ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、技術的な脆弱性ではなく人間の心理的な弱点を利用した攻撃手法の総称です。

「世の中で最も堅固なセキュリティシステムも、人間を騙せば突破できる」

IBMの調査によると、セキュリティインシデントの95%に人的要因が関与しています。2024〜2025年には生成AIの普及でフィッシング攻撃が劇的に高度化し、AI生成のフィッシング攻撃は前年比 1,265%増(SlashNext 2025)。さらにディープフェイクを使った音声フィッシング(ビッシング)は2025年Q1に1,600%増を記録しました。

教育目的の学習

このレッスンはソーシャルエンジニアリングへの理解を深め、防御策を学ぶことを目的としています。他者を欺く行為は詐欺・不正アクセス等の犯罪になります。

フィッシングの種類

T1566 フィッシング

一般的なフィッシング(Mass Phishing)

不特定多数を標的にした大量メール送信。Amazon・銀行・宅配業者を騙った偽メールが代表例です。

特徴:

  • 「アカウントが停止されました」などの緊急性を煽る文言
  • 偽のログインページ(ドメインが微妙に異なる: arnazon.co.jp など)
  • 個人情報・クレジットカード番号・パスワードの窃取を目的

スピアフィッシング(Spear Phishing)

T1598 スピアフィッシング

特定の個人・組織を標的にした精密なフィッシング。OSINTで収集した情報を元に、被害者が信頼する送信者を偽装します。

攻撃フロー:

  1. LinkedInで財務部長の名前・上司・同僚を確認
  2. 「CFOからの至急の支払い依頼」を偽装したメールを作成
  3. 悪意のある添付ファイルまたはリンクを送信

ホエーリング(Whaling)

経営幹部(CEO・CFO・CISo)を標的にした高度なスピアフィッシング。BEC(Business Email Compromise)詐欺とも呼ばれます。

ビッシング(Vishing)

音声通話(Voice + Phishing)を使ったソーシャルエンジニアリング。ITサポートや銀行担当者を偽装し、パスワード・OTPを聞き出します。

2025〜2026年:AIによる音声・映像クローニングの実用化

AI音声クローニング技術により、わずか3秒の音声サンプルから85%の精度で声を再現できます(McAfee調査)。2025年末には音声クローンが「判別不能の閾値」を超え、人間の耳では本物と偽物を区別できなくなりました。2024年にはArup社でディープフェイクビデオ会議詐欺により**2,500万ドル(約38億円)**が騙し取られ、2025年にはFBIが米国高官を装ったAI音声フィッシングを警告しています。音声や映像の「本物らしさ」だけでは信頼の根拠になりません。

クイッシング(Quishing)— QRコードフィッシング

メールフィルターはURL文字列を解析しますが、QRコードを画像として添付すると解析を回避できます。スキャンすると偽サイトに誘導される手口で、2023〜2024年に急増しました。

公共の場所に貼られた偽QRコードも問題になっています。海外では駐車場の料金支払いQRコードが本物と差し替えられる事例が相次いでいます。

スミッシング(Smishing)

SMS(テキストメッセージ)を使ったフィッシング。宅配業者・銀行・公的機関を偽装したリンクが典型例です。

AIフィッシング — 2025年の新しい脅威

AI生成フィッシングメールの特徴

従来のフィッシングは「日本語がおかしい」「文法ミス」が識別の手がかりでしたが、LLMを使ったフィッシングはこれらの弱点を完全に克服しています。

従来のフィッシングAI生成フィッシング
文法ミス・不自然な日本語完璧な文体・業界専門用語
汎用的な内容受信者の名前・役職・最近の活動でカスタマイズ
大量送信で目立ちやすい少数精鋭のスピアフィッシングを低コストで実現
ツール利用料が参入障壁Phishing-as-a-Service(PhaaS)で自動化

フィッシング URL の見分け方

本物: https://www.paypal.com/account/login 偽物: https://paypa1.com/account/login ← 1がl(小文字L) 偽物: https://paypal.com.malicious.net/… ← ドットの後が本物ではない 偽物: https://secure-paypal-login.com/… ← それらしいが別ドメイン 偽物: https://xn—pypl-7na.com/… ← ピュニコード(国際化ドメイン)

確認ポイント: https:// の直後から最初のスラッシュ / までがドメイン。最後の . の直前の単語が「2nd レベルドメイン」で、これが正規サービスのものかを確認する。

心理的操作の6原則

フィッシングが成功するのは、人間の以下の心理を巧みに利用するためです。

フィッシングが悪用する心理的原則(Cialdiniの影響力の武器より)
原則フィッシングでの悪用例
権威(Authority)「Microsoft社サポートです」「税務署からの通知」
緊急性(Urgency)「24時間以内に対応しなければアカウント停止」
希少性(Scarcity)「今すぐ申し込まないと特典が消えます」
社会的証明(Social Proof)「他の従業員はすでに回答済みです」
好意・親近感(Liking)上司・同僚・友人を騙った偽メール
互恵性(Reciprocity)「先日お手伝いしましたが、今度はこちらをお願い」

フィッシングの検知指標

メールを受信した際に確認すべきポイント:

  1. 送信元ドメインの確認: 表示名ではなくメールアドレスのドメイン部分を必ず確認
  2. URLホバー確認: リンクにカーソルを乗せてリンク先URLを事前確認
  3. 緊急性の演出: 異常な緊急性・プレッシャーは詐欺の典型的なサイン
  4. 添付ファイルの拡張子: .exe, .vbs, .js, .lnk は特に要注意
  5. SPF/DKIM/DMARC: メールヘッダーで送信元認証を確認

組織的な対策

対策説明
セキュリティ意識向上トレーニング定期的なフィッシングシミュレーション訓練(AI生成メールを含む)
FIDO2 / パスキーフィッシングサイトでは使用できない仕様のため、最も強力な対策
DMARC/DKIM/SPFメール送信元認証でなりすましを防止
メールフィルタリング悪意のある添付・URLの自動ブロック。AI検知エンジンの導入も有効
QRコードスキャン前の確認習慣スキャン前にURLプレビューを確認。公共QRへの不用意なアクセスを避ける
報告文化の醸成疑わしいメールを気軽に報告できる環境。誤報告を責めない文化が重要
パスワードマネージャーはフィッシング検出の副産物的な効果がある

パスワードマネージャーは登録されているドメインと現在のURLが一致しない場合、自動入力を行いません。本物サイトのパスワードが偽サイトで入力されないため、フィッシングに気づくきっかけになります。FIDO2パスキーも同様に、登録したサイト以外では認証自体が成立しません。

フィッシングシミュレーション

GoPhishなどのオープンソースツールを使って自組織でフィッシング訓練を実施できます。クリック率・報告率を測定し、教育効果を定量的に把握することが重要です。AI生成のフィッシングメールを訓練に取り入れることで、最新の脅威に対する耐性を高められます。

理解度チェック

スピアフィッシングが通常のフィッシングより危険とされる主な理由はどれですか?

理解度チェック

AIを使ったディープフェイクビデオ通話詐欺に対して最も効果的な対策はどれですか?