アカウント乗っ取りとは？ ソーシャルエンジニアリングの原因と対策も解説

アカウントの乗っ取りが起こるのは、手に入れた情報を悪用し不正な利益を得ようとしているからです。例えばオンラインショップのアカウントを乗っ取ることで、あなたのクレジットカードを利用して買い物を行うことができてしまいます。

アカウント乗っ取りの定義

アカウント乗っ取りの定義は、

• 何者かが他者のアカウント権限を不正な手法を使って手にいれ、悪用すること

となります。現代社会では、インターネット上にさまざまな機密情報が存在しています。SNSのアカウント乗っ取りがあるように、生活に近い場所でもアカウント乗っ取りの被害は存在します。アカウント乗っ取りは大きな被害が出るものばかりではありませんが、パスワードやロック設定は普段から十分な対策をしておきましょう。

アカウント乗っ取りの手口は大きく以下の5つに分類されます。

• ブルートフォースアタック（総当たり攻撃）
• クレデンシャルスタッフィング（Credential Stuffing）
• フィッシング詐欺
• マルウェア攻撃
• ソーシャルエンジニアリング

それぞれの手口の特徴について確認していきましょう。

ブルートフォースアタック（総当たり攻撃）

ブルートフォースアタックとは、日本語訳にあるように攻撃者が不特定多数のユーザーに対して同時に攻撃を仕掛ける手口です。

自動化プログラムを使ってユーザー名とパスワードの組み合わせをとにかく数多く試し続け、成功するアカウントを見つけ出します。

クレデンシャルスタッフィング（Credential Stuffing）

クレデンシャルスタッフィングは、1人のユーザーが同じパスワードを違うサービスでも利用していた場合有効になる手口です。

1つのサービスでパスワードが漏洩し、万が一パスワードを使いまわしていた場合、メールアドレスはアカウント名からアカウントが特定されると、乗っ取られる可能性が大きくなります。

フィッシング詐欺

フィッシング詐欺は、メールを使って行われている手口です。

攻撃者は他者にURLやファイルを添付したメールを送信します。文章は受け取った人が不安を感じるような内容になっていて、URLやファイルをクリックすると個人情報が流出してしまいます。

マルウェア攻撃

マルウェア攻撃とは、攻撃者がパソコンにとって害となるソフトウェアをメールなどを使って配信し、感染したパソコンの機密情報に不正アクセスする手口です。
コンピュータウイルスもマルウェア攻撃の1つに含まれています。

ソーシャルエンジニアリング

ソーシャルエンジニアリングはインターネットを介さずにパスワードやセキュリティ情報を手に入れようとする手段です。

電話や普段の会話といった何気ない日常の中で言葉を巧みに操り、口頭でパスワードを引き出してしまったり、ロック画面を解除する操作を覚えセキュリティを解除してしまうことがあります。

ソーシャルエンジニアリングはインターネットを介す他の手口と違い、パソコンの特別な操作や知識を必要としない、身近な存在です。今回は以下の6つの手法をご紹介します。

• ショルダーハッキング
• スキャビンジング
• 盗み聞き
• ビジネスメール詐欺
• なりすまし電話
• 共連れ（構内侵入）

ショルダーハッキング

ショルダーハッキングとは、いわゆる覗き見です。パスワードなどを打ち込む瞬間を覗き見し、機密情報を手に入れてしまいます。

パソコンだけでなく、スマートフォンやタブレット端末はもちろん机に一時的に貼った付箋を盗み見することもショルダーハッキングになります。周りの視線を過度に気にしすぎる必要はありませんが、パソコンに覗き見防止のシートを貼ったり、パスワードが書いてある紙は机上に置かないなどの対策をしましょう。

スキャビンジング

スキャビンジング（scavenging）とは、ゴミ箱に捨てられた書類や廃棄された電子機器から情報を抜き出す手口でトラッシングやスカビンジングとも呼ばれています。

捨ててしまうものであっても、処理を徹底的に行わないと組織に大きな被害が出てしまう可能性があるので、廃棄の際には注意が必要です。特に電子機器を廃棄する場合は、重要なデータが中に残っていることがないよう初期化を行ってから廃棄しましょう。

