20世紀の心理学の発展は、人類に新たな知見をもたらしました。人の認識や判断が他者や集団、状況にどう影響されるかを考える社会心理学から見えてきたのは、人は驚くほど簡単に誘導できてしまうという現実でした。その成果は今、企業のマーケティング施策のほか、プロパガンダ（情報操作）やマインドコントロールにも利用されているといわれます。こうした知見を悪用し、機密情報や金品を窃取する手口がソーシャルエンジニアリングです。ソーシャルエンジニアリング＝社会工学は本来、心理学を含む分析的な手法により社会課題の解決を図る社会科学の一分野を指します。それがハッキング手口を指す言葉として定着したのは実はかなり古く、1980年代にはハッカー間で使われるようになったといいます。

ではソーシャルエンジニアリングとはどのような種類の攻撃なのでしょう？その本質は、人間の心の癖＝バイアスを突き、判断を誘導する点にあります。それにより、マルウェアなどのデジタルテクノロジーを必要とせず、情報や金品を窃取することがその特徴です。一例が、リモートワーク中の従業員にシステム部門を騙って電話を掛け、パスワードを窃取する手口です。「あなたが使っている端末が不審な通信を繰り返しています。リモートで対応したいのだが端末にアクセスできずに困っています。緊急事態です。設定したパスワードを教えてください」と言われ、その真偽を疑える人はそう多くないはずです。

すでに触れた通り、攻撃には社会心理学の知見が反映されています。その手口は大きく三つに分けられます。一つは人間の思い込みを突く手口。代表例が、上位者の指示は正しいと思いこむ「権威バイアス」です。CEO詐欺の本質もそこにあります。「限定3名」「今日中に」などの言葉で誘導する「希少性バイアス」、異常事態でも大丈夫だろうと思ってしまう人間心理を突く「正常性バイアス」などもここに含まれます。
次が感情操作です。「恐怖」「焦り」「安心」「期待」といった感情に強く訴えることで、論理的な判断を困難にすることがその狙いです。先ほどのシステム部門を騙った攻撃の「緊急事態」の言葉はまさにここにあてはまります。そして最後が信頼の構築です。同じ言葉でも、信頼する相手と見ず知らずの相手ではその意味は大きく異なります。ターゲットに意図的に近づき、信頼関係を人工的に構築することがその手口になります。

お気づきの方も多いと思いますが、ソーシャルエンジニアリングの手口自体に目新しさはなく、古くからの詐欺の手口と重なります。あえていえば、それを科学的な知見に基づき、標準化、テンプレート化した点がソーシャルエンジニアリングの特徴です。その攻撃が再注目される背景には、生成AIの進化があります。フィッシングメールの本質は権威バイアスや希少性バイアス、あるいは感情操作を通して判断を誘導する点にあるともいえますが、AIはターゲットの分析を通して対象に最適化された、最もひっかかりやすいメッセージを生成することが可能だからです。 CEO詐欺のケースでは、過去のメール文面が入手できれば、本人よりも本人らしい文面を作成することもでき、声のディープフェイクによりCEO本人と見分けがつかない音声による指示を出すことも可能。リモート会議の画面上の上司が実はディープフェイク動画だったということも十分考えられます。AIの進化は、ソーシャルエンジニアリングによる新たなリスクにもつながるのです。

対策としてまず挙げられるのは、送金や情報提供プロセスの多重チェックの徹底です。しかしソーシャルエンジニアリングによる添付ファイル開封やリンク誘導への対策としては、こうした水際の対応だけでは不十分です。入口対策がますます困難化する中、注目したいのが、侵入したマルウェアの振る舞いをいち早く検知し、被害を最小限に留める、「セキュリティスイッチ」「セキュリティアクセスポイント」と呼ばれる内部対策ソリューションです。国内出荷実績が13万台を超える定評ある内部対策製品群であるSubGateシリーズは、こうした課題への対応においても大きな意味を持つに違いありません。



ライター：滝本一帆