「場所にとらわれず、安心・安全・簡単につなぐ」お客さまのニーズに合わせ、デバイス、ネットワークやセキュリティなどを組み合わせ、最適なソリューションをKDDIがトータル運用で支援します。
導入事例を検索
閉じる
閉じる
閉じる
閉じる
ソーシャルエンジニアリングとは? 攻撃手法や実際の事件、対策方法を解説
2025 12/4
ソーシャルエンジニアリングとは、技術的な攻撃ではなく、人の心理や行動の隙を突いて情報を盗み出す手口のことです。パスワードや機密情報を聞き出したり、偽の連絡で信頼を装ったりするなど、巧妙な方法で被害を拡大させています。最近では、SNSやメール、電話など身近な手段が悪用されるケースも増えており、特に企業では社員一人ひとりの意識が狙われやすくなっています。本記事では、ソーシャルエンジニアリングの基本概念から代表的な攻撃手法、被害事例、そして効果的な対策までをわかりやすく解説します。
※ 記事制作時の情報です。
1.ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、人の信頼や思い込みを巧みに利用して、IDやパスワードなどの機密情報を騙し取る手口のことです。ウィルスや不正アクセスのように技術を直接攻撃するのではなく、人の行動や心理の隙を突く点が特徴です。
典型的な例として、取引先や社内担当者になりすました電話・メールで情報を聞き出す、偽サイトへ誘導するフィッシング、サポートを装う問い合わせ、紙資料やメモの覗き見 (ショルダーハッキング) などがあります。日本企業でも被害が後を絶たず、情報漏えいの主要因として度々挙げられます。
1-1. 心理的な隙を突く攻撃の仕組み
ソーシャルエンジニアリングは、信頼性や緊急性、権威性など人間の心理につけ込み情報を引き出す攻撃手法です。例えば、上司の指示や至急対応が必要などと思わせ、冷静な判断力を奪うのが特徴です。攻撃者は取引先企業や公的機関を装って電話やメールを送り、「パスワード確認のため教えてほしい」、「口座番号の更新手続きをしたい」など、自然な会話で機密情報を入手します。
ソーシャルエンジニアリングは犯罪手法としての側面を持ち、以前は「ソーシャル・ハッキング」と呼ばれていたこともあります。ウィルスやハッキングのようにシステムの弱点を狙うのではなく、人間の判断力の隙をターゲットにする点が大きな特徴です。攻撃者は相手の役職や置かれている状況を巧みに見抜き、信頼を得ることで警戒心を下げさせます。
そのため、誰でも被害者になるおそれがあります。企業としては、従業員一人ひとりのセキュリティ意識を高める教育が、ソーシャルエンジニアリング対策の第一歩となります。
2.ソーシャルエンジニアリングの攻撃手法・手口
ソーシャルエンジニアリングの主な攻撃手法には次の5つが挙げられます。
- なりすまし電話
- トラッシング (ごみ箱あさり)
- ショルダーハッキング
- フィッシング詐欺
- スケアウェア
それぞれの手口と特徴を具体的に紹介します。
2-1. なりすまし電話で個人情報を聞き出す
なりすまし電話は、もっとも古くからある典型的なソーシャルエンジニアリングの手法です。攻撃者は公的機関や企業の担当者を装い、電話で相手の信用を得ながら個人情報を聞き出します。例えば、「○○省の△△です。本人確認のため生年月日をお伺いします」や「取引先の□□社の担当ですが、請求処理の確認で銀行口座番号を教えてください」といった自然な会話で情報を取得します。
総務省の注意喚起でも、官公庁を名乗る不審電話が多数報告されています。こうした手口は、電話番号を偽装して実在の組織からの連絡のように見せかけるケースもあり、特に高齢者や事務担当者が狙われやすい傾向です。社内では、電話での情報提供を禁止し、確認の際は公式連絡先に折り返すルールを徹底することが重要です。
出典: 総務省ホームページ
- ※ 外部サイトへ遷移します。
2-2. トラッシング: ごみ箱をあさって機密情報を入手する
トラッシングとは、オフィスや自宅のごみ箱から捨てられた紙資料やメモをあさり、そこに含まれる情報を盗み取る物理的な攻撃手法であり、見積書や社内資料、パスワードが書かれたメモ、個人情報や顧客データなど、不要とされた紙が攻撃者にとっては価値ある情報源に変わります。こうした文書を適切な手順を踏まずに廃棄すると機密情報の漏えいにつながり、最悪の場合は顧客リストの流出などによって企業の信用を損なう事態を招きかねません。対策としては、廃棄前に必ずシュレッダーで裁断して復元不可能な状態にすることに加え、外部の廃棄業者に対しても手順や責任範囲を明確にした上で厳格な管理体制を求めることが重要です。
