ソーシャルエンジニアリングテスト そーしゃるえんじにありんぐてすと
ソーシャルエンジニアリングフィッシング標的型攻撃人的セキュリティセキュリティ意識向上ペネトレーションテスト
ソーシャルエンジニアリングテストって何?
簡単に言うとこんな感じ!
「うちの社員、本当に怪しいメールに引っかかったり、知らない人に機密情報をしゃべったりしないかな?」を実際に試してみる訓練だよ!システムじゃなくて”人”を攻撃するハッカーの手口を安全に疑似体験させることで、セキュリティの弱点を見つけるんだ。
ソーシャルエンジニアリングテストとは
ソーシャルエンジニアリングとは、技術的な手段ではなく「人の心理や信頼」を巧みに利用して、パスワードや機密情報を騙し取る攻撃手法のことです。電話で「システム部です」と名乗って管理者パスワードを聞き出す、本物そっくりの偽メールでIDを入力させる、といった手口がこれにあたります。
ソーシャルエンジニアリングテストは、こうした攻撃手法を使った「実戦形式の訓練・評価」です。セキュリティの専門家(または専門会社)が「擬似攻撃者」として、実際に社員にフィッシングメールを送ったり、なりすまし電話をかけたり、オフィスへの不正侵入を試みたりすることで、組織の人的セキュリティの穴を洗い出します。
技術的な脆弱性(ソフトウェアの欠陥など)はシステムで防げても、「人間の判断ミス」は防ぎにくいのが現実です。実際、情報漏洩事故の多くは人的要因がからんでいると言われており、このテストはその弱点を可視化するために不可欠な取り組みです。
テストの種類と主な手口
| テスト手法 | 内容 | 主なターゲット |
|---|---|---|
| フィッシングメール訓練 | 本物そっくりの偽メールを送り、URLクリックや情報入力をするかテスト | 全社員 |
| スミッシング訓練 | SMS(テキスト)を使ったフィッシング(フィッシング+SMS) | スマートフォン利用者 |
| ビッシング(電話詐欺)訓練 | 「IT部門」「取引先」などを装った電話で情報を引き出せるかテスト | 電話対応が多い部署 |
| 物理侵入テスト | 不審者を演じてオフィスへの入館・立入制限区域へのアクセスを試みる | 受付・セキュリティ担当 |
| USBドロップ攻撃 | 怪しいUSBメモリを意図的に落とし、拾った社員が接続するかテスト | オフィス内全員 |
| なりすましメール(BEC) | 上司や取引先を装ったメールで送金・情報提供を求める | 経理・管理職 |
「フィッシング」と「スピアフィッシング」の違い
- フィッシング(Phishing):不特定多数に一斉送信する。「楽天カードです。ご確認を」のような手口
- スピアフィッシング(Spear Phishing):特定の個人・組織を狙い打ちにする。「〇〇部長、先日の件ですが…」と実在する名前や状況を使う高度な手口
テストでもこの2段階のレベル設定が一般的で、スピアフィッシングテストは難易度が高く、経営層や情シス担当者向けに実施されます。
テストの結果指標
代表的な評価指標(KPI)はこちら:
クリック率 :フィッシングURLをクリックした社員の割合
情報入力率 :IDやパスワードを実際に入力した割合
報告率 :不審メールとして報告(通報)した割合
USB接続率 :落ちていたUSBを接続した割合
不正入館成功率 :物理侵入テストで実際に入れた回数・割合歴史と背景
- 1970〜80年代:電話を使ったなりすまし(フリーキング)がハッカーコミュニティで広まる。ケビン・ミトニックが代表的な人物として知られる
- 2000年代初頭:インターネット普及とともにフィッシング詐欺が急増。企業向けのセキュリティ訓練として意識向上メールが使われ始める
- 2010年代:標的型攻撃(APT攻撃)が企業・政府機関を直撃。スピアフィッシングによる情報漏洩が相次ぎ、訓練の必要性が急速に高まる
- 2015年前後:日本でも大手企業・官公庁での標的型メール訓練が標準化。IPAが「標的型攻撃メール対応訓練」の実施ガイドラインを公開
- 2020年代:リモートワーク普及でVPN・クラウドサービス利用が増え、攻撃の入り口として「人」がより狙われるように。定期的なテストが年次セキュリティ計画に組み込まれるのが主流に
テストの実施フローと関連手法の比較
ソーシャルエンジニアリングテストは、どのように進むのかを見てみましょう。
ペネトレーションテストとの違い
よく混同されるのがペネトレーションテスト(ペンテスト)です。
| 比較項目 | ソーシャルエンジニアリングテスト | ペネトレーションテスト |
|---|---|---|
| 攻撃対象 | 人間(従業員) | システム・ネットワーク |
| 主な手口 | 偽メール・なりすまし・物理侵入 | 脆弱性スキャン・エクスプロイト |
| 目的 | 人的セキュリティの穴を発見 | 技術的脆弱性の発見 |
| 成果物 | 行動データ・意識調査レポート | 脆弱性リスト・改善提案 |
| 頻度 | 年1〜4回(訓練を繰り返す) | 年1〜2回(点検型) |
両方を組み合わせることで、「技術面」と「人間面」の両方からセキュリティを評価できます。
関連用語
- ソーシャルエンジニアリング — 人の心理を悪用して情報を騙し取る攻撃手法の総称
- フィッシング — 偽サイト・偽メールでIDやパスワードを騙し取る詐欺手法
- 標的型攻撃 — 特定の組織・個人を狙い撃ちにするサイバー攻撃
- ペネトレーションテスト — システムの技術的な脆弱性を擬似攻撃で発見するテスト
- セキュリティ意識向上トレーニング — 従業員のセキュリティリテラシーを高める教育プログラム
- インシデントレスポンス — セキュリティ事故発生時の対応手順・体制
- ゼロトラスト — 「何も信頼しない」を前提としたセキュリティモデル
- CSIRT — 組織内のセキュリティインシデント対応チーム