少性 ポイントの有効期限が迫っています。お早めにご利用ください。

チャルディーニの法則に基づいて標的型メールを作成して添付ファイルの開封率を比較したところ、日本人は好意、権威、希少性を用いたメッセージに騙されやすいことが分かりました 5。海外の研究では、若者は希少性のメッセージに騙されやすく、高齢者は返報性のメッセージに騙されやすいという年齢による違いもみられました 6

また、昨今ではAIを用いたフィッシングメール攻撃の自動化が脅威となっています。AIが、自動でOSINT(公開情報の収集・分析)をして標的のプロファイルを生成し、パーソナライズされたフィッシングメールを配信するという手口です。このようなAI自動生成メールは、専門家の人間がチャルディーニの法則(権威/希少性)を用いて作成したフィッシングメールと同じ割合のURLクリック率(54%)を示しました 7

攻撃者の狙いや被害者の心理を踏まえた対策

フィッシングメールについて、企業およびセキュリティ担当者に求められる技術面、運用面、社員教育・啓発面における対策は、第1回で解説しました。これらの対策の有効性を高める、攻撃者の狙いや被害者の「心理を踏まえた対策ポイント」を補足します。

  1. 社員教育で「騙しのテクニック」を学ぶ

    フィッシングメールに関する教育は、騙されてフィッシングサイトに個人情報などを入力する可能性を40%減らす効果があると報告されています 8。教育ではフィッシングメールを見分けるポイントとしてヘッダー情報やURLなどを確認するよう解説しますが、URLを見ても正しいか否かを判断できない場合があったり、人はメール本文の解釈に重点を置く傾向があったりします 9


    判断が難しいフィッシングメールに関しては、メールの件名や本文に「騙しのテクニック」が用いられているかどうかを確認することが重要です。メールに書かれている内容に信憑性があるかどうかで判断するのではなく、「報酬や罰をほのめかしていないか」「権威をちらつかせて指示に従うよう誘導していないか」「至急と書いて焦らせようとしていないか」といった騙しのテクニックの有無をチェックすることが有効です。

  2. 疑似攻撃訓練は報告率を重視する

    疑似攻撃訓練では訓練メールの開封率を減らすことを目指していますが、攻撃者が用いる騙しのテクニックや被害者の心理状態の影響もあり、実際に開封率を0%にするのは困難です。さらに、今後フィッシングメールのパーソナライズ化が進み、騙されてしまう確率はより高まります。


    攻撃者の狙いや被害者の心理を踏まえると、疑似攻撃訓練は「騙されることを前提とした訓練」と捉え直すことが重要です。そのためには、訓練の目標を「開封率を減らす」ことから、「報告率を増やす」ことにシフトしていきましょう。フィッシングメールを開いてしまったとき、人は精神的なダメージから冷静な判断・行動ができなくなる可能性があります。騙される前提社会では、騙された後のレジリエンスを高めることが有効です。


    「騙しのテクニック」は、疑うきっかけを提供します。疑ったり悩んだりした時に、周囲の従業員に相談しやすい組織風土を作ることが重要です。また、社員教育・啓発により判断能力が高まったとしても、思考を妨害する要素(多忙、睡眠不足など)があると能力が十分に発揮されない可能性があります(図2)。従業員個人の問題ではなく、労務状況など環境面も含んだ問題として捉えて改善することをおすすめします。

  • R.E. Petty and J.T. Cacioppo (1986) The Elaboration Likelihood Model of Persuasion. Advances in Experimental Social Psychology, vol.19, pp.123-205 ↩︎
  • 小松文子ら (2011) 情報セキュリティ対策を要請する説得メッセージによる態度変容の調査と実験. 情報処理学会論文誌, vol.52, no.9, pp.2526-2536 ↩︎
  • J.R.P. Jr. French and B.H. Raven (1959) The bases of social power. University of Michigan, Institute for Social Research ↩︎
  • R.B. チャルディーニ 著 「影響力の武器」(誠信書房、1991年)↩︎
  • 西川弘毅ら (2020) 標的型メールにおける心理操作テクニックと性格特性および行動特性との関係性分析. 情報処理学会論文誌, vol.61, no.3, pp.591-607 ↩︎
  • D. Oliveira et al. (2017) Dissecting Spear Phishing Emails for Older vs Young Adults: On the Interplay of Weapons of Influence and Life Domains in Predicting Susceptibility to Phishing. Proc. CHI ’17, Association for Computing Machinery, pp.6412–6424 ↩︎
  • F. Heiding et al. (2026) Evaluating large language models’ ability to automate spear phishing. Expert Systems with Applications, vol.314, 131546 ↩︎
  • S. Sheng et al. (2010) Who falls for phish?: a demographic analysis of phishing susceptibility and effectiveness of interventions. Proc. CHI ’10, Association for Computing Machinery, pp. 373-382 ↩︎
  • J.S. Downs et al. (2006) Decision strategies and susceptibility to phishing. Proc. SOUPS ’06, Association for Computing Machinery, pp.79–90 ↩︎

従業員を狙うソーシャルエンジニアリングの実態

バックナンバー(全3件)

もっと見る
鈴木 悠

鈴木 悠

株式会社ラック 次世代サイバー技術本部 サイバー・グリッド・ジャパン コグニティブセキュリティ研究グループ

2006年株式会社ラック入社。セキュリティコンサルタントとして、官公庁、外郭団体、自治体、メガバンク、大手製造業等を担当。大学時代に専攻していた社会心理学の知見をサイバーセキュリティに応用するため、2018年より研究職に従事。同社ナショナルセキュリティ研究所副所長を経て、2021年より国立研究開発法人情報通信研究機構(NICT)に出向中。主な研究分野は、偽・誤情報、コグニティブセキュリティ、ソーシャルエンジニアリング等。2025年情報セキュリティ大学院大学情報セキュリティ研究科博士後期課程修了。博士(情報学)。ほか、情報セキュリティ大学院大学兼セキュアシステム研究所客員研究員、情報処理学会電子化知的財産・社会基盤研究会幹事、総務省サイバーセキュリティタスクフォース構成員を務める。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP