ソーシャルエンジニアリングとは?手口や手法を紹介

2021年4月 7日

ソーシャルエンジニアリングについて。

直訳すると社会工学となり悪いイメージがないけれど、中身は他人を心理的に陥れたり情報を盗むための手法を指しております。前半はそれらの種類、後半は手口や私の手法を紹介。

セキュリティ意識を高めるために。

ソーシャルエンジニアリングとは?

歴史

この言葉は私がパソコン通信(インターネット以前のネット)をしていた頃に初めて聞いたフレーズなので相当な大昔から存在しております。

当時はADSLどころかISDNもないアナログ電話回線+FAXモデムの頃。何をハッキング(の前にスキャン)していたかは電話番号で、当時有名だったこの人まだ怪しいソフトをアップデートしており笑った。

混雑番号の特定・空き番号の確認・故障の切り分け・テレマーケティングのインバウンド/アウトバウンド支援など、DAブラックホールは多くの現場で活用されています。

source:ダイアモンドアプリコット電話研究所:DAブラックホール

現行バージョンがどうかはわからないけれど、昔のDAブラックホールは電話番号を連番で大量に調べて存在しているか、FAX接続しているかを調べるためのツールだったはず。まあどうでもいいか。

とりあえず最近定義されたものではございません。

種類

このサイトが詳しい。

人の脆弱性を狙ったソーシャルエンジニアリング|株式会社網屋
https://www.amiya.co.jp/column/social_engineering_20200608.html

詳しすぎるのでそれぞれを一行で。私は説明部分をほぼ読まず書いているので違うことを言っている箇所もあるはず。

  1. バイティング:ウィルスなどの混入ファイルをダウンロードさせる
  2. フィッシング:ニセURLのニセページへ誘導し情報を送信させる
  3. ショルダーハッキング:肩越しにモニタを盗み見て情報を得る
  4. トラッシング:ゴミ箱やゴミ捨て場で郵便物や書類をあさる
  5. スケアウェア:ブラウザやソフトで偽の警告を出して脅す
  6. プリテキスティング:警察や業者などになりすまし騙す
  7. リバースソーシャルエンジニアリング:※一行は無理

1,3,4,5,6が昔からある手口で、2番はメールやホームページなど無かったので存在しなかっただけ。

6番はオレオレ詐欺をイメージできるけれど、他にも実際にあった例としては草の根ネットの管理人が会員に電話し、ニフティになりすましてIDとパスワードを聞き出した事件もございました。※当時は個人情報ゆるかったので、草の根だろうと本名や電話番号を登録している人もいた。

7のリバースが付くやつは、電話によるオレオレ詐欺なら「この弁護士の番号に電話して」、メールなら毎日大量に来る「Amazonプライムの自動更新設定を解除いたしました」のようなやつでフィッシング連動系。

何がリバース(逆)かは、直接的な攻撃があるのではなく、間接的に罠にハメに来るスタイルなのでリバースが付くという。

 

現代版ソーシャルエンジニアリングの手口

仮想通貨の大量流出

仮想通貨興味ある人なら記憶に新しい事件がコインチェックのXEM(ネム)消失で、2018年1月の出来事。

攻撃者は、コインチェックの社員と接触し、管理権限を持つ技術者を調査。その後、長い期間にわたって関係を築いてから、ウィルス付きのメールを送付。Coincheck社の従業員PCがマルウェアに感染、流出につながりました。

ソーシャルエンジニアリングとしてのポイントは「長い期間にわたって関係を築いてから」の部分で、自作PCに置き換えると「長い時間かけて構成を考えてから」のように、ここさえ上手くやれば仕事は終わっているような最も重要な部分。

また、「ウィルス付きのメールを送付」とあるものの、普通はセキュリティソフトが止めてくれるだろうから、単純に既製品のトロイの木馬などを仕込んだのではなく、オリジナルな手法が使われたのだろうと推測できるところ。

どうオリジナルかは、ウィルス検出にはパターン(定義)ファイルがあり、それに該当した時にウィルスと判定されるため、自分でプログラミングして作成したウィルス、かつピンポイントで1人にだけ送信してもセキュリティソフト屋にはバレない、のような。

置き換えると、仮にコロナが人口数人のアマゾン奥地で流行しても存在が世に知られなければワクチンも作られない感じ。

オレオレ詐欺の派生

オレオレから始まり、「交通事故を起こしてしまい~」「会社のカネを~」はもう古いようで、一例としてこちらのサイトより端折りつつ転載。

出典:あまりに巧妙「オレオレ詐欺」はここまで進化した | 講談社(1/4)

