強力なパスワードや二要素認証など、基本的なセキュリティ対策は誰もが知っています。しかし、最近のセキュリティおよびプライバシー侵害は、不適切なパスワードよりも、ソーシャルエンジニアリングによるものが多くなっています。ソーシャルエンジニアリングとは何か、なぜ知らないうちに起こり得るのか、そしてどうすれば身を守ることができるのか、見ていきましょう。

ソーシャルエンジニアリングの仕組み（そして、自分がターゲットになっていることに気づかない理由）

厳密に言えば、ソーシャルエンジニアリングとは、セキュリティシステム（あるいはあらゆる種類のシステム）を回避する手法です。システム自体を突破したり脆弱性を悪用したりするのではなく、システムを取り囲む人間の脆弱性を悪用します。例えば、パスワードを破ったりクラックしたりする代わりに、テクニカルサポート担当者にパスワードをリセットしてもらい、それを取得したり、あるいは利用可能な情報を用いて何らかの論理的な手段でシステムを騙し、自分が承認されたユーザーであると思わせるなどです。

実は、以前にもこの例をいくつかご紹介しました。誰かに同じビルで働いていると思わせる方法について話しましたが、これは厳密に言えばソーシャルエンジニアリングです（もっとも、大抵は正当な理由によるものですが）。招待状なしでパーティーやクラブに入るのも同じです。

ソーシャル エンジニアリングは本質的にハッキングの重要な形態であり、既存のシステムを回避または外部から操作して目的の結果を得ます。また、無邪気な楽しみのために使用できるのと同様に、個人情報を盗んだり、プライバシーを侵害したり、深刻な危害を加えたりするためにも使用できます。数年前、Apple と Amazon のサポート担当者に対して巧妙なソーシャル エンジニアリングを仕掛けられたために個人情報を盗まれた Mat Honan 氏に聞いてみてください。今、再びソーシャル エンジニアリングが起こっています。これは、ブルート フォース クラッキングやずさんなセキュリティではなく、有名人の写真が漏洩してインターネット上に潜んでいるためです。今回のケースでは、侵入者は既知の情報を使用してセキュリティ プロンプトを回避し、パスワードをリセットし、本来は保護されている情報にアクセスしたと考えられます。そして最も興味深く (そして最も恐ろしい) 点は、ターゲットについて少し調べれば、この種のソーシャル エンジニアリングは比較的簡単だということです。

ソーシャルエンジニアリングとは、ターゲットを巧みに操り、有用な情報を引き出すことだと考える人が多いでしょう。確かにそれは一つの方法ではありますが、唯一の方法ではありません。実際、最も効果的な方法は、手遅れになるまでターゲットに情報を知らせないことです。誤解しないでください。ハッカーやデータ窃盗犯は依然としてあなたのパスワードに興味を持っています。ただ、あなたのデータを入手するには、Googleアカウントを総当たり攻撃するよりもはるかに効果的な方法があります。

ソーシャルエンジニアリング攻撃に注意すべき理由

上で述べたように、パスワードは時代遅れです。パスワードセキュリティに関する数多くのガイドを既にお読みになったことがあるでしょう。LinkedInを含む可能な限り二要素認証を有効にする必要があることはご存知でしょう。パスワードマネージャーを使用する必要があること、パスワードを監査する方法、そしてパスワードマネージャーが単一障害点のように見えても依然として最善の選択肢であることもご存知でしょう。もしあなたが「password」や「123456」といったパスワードを使っているなら、あなたは自分が何者であるか、そしてもっと良い方法を知っているはずです。しかし、何らかの理由でそうしていないのです。

パスワードセキュリティと二要素認証は、ほぼすべての人に浸透しています。もちろん、もっと多くの人が理解を深めるべきですが、もはや周知の事実です。さらに、パスワードの入手と解読はかつてないほど容易になっていますが、ほとんどのハッカーはもはやパスワードだけに関心がありません。先月、ロシアのハッカー集団が10億件以上のパスワードを入手したことを覚えていますか？それらのIDのほとんどは、もし使われているとしても、スパムメールに利用されています。これは、ID（アカウントのユーザー名とパスワード）の価値は、そこに保存されている情報やアクセスできる情報によって決まるためです。そして、悪意のあるハッカーの多くは、利用、悪用、あるいは売却できる貴重な情報を持つターゲットを探しています。

価値の高いターゲットを選び、より高度な手法を用いてデータを入手する方が、侵入者の時間を有効活用できます。その巧妙さと容易さを考えると、私たち全員が標的になると言えるでしょう。自動化ツールやソーシャルエンジニアリングを使ってデータにアクセスすることがますます容易になるにつれ、「一般人は何も価値あるものを持っていない」という幻想は急速に薄れつつあります。

ソーシャルエンジニアリング攻撃から身を守る方法

ソーシャルエンジニアリングを駆使して情報を入手するのがいかに容易であるかをまだ解明できていないのであれば、ワシントン・ポストの記事で、iCloudのセキュリティ質問をハッキングするのがいかに容易であるかを解説しています。前述の有名人の写真の一部（すべてではないものの）は、おそらくこの方法で入手されたのでしょう。同様に、デビッド・ポーグ氏もYahoo!に自身の見解を投稿し、この事件全体に対する一般的な反応を論破しました。では、他人のプライバシーを侵害し、個人のプライベートな情報を世界に公開するような、ひどい行為をしないよう人々に教えること以外に、ソーシャルエンジニアリング攻撃から身を守るために私たちは何ができるのでしょうか？

