ソーシャルエンジニアリングから身を守る方法

この記事は約 8 分で読めます

セキュリティ対策というと、ファイアウォールや暗号化といった技術的な防御を思い浮かべる方が多いでしょう。しかし、攻撃者が最も頻繁に狙うのはシステムの脆弱性ではなく、人間の心理的な隙です。ソーシャルエンジニアリングは、技術的な手段を使わずに人間を騙して機密情報を引き出す攻撃手法であり、どれだけ堅牢なシステムを構築しても、人間が弱点になれば意味がありません。Verizon の 2024 年データ漏洩調査報告書 (DBIR) によると、データ侵害の約 68% に人的要素が関与しており、 2025 年現在もこの傾向は続いています。さらに、 Proofpoint の 2024 年 State of the Phish レポートでは、ソーシャルエンジニアリングを起点とする攻撃の成功率が前年比 15% 上昇したと報告されています。加えて、生成 AI を悪用した音声クローンやディープフェイク映像によるなりすまし攻撃が 2024 年以降急増しており、従来の「不自然な日本語」「怪しい見た目」といった判別基準が通用しなくなりつつあります。本記事では、代表的な攻撃手口と心理的な防御策、そしてパスワードを安全に管理するための原則を解説します。

ソーシャルエンジニアリングが成功する心理的メカニズム

ソーシャルエンジニアリングとは、人間の信頼感、恐怖心、好奇心、権威への服従といった心理的傾向を悪用して、パスワードや機密情報を不正に取得する手法の総称です。技術的なハッキングとは異なり、システムの脆弱性ではなく人間の判断ミスを突くため、セキュリティソフトウェアでは防ぎきれません。

この攻撃が高い成功率を誇る背景には、心理学者ロバート・チャルディーニが提唱した「影響力の 6 原則」が深く関わっています。返報性 (何かをしてもらったらお返ししたくなる)、コミットメントと一貫性 (一度承諾すると断りにくくなる)、社会的証明 (他の人もやっているなら正しいと感じる)、好意 (好感を持つ相手の頼みは断りにくい)、権威 (権威ある人物の指示に従いやすい)、希少性 (限定的なものに価値を感じる) です。攻撃者はこれらの原則を巧みに組み合わせ、ターゲットが自発的に情報を提供するよう誘導します。

被害者は自分が攻撃を受けていることに気づかないケースも多く、事後に振り返って初めて不自然さに気づくことも珍しくありません。よくある誤解として「自分は騙されない」と考える人がいますが、ソーシャルエンジニアリングの標的になるのは IT リテラシーの低い人だけではありません。セキュリティ専門家でさえ、巧妙に設計された攻撃には引っかかる可能性があります。

代表的な攻撃手口

プリテキスティング

プリテキスティング (Pretexting) は、攻撃者が架空のシナリオ (プリテキスト) を作り上げ、信頼できる人物になりすまして情報を引き出す手法です。たとえば、 IT サポート担当者を装って「システムの緊急メンテナンスのため、パスワードを確認させてください」と電話をかけるケースがあります。

攻撃者は事前にターゲットの所属部署や上司の名前、社内システムの名称などを調査し、会話に説得力を持たせます。「○○部長から依頼を受けて連絡しています」といった権威を利用した話術で、ターゲットの警戒心を解くのが典型的な手口です。注意すべき点として、攻撃者は SNS の公開プロフィールや企業の組織図から情報を収集するため、オンラインでの情報公開範囲を見直すことも防御策の一つです。LinkedIn のプロフィールに詳細な職務内容や上司の名前を記載している場合、それがプリテキスティングの材料になり得ます。

ベイティング

ベイティング (Baiting) は、ターゲットの好奇心や欲求を利用して罠に誘い込む手法です。代表的な例として、マルウェアが仕込まれた USB メモリをオフィスの駐車場やエレベーターホールに放置し、拾った人がパソコンに挿入するのを待つ攻撃があります。

USB メモリには「人事評価一覧」「給与データ」といった興味を引くラベルが貼られていることが多く、好奇心から中身を確認しようとした瞬間にマルウェアが実行されます。米国国土安全保障省の実験では、駐車場に放置した USB メモリの約 60% が拾われてパソコンに接続されたという結果が報告されています。オンラインでは、無料ソフトウェアや映画のダウンロードを装ったマルウェア配布もベイティングの一種です。