  1. A地域センターから高齢者X氏へ電話がありフルネーム確認
  2. 65歳になられ特養B会の入居権があるようだが・・・
  3. X氏はまだ老人ホームには入る気ないとして断る
  4. Aが被災高齢者に入居権を譲っては?と提案
  5. X氏がそれをOKすると被災者支援団体C会から電話が入る
  6. C会が初期費用1千万円を立替えX氏に迷惑はかからない
  7. A会から電話、名義貸しは違法(国の補助金が出ない)
  8. C会から電話、500万用意できるが残り500万貸して

騙し騙され慣れている人なら7で「違法らしいのでそちらで名義変更の書類そろえてうちへ送れ」、もし8番を言って来たなら「500万を特養へ持参するので借用書作って特養まで来い」で終わりかと。

私ならそんな非効率なことはせず、4番の時点で「覚えがないので勝手にしろ」または「何かの手違いだろうから特養に連絡しておく」で終わる。

と言いたいけれど、こんなもんに騙されるか?と思ったなら長文だけれども本文お読みあれ。凄いなと素直に感心するほどもっと細かい。

宅配を装い情報盗む 

これは昔ながらの手口ながら今でもあるらしく、肝心の具体的な内容が書かれていなかったのでここで書いておきましょう。昔はストーカーの手口として知られておりました。

攻撃者はターゲットの名字と電話番号、自宅がどこの市区町村かしか知らない状態。そのくらいなら社内の同じ部署のA子の情報はわかるものでしょう。また、裏付用としてA子はAmazonを頻繁に利用していると雑談を盗み聞いたとして。

A子が帰宅しているであろう時間帯に電話をかけ、「青木様でしょうか?こちら日本郵便の伊藤と申します。Amazon様よりお届け物が1件あるのですが伝票が雨に濡れて町名から下が読めなくなっておりまして・・・」

これでA子の自宅を特定できるという。雨の日が待てないなら「雨に濡れて」の部分は「破れてしまっており」でも良さそう。ただし男性配達員が持ち出している前提なら雨に濡れた方が疑われなさそう。

女性ストーカー版にするなら、伝票が破れて町名以下がわからない=配達担当者が決められない=郵便局の俗に言う本局で止まっている、とイメージ。

「私、日本郵便渋谷郵便局集配課の上野と申しますが江口様のお電話で間違いございませんか?いつもご利用ありがとうございます。江口様宛にAmazon様から(以下同文」でよろしいかと。ただしこちらは発信元が固定電話番号でなければ怪しいところがネックなので配達員版が無難。

私でもこれやられると回避できる自信がないと思えるほど、 単純ながら個人的には最強だと思う。

私が実際にやるソーシャルエンジニアリング

私は日常生活でもソーシャルエンジニアリングを活用しております。もちろん悪い方向ではなく、しかしホワイトとも言えないグレーな辺りで。

フェイクサイトを潰すために

過去いくつかの個人サイトや会社を潰したけれど、最新ならこいつ。

  1. 東芝製のWindowsノートPCはクソ、Mac最高スゲー
  2. Windowsの方がショートカット多いと知り作文改ざん
  3. ハテナブックマークやTwitterでツッコまれ更に文書改ざん
  4. 本当にWindows PC買ったの?と私以外の人にも疑われ改ざん
  5. 「アンチ怒らせると怖い」と勘違いした作文を公開して私が着火
  6. そのページまで削除して逃げた気になっており当サイト常連が嘲笑

source:しくじり先生ちんあなご先輩の炎上し焼身自殺的末路

どこが私の逆鱗に触れたかは、一言でいうとカネ欲しさにウソを広め誤魔化し煽ったため。私はPC関連で、ウソ・あやしい・知ったかぶりを広めるのは許さないので「誤りを認めてごめんなさいしろ」と伝えスルーされたのが上記5番め辺り。

また、ちんあなご先輩(以下、トモキ)とかいう神戸大を2年留年(自称休学)してネットで儲けると夢見るクソガキにヒツジ先輩がコケにされたまんまでも困るので着火するしかなくなった。

