ソーシャルエンジニアリングとは？主な手口や対策について解説！

その他

解説記事

2025.3.6

オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身に情報セキュリティに関する様々な知識やコツを見に付けていただいて、皆様の会社自体が成長していただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

「ソーシャルエンジニアリング」という言葉を耳にしたことがありますか？

初めて聞く、もしくは聞いたことはあるけれど、意味はよく分からない…という方もいらっしゃるのではないでしょうか。今回は、そんな方にも分かりやすく、ソーシャルエンジニアリングについて様々な角度から解説していきたいと思います。

この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。

コンサルタントが親身にサポート　ISMS取得支援◆お客様満足度99％
https://www.optima-solutions.co.jp/isms-acquisition

1 ソーシャルエンジニアリングとは何か？
2 どんな手口がある？
3 今しておくべき対策は？
4 ISMS取得のご相談ならオプティマ・ソリューションズへ！

ソーシャルエンジニアリングとは何か？

まず、ソーシャルエンジニアリングとは一体何なのか？ということから解説していきたいと思います。ソーシャルエンジニアリングとは、情報通信技術を使わずに、システムやネットワークにログインするために必要な情報を盗む手法のことを指します。例えば、他人のパソコンやスマートフォンのパスワードを覗き見てしまうことも、ソーシャルエンジニアリングに該当します。

デジタルシステムの脆弱性ではなく、人間の弱点やミスを利用することから「ヒューマンハッキング」と呼ばれることもあります。

ソーシャルエンジニアリング攻撃は、大規模なサイバー攻撃のきっかけとなり得るため、注意が必要です。攻撃を仕掛けるのが1人だけだったとしても、その被害者が情報を共有してしまえば、勤務先のネットワーク全体にランサムウェアを仕掛けることもできるのです。攻撃する側は、ファイアウォールやアンチウイルスソフトへの対策といった、難しい技術的作業を行うことなく、甚大な被害をもたらすことが出来るのも魅力的で、今後も脅威は拡大していくことが考えられます。

どんな手口がある？

では、実際にソーシャルエンジニアリングではどんな手口があるのかについて、ご紹介していきます。

・なりすましをして電話で聞き出す

特定の人物になりすまし、電話で直接情報を聞き出すこの手口は、古典的ですが情報を入手しやすい方法の1つです。電話は声だけのやり取りで相手の油断を誘いやすく、特に警察官や役所の担当者のなりすましは成功しやすいと言われています。

・トラッシング

聞きなれない言葉かもしれませんが、トラッシングとはゴミ箱を漁ることを指します。意外に思われるかもしれませんが、ゴミ箱に重要な情報を捨てているケースは案外多く、捨てられている資料の内容からパスワードを読み取られることもあります。

・スピアフィッシング

「スピア（槍）」という言葉のとおり、槍を突き刺すように特定の相手を狙い打ちする手口です。特定のターゲットに応じて攻撃手法を変え、集中的に攻撃し続けることで、不特定多数をターゲットにする手口に比べて成功率は高くなると言われています。会社の従業員や取引先・関連会社の社員を装って攻撃され、騙されてしまったケースも多いです。

・テールゲーティング

これは、正規の入場権限を持つ人の後に続いて、許可を得ていない人がエリアに侵入することを指します。当然ながら、施設の重要区画に侵入されてしまうと、機密情報の持ち出しやシステムの不正利用といった重大インシデントに繋がります。

いかがでしょうか。

もしかすると、こんなに古典的な手口に自分が騙されるわけがないと感じたかもしれません。しかし、多くの企業で被害が報告されているのが現実です。ご紹介した手口も、ほんの一部に過ぎないので、自分の置かれている環境が、常に危険と隣り合わせであることを認識しながら、日々の業務に励むといいでしょう。

今しておくべき対策は？

ネットワークを経由した攻撃であれば、セキュリティソフトの導入や使用しているプログラムのアップデートといったような対策がすぐに思いつきますが、ソーシャルエンジニアリングに対しては、どのような対策を講じれば良いのでしょうか。

まずは、組織内で個人情報や機密情報を扱う際のルールを策定し、徹底させましょう。例えば、口頭ではパスワードや企業情報を伝えないようにするというルールを厳格化するだけでも、なりすまし電話による被害は防げます。

そして、機密情報が書かれた書類の破棄方法は統一し、部外者立ち入り禁止区域への出入りは、確実に1人ずつしか出来ないような認証方法を取り入れることで、トラッシングやテールゲーティングへの対策になります。

また、取引先や関連会社から不審なメールが送られてきたり、電話がかかってきた場合には、自己判断で対応せず上長への報告やチーム内での情報共有を徹底する事も、スピアフィッシング対策としては効果的です。

日々の忙しさから、セキュリティ対策は各自の判断に委ねてしまっているという企業も多いかもしれません。しかし、重大インシデントが発生してからでは遅いです。一度立ち止まって、自社のセキュリティ対策を見直す機会を設けてみてはいかがでしょうか。

ISMS取得のご相談ならオプティマ・ソリューションズへ！

弊社は創業20年で、3500件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している（運用時に年に1度の教育が必須）

弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。