2-3. ショルダーハッキング: パソコン画面を覗き見してパスワードを盗む
ショルダーハッキングは、他人のパソコンやスマートフォンの画面を覗き見して、情報を盗み取る手口です。例えば、オフィスでパスワードを入力しているときや、カフェや電車の中でネットバンキングの操作をしているとき、画面を見られてしまうことがあります。最近では、攻撃者が離れた場所から望遠レンズなどで画面を撮影するケースもあり、利用者本人が気づかないまま情報が漏れてしまうことも少なくありません。このような被害を防ぐためには、画面に覗き見防止フィルターを取り付けたり、人目の多い場所では機密情報を入力しないように心がけたりすることが大切です。また、職場内でも座席の位置やモニターの向きを工夫して、背後から画面が見えにくいような配置にするのが効果的です。
2-4. フィッシング詐欺: 偽サイトで情報を騙し取る
フィッシング詐欺は、偽のメールやWebサイトを使って個人情報を盗み出す手法です。実在の企業や金融機関を装い、「アカウントの更新が必要です」「不正アクセスが検出されました」といったメールを送り、偽サイトに誘導します。被害者がそのサイトでIDやパスワードを入力すると、情報が攻撃者に渡ってしまいます。
最近では、SMSを使った「スミッシング」と呼ばれる手口も増えています。リンクを開くと偽のログイン画面が表示されるため、スマートフォン利用者が特に狙われやすい傾向です。メールやSMSで届いたURLを不用意にクリックせず、公式アプリや正規サイトからアクセスする習慣を身に付けることが大切です。
関連記事: FIDO認証が実現するパスワードレスセキュリティ
2-5. スケアウェア: 偽の警告で不安を煽る
スケアウェアとは、「パソコンがウィルスに感染しています」、「セキュリティ警告」など、偽のメッセージで不安を煽り、不要なソフト購入や個人情報入力を促す詐欺手法です。実際には感染していないにもかかわらず、警告音や赤い画面などで危機感を与え、焦らせて行動させる点が特徴です。
IPA (情報処理推進機構) によると、スケアウェアは、無料で修復できると思わせる表示をしながら有料版への誘導を行うケースが多く、誤ってクレジットカード情報を入力してしまう被害が報告されています。対策としては、警告画面が出ても慌てて操作せず、まずはブラウザを閉じましょう。その後ウィルス対策ソフトでスキャンを行うことが重要です。
- ※ 外部サイトへ遷移します。
3.高度化するソーシャルエンジニアリング攻撃
近年、ソーシャルエンジニアリング攻撃はより巧妙かつ高度化しています。従来の電話やメールによる単純な手口に加え、AIなどの最新技術を悪用するケースが急増しています。例えば、生成AIを使って実在の担当者の声や文体を真似た「ディープフェイク詐欺」が登場しており、取引先になりすまして送金を要求する事例も発生しています。
また、SNS上では社員の投稿や写真から社内情報を収集し、攻撃計画に利用されることもあります。こうした攻撃は一見自然なやり取りに見えるため、受信者が疑うことが難しい点が脅威です。組織としては、AI時代に対応した情報リテラシー教育と、発信情報の取り扱いルール整備が欠かせません。
4.ソーシャルエンジニアリングの被害リスク
ソーシャルエンジニアリングは、人の油断や思い込みを狙って情報を騙し取る手口です。社員のIDや連絡先が盗まれると、不正ログインで個人情報が漏れ、転売や悪用で被害が広がります。偽メールで振り込みを誘導されるなど金銭被害も起きます。公表されれば信頼が下がり、取引停止や顧客離れにつながります。被害後の調査や手続きは大きな負担になるため、日頃の教育と、怪しい連絡を確認する習慣が何よりの防御になります。さらに、送金依頼やパスワード再設定の連絡は、差出人のアドレスやURLを落ち着いて確認し、電話など別経路で真偽を確かめると安心です。社内では研修や模擬訓練を行い、重要操作には二段階認証や複数人の確認を取り入れると、リスクを大きく減らせます。
5.ソーシャルエンジニアリングによる実際の事件
5-1. 幹部なりすまし詐欺事件
2019年、車メーカーの欧州子会社で、幹部になりすました攻撃者のメール指示に従い、約37億円が海外口座へ送金される事件が起きました。内部手続きの確認不足が原因と報じられ、この手口はソーシャルエンジニアリングを用いたビジネスメール詐欺の典型例です。差出人のドメインや文面が巧妙で、単独判断では見抜きにくいため、二重承認など複数人での確認体制が重要です。被害拡大を防ぐには、送金依頼は別経路で必ず再確認する運用が不可欠です。
5-2. 振込詐欺事件