3行で。

  1. Twitterで「訂正とか詫びるべき」と忠告<無視
  2. 「ブログでネタにするぞ」と一応伝えた<無視
  3. TwitterのDMで「無視かな?」と煽ると<返信&ブロック

自分は自ブログで多くの他人を煽る割に本人煽り耐性ゼロ。

tomoki-dm-20201018.gif

自分で「返信してしまうと相手の思うつぼです。」と言っていたので返信しないだろうな(絶対するだろうな)と思えばその通りなレベチ。※レベルが違う

なぜブロックするよう仕向けたかは聞く耳(読む目)を持たないことを確認したく、実際に確認できた。

正論を無視するスタイル

一度も指摘に感謝も謝罪もせずよくここまでの詭弁をいう、神戸大学の工学部(偏差値57くらい)で2年も遊ぶために留年するのだからその程度なのでしょう。

さて、ここまでの流れを見ると私は特に何もしていないように見えるかも知れないけれど、「このクズ絶対謝らないし訂正しない系、本物のバカだ、もうだめかもわかるよね」と直感した時点で罠の設置準備へ。

  • トモキのブログから関連サイトを調べる(Twitterやnoteとか)
  • その内容の方向性から黒いと言えるページをブックマークする
  • ブログでおかしなことを書いているページを魚拓&スクショ
  • 上記2と3をネタにトモキの世間に対する汚さを脳内まとめ

トモキがどれほど非常識で世間知らずなのか、まず脳内でイメージ。

ここまで15~30分くらい。これで1記事以上イケるはずなのでネタ集めとしては効率良いし、クソガキに対して長い期間にわたって関係を築いてからなぞ必要ござらない。

トモキの幼さ、世間知らずさ、SNSやブログやネットに対して恐れ知らずを想像しつつ爆撃開始。

  • Twitterの最新2~3件くらいまでに正論かつ批判的な返信を投下
  • コアタイムのはずなのに返信無ければ更に7~8件の正論投下
  • 削除に備えすべてのスクリーンショットと個別URLを保存

返信待ちの時間にブログやnoteでおかしなことを言っていた部分をブクマからスクショなどで保存。ここまでの特徴は、私が何をしているのかターゲットには想像していない、これもソーシャルエンジニアリング。

予想通り反応ないので最後にDMで煽ってみたのが上の画像。

tomoki-dm-20201018.gif

返信しなければよかったのに。不正解を続けてしまうのは私がそう誘導しているからでもあり、トモキが本格派なバカだから確信あった。

  • 公開ツイートに返信なし<予想通り
  • DMでも煽ってみると返信<予想通り
  • アンタ再起不能でしょう?<爆雷投下

最後の爆雷投下とは、当サイト(私)はSEOに極めて詳しく、当サイトの要素とは全然関係ない「ちんあなご先輩」というキーワードでも上位にイケる。あれから1年以上や数ヶ月経過している今でも3と4番め。

ちなみに5番目は秒間サンデーの批判的な記事なので「ちんあなご先輩」ブランドの価値はマイナス。SNSでカネあさりするならブログのサイト名以上にハンドルネームは重要なので致命的。

tomoki-rank-2021-04.gif

「私がウソを書いたり、誤魔化したり、皆さんを煽ったことをお詫びします」的な記事を1枚書けば良かっただけなのに。最後までウソを突き通して逃げ切ったと勘違いしているトモキはきっとまともに就職できないと思う。

偏差値57程度の癖にnoteでカネ取ろうとしている時点でクズ染み付きすぎ。

【神戸大学合格者が教える】合格率を確実に上げるための戦略とズルい勉強法【工学部】|ちんあなご先輩|note
https://note.com/senpai_anago/n/nb5bcf949ab20

chin-1480.gif

2年サボった大学6年生、ブログでもうけようとして失敗したが、どうしてもネットでカネもうけにしがみつきたいアホ。2,687文字は当サイトが1日に書く文字数以下な素人レベル。1,480円も出すなら普通の本買いましょう。

というわけで、ここまで半分くらいソーシャルエンジニアリング関係なくない?と思ったなら私の策略に気付いていない。

トモキが現実社会に出て、もし本名が知られていたら?カネもうけ遊びしたく2留した神戸大工学部なら?その理由が「起業する予定でした」のような薄っぺらい小僧だったなら?良い印象にはならないでしょうな。

以上、これらの情報は私だけではなく弊サイト常連の哨戒遊撃隊(ありにゃん ともいう)の提供でもお送りしており、ネットの恐ろしさをもっと学ぶべきで半年以上ROMると良さそう。

何万年ROMろうと理解できないのがトモキとも。

ソーシャル~は仕事でも使える

ここ社内の一部の人も見ている可能性があるため、エグいのは書けないのでライトなやつで。

皆さん見積もりする時にどう依頼するかご想像あれ。仕事ではなくとも自宅の修繕とか、中古車買うなどでもOK。普通は何社かで見積したり、もっと安くならないかと他社の見積見せて値切ってみたりするのでは。