テールゲーティング

テールゲーティング (Tailgating) は、入退室管理されたエリアに正規の従業員の後ろについて侵入する物理的な攻撃手法です。両手に荷物を抱えた配達員を装い、「ドアを押さえていただけますか」と頼むことで、セキュリティゲートを通過します。

一度建物内に侵入すれば、放置されたパソコンの画面を覗き見たり、デスク上のメモに書かれたパスワードを盗み見るショルダーサーフィングが可能になります。物理的なセキュリティとデジタルセキュリティは密接に関連しているのです。

ビッシングとスミッシング

ビッシング (Vishing) は電話を使ったフィッシング、スミッシング (Smishing) は SMS を使ったフィッシングです。「お客様のアカウントに不正アクセスがありました。本人確認のためパスワードをお知らせください」といった緊急性を装った連絡で、ターゲットを焦らせて情報を引き出します。

近年は発信者番号の偽装技術が進み、正規の企業の電話番号からかかってきたように見せかけることも可能です。電話番号だけで相手の正当性を判断するのは危険です。 FBI の Internet Crime Complaint Center (IC3) の 2024 年報告では、ビッシングとスミッシングによる被害総額は米国だけで年間約 6 億ドルに達しており、前年から増加傾向にあります。 2025 年現在、 AI を使って本人の声を模倣するボイスクローン技術がビッシングに悪用されるケースも報告されており、「声が本人に聞こえるから安全」という判断はもはや通用しません。

メールや Web を使った詐欺の見分け方と防御策についてはフィッシング対策の記事で詳しく解説しています。 AI を使った音声・映像のなりすましについてはディープフェイクと ID 詐欺のガイドも参照してください。生成 AI を悪用したフィッシング攻撃の最新手口についてはAI 生成フィッシングの脅威も確認しておくことを推奨します。

心理的防御策

ソーシャルエンジニアリングに対抗するには、技術的な対策だけでなく、自分自身の心理的な反応を意識的にコントロールする必要があります。以下の 4 つの原則を日常的に意識してください。

• 緊急性に惑わされない: 「今すぐ対応しないとアカウントが停止されます」といった焦りを誘う表現は、攻撃者の常套手段です。一度立ち止まり、冷静に状況を確認してください。正規のサービスが即座の対応を求めることはまれであり、数分の確認時間を取っても問題は生じません。
• 相手の身元を独自に確認する: 電話やメールで情報を求められた場合、相手が名乗った連絡先ではなく、公式サイトに記載された連絡先に折り返して確認しましょう。
• 権威への盲従を避ける: 「上司の指示です」「経営層からの依頼です」という言葉だけで判断せず、正規のルートで確認を取ってください。
• 「おかしい」と感じたら立ち止まる: 違和感を覚えたら、その直感を信じてください。正規の依頼であれば、確認に時間をかけても問題ありません。

心理的防御策を体系的に学びたい方には、ソーシャルエンジニアリング防御の関連書籍 (Amazon)も参考になります。

ソーシャルエンジニアリング対策セルフチェックリスト

以下のチェックリストで、自分や組織の防御態勢を確認してみてください。 1 つでも「いいえ」がある場合は、該当する対策を早急に実施することを推奨します。

• 不審な電話やメールで個人情報を求められた際、折り返し確認する習慣があるか
• SNS のプライバシー設定を見直し、公開情報を最小限にしているか
• パスワードを口頭で誰にも伝えないルールを徹底しているか
• 出所不明の USB メモリやファイルを開かないルールを守っているか
• 二段階認証を利用可能なサービスですべて有効化しているか
• 組織でフィッシング訓練を定期的に実施しているか
• インシデント報告の手順が明確で、報告しやすい文化があるか

パスワードを口頭で共有しない原則

ソーシャルエンジニアリング対策の中でも、特に重要な原則があります。それは「パスワードを口頭で誰にも伝えない」ということです。正規の IT サポート担当者やサービス提供者が、電話やメールでパスワードを尋ねることは絶対にありません。パスワードの確認を求められた時点で、それは攻撃であると判断してください。

同僚や上司であっても、パスワードを共有すべきではありません。共有アカウントが必要な場合は、専用の共有アカウントを作成するか、パスワードマネージャーの共有機能を利用してください。パスワードの安全な共有方法についてはパスワードの安全な共有方法の記事も参考にしてください。口頭でのパスワード共有は、周囲に聞かれるリスクがあるだけでなく、誰がいつアクセスしたかの追跡も不可能になります。よくある誤解として「信頼できる相手なら口頭で伝えても安全」と考える人がいますが、その会話を第三者が盗聴している可能性や、伝えた相手がメモに書き残してしまうリスクを見落としています。

