ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、標的となる個人を心理的な盲点をつき、アカウント情報や機密情報を搾取するサイバー攻撃の方法です。ハッカーは、お客様の社員や一般個人を標的として、口座情報や機密情報を搾取します。
ソーシャルエンジニアリングでよく使われる手法は電子メールを使ったフィッシングですが、ソーシャルエンジニアリングとはそれだけには限られません。ソーシャルエンジニアリングの手法は、日夜進化しており、攻撃者の目的達成のため、あらゆる心理的操作が行われます。
ソーシャルエンジニアリングの例:
電話によるフィッシング
アタッカーは、標的となる個人に電話をかけ、電話での会話を通じて情報を搾取しようと試みます。日本では「オレ俺詐欺」が有名ですが似た様に大企業のサポートを名乗って信用を得た上でアカウント情報や銀行口座の情報を搾取する手法です。リアルタイムの音声通話では、標的に考える時間をほとんど与ることができないため、このようなフィッシング詐欺の成功率は高い傾向にあります。
SMSフィッシング
SMSは、メールでのフィッシングに類似していますが、緊急の対応を煽る傾向があり、多様される手法でもあります。金融機関や自治体を装い速やかな対応の必要性を強調します。
物理的侵入
アタッカーは情報を搾取するために、事務所やサーバー施設へ物理的に侵入を試みます。アタッカーは様々な方法を使い、事務所に侵入、一時的に席を離れた従業員のコンピューターを操作、アカウント情報を摂取します。例えば新入社員を装ったり、配達員のふりをしたりして侵入を試みます。
メールフィッシング
フィッシングメールは、従業員宛ての大量メールから、特定の個人宛てにカスタマイズされた高度な標的型フィッシングメール(スピアフィッシング)まで、様々なものがあります。 後者ではアタッカーは、標的となる企業や従業員への調査に時間をかけ、標的がフィッシングメールにかかってしまう可能性を高めます。
テストの流れ
Blueprintのソーシャルエンジニアリングテストはお客様に ストレスフリー なテスト環境を提供いたします。
偵察
お客様とのスコープとパラメータの設定後、当社のテスターが一般的な情報収集と偵察作業を開始、攻撃対象領域のマッピングを開始します。
- 会社と従業員のメディア露出度の評価(ソーシャルメディア、データダンプ、その他の公開情報源等からの情報収集)
- オンラインサービスなど使用されているソフトウェアの特定(データ漏洩、DNSレコードの分析等)
- OSINT(Open Srouce Intelligence)定義に基づく諜報活動の実行と情報の分析
計画
第一フェーズで取得した情報をもとにテスターがテスト方法を策定、実行計画を作成します。(例:)
テスト計画の確定後、選択されあたターゲットに特化したテスト手法を詳細を作成します。
実行準備
選択されたテスト手法により準備内容が異なります。 当社のテスターは、お客様が設定したスコープとルール内で、最適なアプローチを決定、テスト実行の準備を開始します。 準備作業の例:
攻撃の実行と結果報告
このフェーズでは、当社のテスターが標的となる企業に対して攻撃を実際に開始します。(例)
テスト実行後、当社のコンサルタントが結果と推奨事項を含む最終レポートをご提示いたします。レポートの提出とご提案の説明後、実際の脅威に確実に対応できるように、様々なアフターケアをご用意しております。
ソーシャルエンジニアリング価格例
スタンダード
- 対象者=30
- カスタム Eメール
- テスト手法=2
- 追加電話フィッシングはディスカウントあり
- フルレポート & アフターケア
- 複数回にわたるテストを実施
- 電話&SMS は対象外
Premium Package
- 対象者=75
- カスタム Eメール
- テスト手法=3
- 複数回のテスト実施
- SMSフィッシング含む
- フルレポート & アフターケア含む
- 5日間の 連続テスト
Premium Plus
- 対象者=120
- カスタム Eメール
- テスト手法=4
- 複数回のテスト実施
- SMSフッシング含む
- 5日間の 連続テスト
- フルレポート & アフターケア含む
無料コンサルティング予約
サイバーセキュリティーでお悩みやご質問等は、専門家による初回無料のコンサルティングを
ご利用ください。