サイバー攻撃とハッキングの一般的な概念は、誰かがソフトウェアの脆弱性を悪用してシステムにアクセスするというものです。 ただし、ほとんどの場合、これは当てはまりません。 多くのサイバー攻撃者は、ソフトウェアやコンピューターを標的にするのではなく、人間のユーザーを標的にしています。 ソーシャル エンジニアリングとフィッシング攻撃は、この手法の 2 つの主な例です。
ソーシャルエンジニアリング攻撃 は、欺瞞、強制、および同様の手法を使用して、攻撃者が望むことをターゲットに実行するように誘導します。 攻撃者は、同僚、権威者、信頼できるベンダー、またはターゲットが信頼し、助けたいと思っている他の誰かのふりをすることがあります。 また、攻撃者は、ターゲットが自分の希望に従わない場合、機密情報や損害を与える情報を公開すると脅したり、ターゲットの支援のために賄賂を提供したりする可能性があります。
ソーシャルエンジニアリング攻撃は、さまざまな方法で実行できます。 コンピューターを使用したり、電話を使用したり、直接会ったりする場合があります。 たとえば、郵便配達員のふりをしたり、誰かにドアを押さえるように頼んだりすることは、安全なエリアに物理的にアクセスするように設計されたソーシャルエンジニアリング攻撃の典型的な例です。
フィッシング攻撃は、悪意のあるメッセージを使用してターゲットを攻撃者の命令に従わせます。 多くの場合、これらのメッセージには、悪意のあるコンテンツを含むリンクまたは添付ファイルが埋め込まれています。 ユーザーがリンクをクリックするかファイルを開くと、機密情報が盗まれたり、コンピュータにマルウェアがインストールされたりする Web ページが表示される可能性があります。
ただし、すべてのフィッシング攻撃がこの悪意のあるリンクやファイルを必要とするわけではありません。 中には、悪意のあるコンテンツを含まずにユーザーを騙して何らかのアクションを起こさせるように設計されたものもあります。 たとえば、ビジネスメール詐欺(BEC) 攻撃には、企業のために実行されたとされるサービスの偽の請求書が含まれることがよくあります。 これらの請求書にはマルウェアは含まれていませんが、受信者が請求書を信じて支払った場合、そのお金は攻撃者の手に渡ります。
フィッシングは一般的に電子メールに関連付けられていますが、どのメッセージング プラットフォームもこれらの攻撃を実行するために使用できます。 テキスト メッセージをめぐるフィッシングはスミッシング (SMS フィッシング) と呼ばれており、ソーシャル メディア、企業コラボレーション プラットフォーム、および同様のソリューションもフィッシング攻撃の実行に使用される可能性があります。
ソーシャル エンジニアリングとフィッシングは関連する概念です。 実際、フィッシングはソーシャル エンジニアリング攻撃の一種です。
ソーシャルエンジニアリングとは、攻撃者がターゲットに攻撃者の命令を実行させるために使用する手法を指します。 フィッシング攻撃の場合、攻撃者は何らかの形式のメッセージング プラットフォームを使用して、リンク、悪意のある添付ファイル、またはその他の種類の欺瞞的、誘惑的、または脅迫的なコンテンツを受信者に送信し、受信者を攻撃者の命令に従わせます。
フィッシング攻撃はソーシャル エンジニアリングの最も一般的なタイプであり、スピア フィッシングや捕鯨などのいくつかのバリエーションがあります。 ただし、ソーシャルエンジニアリング攻撃には、次のような他の形態もあります。
苦しま せる: この攻撃では、攻撃者は機密情報やその他のアクションを提供する代わりに、ターゲットに価値のあるものを約束します。
組織は、ソーシャルエンジニアリング攻撃に対して、次のような幅広い保護を実装できます。
ソーシャルエンジニアリング攻撃にはさまざまな形態があります。 ソーシャル エンジニアリングの脅威について詳しくは、チェック・ポイントのソーシャル エンジニアリング電子ブックをご覧ください。
これまでのところ、フィッシングは最も一般的なソーシャル エンジニアリングの脅威であり、電子メール セキュリティ ソリューションは効果的な防御手段です。 詳細については、 Forrester Wave for Enterprise Email Security 2023をご覧ください。 チェック・ポイント Harmony Endpoint は、ソーシャル エンジニアリングやフィッシング攻撃のリスクを最小限に抑えるために設計されたさまざまな機能を提供します。 無料のデモで組織に何ができるかを確認してください。