盗み聞き

盗み聞きも、ソーシャルエンジニアリングの1つです。対面している人が情報を開示しても問題のない相手だとしても、不特定多数の人がいる店内などでは機密情報を口にするのは避けましょう。

悪意がない人であっても、一度インターネット上に公開されたものは、想像以上の速さで拡散されていきます。どのような形で重要情報が拡散されてしまうのかわからないので、重要となる情報について、周りに人がいる中で口にするのは控えましょう。

ビジネスメール詐欺

ビジネスメール詐欺は、会社の上司や取引先の名を使って相手の警戒心を和らげ、機密情報を手に入れようとする手口です。

メールを使って情報を抜き出そうとするのは、よくある手口であるため、知らないアドレスからメールが来ても警戒するでしょう。しかし、日頃からやり取りをしている人の名前を見ると、警戒心に隙が生まれます。パスワードを聞かれたり、特定の口座への送金指示があった場合は必ず確認を取るようにしましょう。

なりすまし電話

なりすまし電話もソーシャルエンジニアリングの手口に含まれます。電話口では直接聞く声よりも個人を特定するのが難しいです。身近にいる人の名前を電話口から聞くと、声が多少違っても本人だと思い込んでしまう可能性もあります。

周囲に雑音があるとより相手の声が聞き取りづらくなるので、電話でパスワードなどを伝えることは避けましょう。疑わしい要求があった場合は、こちらからかけ直すなどして対策しましょう。

共連れ（構内侵入）

共連れとは、社外の人間が悪意を持って不正に社内へ侵入し、スキャビンジングや覗き見を行う手口です。

侵入方法はさまざまで、IDカードを不正コピーしたり清掃員になりすまして侵入を試みることもあります。前提として、悪意を持っているものを社内に入れないようセキュリティを整えることが大切ですが、万が一侵入を許してしまったとしても、機密情報が手に入らないよう日頃から情報に関するセキュリティ意識を高めておきましょう。

ソーシャルエンジニアリングは身近に思わぬ形で潜んでいるため、日頃の対策が重要になります。今回は以下の4つの対策方法をご紹介します。

• 身近な人にも機密情報は教えない
• デジタル機器はしっかりロックする
• アカウント、パスワード設定の見直し
• もしものときにも安心な設定を

身近な人にも機密情報は教えない

情報はどこからどういう経路で漏れてしまうかわかりません。たとえ身近な人であっても機密情報は教えないようにしましょう。

機密情報なので、身内であっても開示してしまうことは本来避けるべきことです。重要なものを扱っているという意識を持つことを心がけましょう。

デジタル機器はしっかりロックする

デジタル機器のロックを確実にしておくことも重要です。スマートフォンやタブレット端末はロックにパスワードではなく指紋や目の特徴といった生体認証を取り入れている機種もあります。

簡単にロックが解除されることがないよう、より厳重なロック機能を使用しましょう。

アカウント、パスワード設定の見直し

アカウントの状態やパスワード設定も定期的に見直しておきましょう。

誕生日や身近にある数字をパスワードに設定しておくことはセキュリティ上好ましいとはいえません。自分だけがわかるルールを決めるなどして、パスワードにバラエティ性を持たせましょう。

もしものときにも安心な設定を

仮にパスワードが何らかの形で手に渡ってしまっても簡単にアクセスすることができないようアカウント設定しておくことも大切です。

二段階認証設定ができる場合は忘れずに設定しておきましょう。

まとめ

アカウントを乗っ取られてしまうと、企業に対して金銭的に大きな損失を生み出してしまうだけでなく企業の信頼まで失ってしまいます。インターネットを介して行われる乗っ取り行為はパソコンのセキュリティソフトを使うことも対策のひとつです。
一方オフラインで行われるソーシャルエンジニアリングはひとりひとりのセキュリティ意識の高さが重要になります。日頃から機密情報の扱いに意識を払い、意図せず情報が外に漏れてしまうことがないようにしましょう。

昨今では、クラウドサービスやシステムを複数利用することが一般的です。アカウント乗っ取りを防ぐには、入り口（認証）を強化することが効果的です。
Gluegent Gate では、1度の認証で複数の連携システムのログインを実現するシングルサインオンや多要素認証でセキュリティを強化することが可能です。

ぜひお気軽にご相談ください。