技術的対策との組み合わせ

心理的防御策だけでは限界があるため、技術的な対策と組み合わせることで防御の層を厚くすることが重要です。

• 二段階認証の導入：パスワードが漏洩しても、二段階認証が有効であれば不正ログインを防げます。特に FIDO2 対応のハードウェアキーはフィッシング耐性を備えており、ソーシャルエンジニアリングで取得した認証情報だけでは突破できません。
• メールフィルタリングの強化: SPF 、 DKIM 、 DMARC を適切に設定し、なりすましメールの到達を技術的にブロックします。
• エンドポイント保護: USB デバイスの自動実行を無効化し、ベイティング攻撃のリスクを低減します。

ソーシャルエンジニアリングは外部の攻撃者に限りません。従業員や委託先による内部脅威も信頼関係やアクセス権限を悪用するため、組織的な対策については内部脅威対策のガイドも確認してください。

ソーシャルエンジニアリングの被害事例と組織的な防御策について、組織の情報セキュリティ防御のケーススタディ集 (Amazon)も参考になります。

パスつく.com を活用した防御策

ソーシャルエンジニアリングによる被害を最小限に抑えるうえで、パスつく.com は有効なツールです。

まず、サービスごとに異なるランダムなパスワードを設定しておくことで、万が一 1 つのパスワードが漏洩しても、他のサービスへの被害拡大を防げます。パスつく.com の一括生成機能を使えば、複数のサービス用パスワードを効率的に作成できます。

また、パスつく.com で生成したランダムなパスワードは、人間が記憶できる文字列ではないため、口頭で伝えること自体が困難です。「パスワードを教えてください」と言われても、「パスワードマネージャーに保存されているので、自分でも覚えていません」と正直に答えることが、最も安全な対応になります。

ソーシャルエンジニアリングは人間の心理を突く攻撃であるため、完全に防ぐことは困難です。しかし、攻撃手口を知り、心理的な防御策を身につけ、パスつく.com で強力なパスワードを運用することで、被害のリスクを大幅に低減できます。

初心者・中級者別の防御アドバイス

ソーシャルエンジニアリングへの対策は、自分の技術レベルに応じて段階的に取り組むのが効果的です。

初心者向け (まずはここから)

• 「パスワードを教えてください」と言われたら、相手が誰であっても断る
• メールやメッセージ内のリンクは、送信元を確認してからクリックする
• 不審な連絡を受けたら、一人で判断せず家族や同僚に相談する
• SNS のプロフィールに勤務先や役職などの詳細情報を公開しない

中級者向け (さらに防御を強化)

• メールヘッダーの送信元ドメインを確認し、なりすましを見抜く
• 組織内でフィッシング訓練を提案・実施し、チーム全体の耐性を高める
• FIDO2 対応のハードウェアセキュリティキーを導入し、フィッシング耐性のある認証に移行する
• SPF 、 DKIM 、 DMARC の設定状況を確認し、メールのなりすまし防止を強化する

今すぐできること

1. パスつく.com で 16 文字以上のランダムなパスワードを生成し、最も重要なメールアカウントに設定する
2. 利用中の主要サービスで二段階認証 (できれば認証アプリまたは FIDO2 キー) を有効にする
3. SNS のプライバシー設定を見直し、公開情報を最小限に絞る
4. 「パスワードを口頭で伝えない」ルールを家族や同僚と共有する
5. 不審な連絡を受けた際の報告先 (社内窓口や警察のサイバー犯罪相談窓口) を確認しておく

よくある質問

ソーシャルエンジニアリングとフィッシングの違いは何ですか？

フィッシングはソーシャルエンジニアリングの一手法です。ソーシャルエンジニアリングは人間の心理的弱点を突くあらゆる手口の総称で、電話での偽装、なりすまし訪問、ゴミ箱漁りなども含まれます。

企業でソーシャルエンジニアリング対策として最も効果的なことは？

定期的なセキュリティ意識向上トレーニングと模擬フィッシング訓練の組み合わせが最も効果的です。技術的対策だけでは人間の判断ミスを防げないため、従業員が不審な要求を見抜く力を継続的に鍛えることが重要です。

電話で個人情報を聞かれたとき、本物の問い合わせか見分ける方法は？

正規の企業や機関が電話でパスワードや暗証番号を聞くことはありません。不審に感じたら一度電話を切り、公式サイトに記載されている番号に自分からかけ直して確認してください。相手が急かす場合は特に警戒が必要です。