私の場合は業者に「(いつも通り)値切らないので最初からギリギリの価格で一発勝負を。社内ルールがあるので3社の相見積になるのはご承知で」として、実際にはかかりつけの工務店Dならその一社にしか見積は依頼しない。

どういうことか細切れで解説。

  • 値切らないのでギリで・・・時間の無駄なので値切りたくない
  • 一発勝負・・・複数社の価格を見て何度も値下しろと言わない
  • 社内ルール・・・そんなものはございません(普通あると思う)
  • 3社の相見積・・・工期や納期が伸びるだけなので一社決め打ち

私のソーシャルエンジニアリングはこれだけでは終わらず、実は内訳をD社へ、主に社長、時には専務を通じてバレらしてもらっております。

社長(専務)「常務(私)がD社のことをえらく気に入っており、信頼できて良い仕事をするので変えたくないと言っており、実際にはD社にしか見積は依頼していない。この話は私(常務)君には内密に」

これでD社からの私に対する信頼感は圧倒的に高くなり、その内情を教えてくれた社長または専務に対するD社からの高感度は高まり、D社経由で仕事をもらえたりも実際あった。

ただし調子こいてもし高く出し始めたなら、その時は本当に相見積するし、もうだめかもと思ったなら鞍替え。

余談ながら社内ルールの複数社の相見積「普通あると思う」とは、1社独占にすると見積担当者がリベートを受け取る可能性が出て来るため、デカい会社になるほどこういうのは通じないはず。

私がリベートを受け取らない理由は横領だから以外に信用失うから、社長と専務はその私の性格を知っているからこそ成り立っております。

 

進化する犯罪やその伏線に対する自衛の知識を

大昔は固定電話とFAXくらいしか通信手段がなく、実際に対面で他人と接する機会しかなかったので個人に対する攻撃はアシが付きやすく難しかった。

対して現在はインターネットやスマホ当たり前なので個人情報を入手すればピンポイントで老人を狙い、メールで無差別に数打てば当たる手法が通用する。

この最新版を大昔へ持ち込んだなら?

オレオレ詐欺が20年以上前に発案されていたなら、まだ電話帳に個人の電話番号が掲載されていて当たり前の頃となると、そういう詐欺が流行っていると知る方法がテレビや新聞くらいと少なく、今より被害はデカかったはず。

なぜそうなるかは、20年以上前にオレオレ詐欺に対する知識が無く、情報源も限られすぎているため。しかも「オレ」が本当に息子や孫か、ケータイが無い時代では簡単に確認できない。

これを現代に当てはめると、積極的にネットでニュースやSNSから情報を得ている人はまだ良いとしても、未だに新聞やテレビくらいしか情報源のない人は対策に出遅れてしまうでしょう。

宅配のような古典的な手口は今でも通用する、しかし古典的ゆえに今の若い人は知らないかも知れない。令和最新版の手口は高齢世帯が電話やネットで攻撃されやすいかも知れない。

私が過去10年以上の内数年しかパソコンにセキュリティソフトを入れずノーガードでもウィルスやフィッシングに掛かったことがない理由は「この添付ファイル多分ヤバいやつ」「アイコンは安全そうなのに拡張子おかしい」「ていうかそのURLは無いだろう」「日本語変だぞ」など知識があるため。

余談ながら実体験で、銀行へ行き窓口で株式会社の口座から100万円以上を引き出しても何も言われなかったけれど、ATMで個人の口座から40万円を引き出そうとするとATMが停止し、行員が来て何に使うのか、誰かに譲渡するのか、信用できる人か、詐欺ではないか、などと問い詰められた。

こうして第三者が気にしてくれても対策の一部でしかございません。

知識だけで100%防御できるわけがないとしても、無いよりはある方が良く、ソーシャルエンジニアリングとはこういうもので、新たな手口が今後増えるはずと警戒するべき。

また、私のような人間を知っているならばあなたも同類なので騙される可能性は低め。知らないならば素直すぎるのでもう少しグレーゾーンを知るべき。

今月のオススメBTOパソコン

コメント(6)

>というわけで、ここまで半分くらいソーシャルエンジニアリング関係なくない?と思ったなら私の策略に気付いていない。
ちんあなご先輩のことを書きたいからソーシャルエンジニアリングについて書いたのかと思いましたw

プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/06/news080.html

国内企業の採用情報がTrelloでダダ漏れだと話題に ~公開設定を今すぐ見直して! - やじうまの杜 - 窓の杜
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1316821.html