• 当然のことですが、機密情報は絶対に漏らさないでください。この点については、以前のソーシャルエンジニアリング攻撃に関するガイドで詳しく説明しました。その記事では、ソーシャルエンジニアリング攻撃から身を守ることに焦点を当てていましたが、今回の記事にも当てはまります。悪意のあるハッカーがFacebookであなたの友達になりすましたり（正直に言うと、友達リクエストを送ってきた人を友達に追加すべきではありません）、銀行員を装って電話をかけてきたりすることは、最近では少なくなっています。しかし、だからといって、ハッカーが傍受してあなたになりすまして銀行に電話をかけるのに利用できるような情報を渡しても良いというわけではありません。

• 自分に関する些細な情報でも、しっかりと保護しましょう。特にセキュリティの質問は、システム的な欠陥があるため、簡単に破られてしまうことがよくあります。ユーザーは覚えやすい質問を選びたがりますが、それはつまり、侵入者が解読しやすい質問、例えば「どこで生まれましたか？」や「どの都市の高校に通っていましたか？」といった質問を選ぶことを意味します。セキュリティの質問を使う必要がある場合は、要求される情報に十分注意し、できるだけ難解でニュアンスのある質問を選びましょう。答えを忘れてしまうのが心配な場合は、パスワードマネージャーや暗号化されたテキストファイルに安全なメモを保存しておくこともできます。

• セキュリティ質問に嘘をつき、その嘘は覚えておきましょう。実際にはリトルロック生まれなのに、シンシナティ生まれだと嘘をつくこともできますが、その嘘は覚えておかなければなりません。あるいは、自分で質問をでっち上げて、その答えを使うこともできます。例えば、「親友の名前は？」と聞かれたら、ペットの名前を答える、といった具合です。これも記憶力には負担がかかりますが、はるかに安全で、あなたの正直さを狙った侵入者にも破られる可能性は低いでしょう。

• パスワードリセットのメールはすべて疑いの目で見てください。「リクエストしていない場合は、何もする必要はありません」といった内容のメールであってもです。以前使っていたアカウントにパスワードリセットのリクエストを送りつけてくる人がいますが、それは私のアカウントが自分のものだと思っているからではなく、いつか別の種類のプロンプトが来てアカウントを乗っ取ろうとしているからです。彼らは私がパスワードリセットを試みるたびに通知を受けていることを知っていますが、私が何もしないことに賭けているのです。問題のサービスのサポートに連絡して、その旨を伝えてください。信頼できるサービスであれば、アカウントのリセットリクエストを凍結するか、攻撃元を調査できる不正利用対策チームやセキュリティチームに引き継いでくれるでしょう。

• アカウントとアカウントアクティビティを監視しましょう。これはパスワード要求に注意するのと同じような考え方ですが、Googleダッシュボードをチェックして、アカウントに何が接続されていて、どこにログインしているかを確認するのも問題ありません（アクティビティを確認するための月次リマインダーを受け取ることもできます）。機密性の高いアカウントについても同様に行いましょう。すべてのクラウドストレージサービス、ソーシャルネットワーク、メールプロバイダーには、ログイン場所や接続しているアプリやツールを確認できるダッシュボードがあります。金融口座にも注意しましょう。個別にログインするか、MintやPersonal Capitalなどのサービスを使用してすべてを俯瞰的に把握できます。信用情報については、無料で自分で監視する方法もご紹介しています。

• パスワード、重要なサービス、そしてセキュリティ質問を多様化しましょう。これは周知の事実であるべきなのに、明らかにそうではありません。あらゆる場所で同じパスワードを使い回さないでください。また、セキュリティ質問も、提供されているすべての場所で使い回さないでください。残念ながら、ほとんどの銀行やクラウドサービスのアカウントは、同じセキュリティ質問を何度も使い回しています。そのため、「母親の旧姓は何ですか？」という質問をセキュリティ質問として設定しているサービスを5つも使いたくなってしまうかもしれません。しかし、これは絶対にやめましょう。母親の旧姓は公開情報から簡単に見つけられるだけでなく、あらゆる場所で同じパスワードを使い回すのと同じくらい危険な行為です。同様に、クラウドストレージサービス、メールサービス、その他の重要なウェブアプリやウェブサービスも多様化しましょう。万が一ハッキングに遭っても、オンラインライフ全体が停止するような事態は避けましょう。ハッキングを迅速に特定し、対応するためのツールを用意しておくことが重要です。

その他のヒントについては、ソーシャル エンジニアリングから身を守る方法や、オンラインとオフラインでの詐欺や個人情報の盗難から身を守る方法についての以前のガイドで、これらの提案 (およびその他の提案) の多くを取り上げています。

油断しないでください。ソーシャルエンジニアリングやこの種の「ソフト」ハッキングは特に新しいものではありませんが、訓練を受けていない、あるいは経験の浅いハッカーの間でも人気が高まっています。主な理由は、簡単に実行でき、大量の情報を入手できること、そして言うまでもなく、私たちのテクノロジーを取り巻く人間によるシステムが、セキュリティチェーンにおける最も脆弱なリンクであることがほとんどだからです。細部への注意と警戒を少し怠らないことが、大きな効果をもたらします。

タイトル写真はvs148（Shutterstock）とB Studio（Shutterstock）を使用して作成しました。動画はHackersより。追加写真はPerspecsys PhotosとCory Doctorowによるものです。