2017年、国内の航空会社で振り込み先変更の偽の指示メールを受けて、約3億8,000万円が海外の口座に振り込まれる事件が起きました。特に巧妙だったのは、攻撃者が事前に取引先との過去のメールを詳しく調査していた点でした。文章の書き方や署名の形式、差出人の名前まで完璧にまねて作られたメールは、一見本物と見分けがつかないほど精巧でした。後に正規の取引先から連絡を受けて詐欺が発覚しました。日常的な業務メールを装ったソーシャルエンジニアリング攻撃の危険性と、電話確認などの複数チェック体制の必要性を示す教訓となっています。
6.ソーシャルエンジニアリング攻撃の対策方法
ソーシャルエンジニアリングは、人の心理を突くため技術的防御だけでは防ぎきれません。主な対策は次の4つです。
- 多要素認証でセキュリティを強化する
- 社内ルールを策定し情報管理を徹底する
- 不審なUSBやメール添付を開かない
- ウィルス対策ソフトを導入し監視体制を整える
6-1. 多要素認証でセキュリティを強化
多要素認証とは、パスワードに加えて複数の要素で本人確認を行う方法です。具体的には、SMSによる確認コード送信、専用アプリのワンタイムパスワード、生体認証 (指紋・顔など) の組み合わせが一般的です。
たとえIDとパスワードが漏えいしても、追加要素が突破できなければ不正アクセスは防げます。社内システムやリモート接続でも、この仕組みを導入する企業が増えています。
KDDIでは、セキュリティ強化を支援し、ユーザーが安全に簡単にログインするための認証・認可プラットフォーム「KDDI IDマネージャー」を提供しており、業務効率と安全性を両立できます。
6-2. 個人・機密情報に関する社内ルールの策定
組織の情報管理規程は、誰が何をどう守るのかを明確にし、日々の仕事で迷わないための土台になります。例えば、送金は必ず二人以上で確認し、機密資料は施錠して保管、USBやノートパソコンはパスワードや暗号化で保護し、不審なメールや電話はすぐ報告するなどです。教育は、入社時研修と年次のeラーニングに加え、偽メールを使った訓練や役職別の実践トレーニングを継続し、受講率や理解度を定期的に確認します。さらに、パスワードの使い回し禁止や多要素認証 (パスワード+ワンタイムコード)、在宅勤務時のVPN (会社のネットワークに安全につなぐ仕組み) 利用も規程に盛り込み、例外対応は記録と承認を徹底すると安心です。
6-3. 不審なUSBや添付ファイルは開かず削除
攻撃者は、感染したUSBメモリーや添付ファイルを利用してマルウェアを拡散させます。例えば、「会議資料」や「請求書」といった日常的な名前を付けたファイルを送り、それを開いた瞬間にウィルスが自動的に動き出すという手口です。
不審なファイルを開かないことはもちろん、差出人が知人であっても件名や本文に不自然な点はないかを必ず確認してから開くようにしましょう。また、落ちているUSBメモリーを見つけても、パソコンに接続してはいけません。判断に迷ったときは、一人で決めずにセキュリティ担当者や上司に相談することが大切です。
6-4. ウィルス対策ソフトやセキュリティシステムの導入
ソーシャルエンジニアリングは人を狙いますが、技術の守りも欠かせません。ウィルス対策ソフトを常に最新にして怪しいファイルの実行を止め、ファイアウォールで不審な通信を遮断します。さらに、パソコンやスマートフォンのエンドポイント保護 (EDR) で振る舞いを監視し、異常が出た端末は即時に隔離されます。ネットワーク監視でアクセス状況を見える化し、侵入の兆候を早期に検知します。ログの集中管理と定期的な更新で、被害の拡大を防げます。社外からの接続はVPNと多要素認証を使い、不要なポートは閉じる、といった基本設定を保つことも重要です。
7.まとめ
ソーシャルエンジニアリングは、最先端の技術よりも人の心理や油断を狙う攻撃です。どれだけシステムが強固でも、従業員がうっかり騙されてしまえば、そこから簡単に情報が抜き取られることがあります。だからこそ、セキュリティ対策は技術だけに頼らず、日ごろの教育や社内ルールを整えることがとても重要です。社員一人ひとりが最新の手口を知り、違和感を覚えたらすぐ確認や報告をする意識を持つことが、全体の安全につながります。
セキュリティ対策についてのご相談はKDDIへ
サイバー攻撃や情報漏えいのリスクが高まる今、企業には多層的なセキュリティ対策が不可欠です。KDDIビジネスでは、ネットワークの監視から各端末の管理まで、幅広くサポートする多彩なセキュリティサービスを提供しています。専門の運用チームが24時間体制でシステムを見守り、万が一の脅威も早期に検知し、迅速に対応します。業種や規模、ご要望に合わせた最適なセキュリティ運用をご提案いたしますので、安心してお任せください。
関連サービス
関連記事
ピックアップ