流出騒ぎのTrello、運営元が声明 「初期設定は『非公開』」「意図しない情報漏えいを止めるためサポート」 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/06/news118.html

タイムリーに公開設定を「公開」に設定していたため、様々な情報が漏れたようです
個人情報を漏らされた人はソーシャルエンジニアリングの標的にされるんでしょうね…
自分で個人情報をネットで公開しないように気をつけていても企業側がただ漏れだったら意味がないですね…

>ソーシャルエンジニアリング
電話番号の聞き出しは小学生時代にけっこう流行りましたね。PCとは無関係ですが。いわゆる名簿屋(名簿業者)が各個人宅へ電話を掛け、小学生に対し「連絡網に書いてある名前と電話番号、あと知っている友達の住所を教えて?」と迫る手法。

>凄いなと素直に感心するほどもっと細かい
裏を返せば「そこまで凝らないと騙せなくなった」とも言えますね。フィッシングサイトの完成度が上がっていることと似た印象を受けます。警戒と対策のいたちごっこは終わらず。

>返信してしまうと相手の思うつぼです。
せめて返信するなら

「たくさんのご感想・ご意見などありがとう御座います。私はコメントを返さない主義ですので、見える形でのご返答はいたしかねますが、頂いたコメントにはすべて目を通しております。なるほどと思う点、それは違うと反論したくなる点などありましたが、いたずらに口論することは避けたいと考えております。繰り返しとなりますが、私はネット上でコメントを送り合い、顔の見えない相手と議論を交わすつもりはありません。ですからいくらコメントを頂いたところで、私から一切の反応が返ってくることはありません。そのことをお知らせしたくDMをお送りいたしました。貴重なご意見ありがとう御座いました。」

こういった末尾に(棒)が入るくらい心のこもっていない文章を返せと。感情をむき出しにして返信すると、読み手には「相手が正しい」という印象を与えがちですね。

>偏差値57程度の癖に
たぶん私の偏差値って50にも届かないと思いますよ。今はもとより高校時代でも。少しだけ言い訳をするなら、勉強よりも興味のあることが多く、そちらの研究というか追及に時間を費やしていたため。本当に神戸大学に合格していたなら、私よりちんあなご先輩の方が、世間一般で言う「アタマのイイコ」なはず。

だからどうした、という話。

>その時は本当に相見積するし、もうだめかもと思ったなら鞍替え。
弊社はその判断がかなり甘いですね。損切りが遅いと言い換えても良し。社長が若いころお世話になった会社には、私から見ても「利益ゼロどころかウン十万くらいマイナスじゃないか」と思う取引も、昔のよしみということで社長命令のGOが出るという。

なお、その会社の与信枠(与信限度額)は500万を大きく下回るくらい。

>ATMで個人の口座から40万円を引き出そうとするとATMが停止
クレジットカードでも、高額なものをネット通販で買おうとするとストップを掛けられることありますね。電化製品をまとめ買いして20万円くらい支払おうとしたら電話が来たことあります。

LinkedInからスクレイピングされた約5億人分の公開個人情報も犯罪フォーラムで販売 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/09/news047.html

LinkedInから5億人分の個人情報が流出、自分のアカウントへの影響の確認方法と対策とは? - GIGAZINE
https://gigazine.net/news/20210409-linkedin-leak-500-million/

日本では転職文化が盛んではなく匿名文化なので利用者は少ないですが、LinkedInから流出した情報もソーシャルエンジニアに利用されるんでしょうね…

誤字訂正
×ソーシャルエンジニア
○ソーシャルエンジニアリング

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向き。

ツクモ

高性能: ★★★★★ 保証: ☆☆

コスパ: ★★★★ 安定: ☆☆

初心者: ☆☆☆☆

昔のマニアックな感は無くなり家電通販のような普通のパソコン屋に。機種が少なく特徴的な少数精鋭状態なので選べる人を選ぶ。ヤマダ電機の一部、または自作PCのパーツ屋さん。

フロンティア

高性能: ★★★☆☆ 保証: ☆☆☆

コスパ: ★★★★ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作したくない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。


※ドスパラはパーツの偽装疑いを誤魔化したり取引先を勝手に切る信頼性暴落した事件があり掲載中止(2020.11.26)

※マウスコンピューターは高いぞと書きまくったからか遠回しにリンク削除しろと言って来たので削除(2021.03.28)

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
格安SIMなb-mobileを勝手に評価
格安SIMなLinksMateを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。