サイバーセキュリティにおける「ソーシャルエンジニアリング」というキーワードをご存じでしょうか。

サイバー攻撃といえばソフトウェアに潜む脆弱性が突かれる様子を想像するかもしれませんが、ソーシャルエンジニアリングは違います。人間を観察して情報を収集し、その情報と人間の心理を利用して情報を渡させたり、操作を実行させたりする攻撃手法、それがソーシャルエンジニアリングです。「⁠社長を騙るフィッシングメール」のようなものを見たことがある方もいらっしゃるかもしれません。ソーシャルエンジニアリングは、普段の会話、業務連絡、顧客対応のような「日常的なコミュニケーション」に紛れ込んでいることが特徴なのです。

観察されるもの

では、攻撃者は私たちの何を観察しているのでしょうか。派手なハッキングの前に行われるのは、ひどく地味に見える情報収集です。企業サイトのニュースリリース、求人票、登壇資料、SNSの投稿、取引先の紹介記事……。そこから、組織図や役割分担、使っているツール、言葉づかい、繁忙期、意思決定の流れが推測できます。名刺やメール署名、チャットのアイコン、会議の招待状ひとつでも「誰が何を決裁できそうか」「⁠誰が急ぎの依頼に弱いか」が見えてしまうのです。

さらに、日常業務そのものが手がかりになります。経理なら請求書と支払い、総務なら入館や備品の管理、情シスならアカウントの発行、営業なら見積りや顧客対応……。攻撃者はこの流れに寄り添う「口実」を作ります。最初から不自然な依頼をするのではなく、いつも通りに見える形で小さな確認を積み上げ、少しずつ情報を増やしていきます。ここで狙われるのは、特別な専門知識ではありません。私たちが仕事を回すために身につけている「省略」や「慣れ」です。

利用されるもの

観察したうえで、どんな心理を利用するのか。代表的なのは「疑うより先に動く」条件を整える手法です。たとえば権威。上司、経営層、監査、取引先、あるいは「法務の指示」といった言葉は人を従わせやすいでしょう。緊急であることを訴える手もあります。「⁠今日中」「⁠至急」「⁠このリンクから手続きしないと停止します」といった時間制限は、人を焦らせ、確認の手間を省かせる方向に働きます。あるいは、「⁠助けてもらったから今度は恩返ししたい」という自然な気持ちに乗じることだってあるかもしれません。「⁠みんなやっている」「⁠一度OKしてしまったから」のような空気で判断を麻痺させることもあるでしょう。

こうした心理は、ビジネスの現場にありふれています。請求書の振込先変更、経営層を騙る送金依頼、取引先を装ったファイル共有、採用や人事手続きを口実にした個人情報の要求、カスタマーサポートを名乗る「今すぐの確認」……。どれも、日々の仕事の中で起こりうる文脈に乗っているからこそ、被害は生まれます。

セキュリティ担当者だけの問題ではない

ここまで読んで、「⁠結局はセキュリティ担当が頑張ればいいのでは」と思った方もいらっしゃるかもしれません。しかし、ソーシャルエンジニアリングが対象とするのは「人間」です。メールのフィルタリングや権限の扱いを厳重にするだけでは防ぎきれないのです。支払いに関わる人、個人情報を扱う人、顧客と接点がある人、システムの権限を付与できる人……。つまり、組織のあらゆる部署が当事者だと考えるべきでしょう。

そして、単に「だまされない」ことだけが重要なのではありません。もちろん日常的な注意は必要ですが、人間にはどうしても限界があります。むしろ、どれだけ早く気づき、報告し、封じ込められるかが勝負と考えるべきでしょう。恥ずかしさや処罰への恐れが報告を遅らせると被害は拡大します。迷ったときにすぐ使える報告手順と窓口の整備や非懲罰的な方針は、「⁠怪しいメールや電話に事前に気づく」といったことのための啓発活動に負けず劣らず重要です。

ソーシャルエンジニアリングの実践と防御

『人を動かすハッカーの技術：ソーシャルエンジニアリングの実践と防御』は、攻撃者がどのように観察し、どの心理を突き、組織のプロセスに入り込むのかを「なぜ」と「どうして有効なのか」から解きほぐします。基礎・攻撃・防御の3部構成で、倫理的な線引きも含めて「どこまでを想定し、どこからを禁止するか」まで判断材料を与えてくれます。そのうえで、啓発プログラムの作り方、報告を促す運用、メールの技術的対策やインシデント対応までを体系的に示します。セキュリティ担当者はもちろん、現場を動かすマネージャーや管理部門の方も手に取ってほしい1冊です。