あなたも、強いパスワード、2段階認証など、セキュリティの基本は理解しているでしょう。しかし、昨今のセキュリティの脆弱性は、弱いパスワードというより、「ソーシャルエンジニアリング」に関連するものとなっています。今回は、ソーシャルエンジニアリングとは何か？　なぜ知らないうちにやられてしまうのか？　被害を防ぐにはどうすればいいか？　今回はそんなテーマを解説します。

ソーシャルエンジニアリングとは（なぜ知らないうちにやられるのか）

ソーシャルエンジニアリングとは、セキュリティ・システムを迂回するテクニックです。システムそのものではなく、システムの周りにいる「人間」の脆弱性を狙います。システムに侵入したり、パスワードを破るかわりに、カスタマーサポートを騙してパスワードをリセットさせたり、公開情報を駆使してシステムにユーザー本人であると信じこませます。

ある意味、ソーシャルエンジニアリングは真のハッキングとも言えます。既存のシステムの外側に働きかけ、望む結果を手に入れます。純粋な楽しみのために行われることもあれば、個人情報を盗んだり、プライバシーを侵害して、深刻なダメージを与えることが目的の場合もあります。

数年前、米Gizmodoの元ライター、マット・ホナン氏が、AppleとAmazonのサポート係を狙ったソーシャルエンジニアリングにより認証情報を盗まれたのはご存知の通り。最近でも、セレブ写真の流出事件がありました。あの事件も、ソーシャルエンジニアリングによるものであり、総当たり攻撃やシステムの脆弱性を突くものではありませんでした。犯人は、既知の情報を使って、セキュリティ・プロンプトをくぐり抜け、パスワードをリセット、被害者のデータにアクセスしました。最も興味深い（そしてもっとも恐ろしい）のは、この種のソーシャルエンジニアリングは比較的簡単に実行できることです。

多くの人が、ソーシャルエンジニアリングとは、ターゲットに接触して、セキュリティ情報を聞き出すことだと思っています。もちろんそれも方法のひとつですが、それだけではありません。ほとんどのケースでは、ターゲットは被害が明るみに出るまで、狙われていることにすら気づきません。とはいえ、早とちりしないでください。ソーシャルエンジニアリングが流行っているとはいえ、パスワードの強化は依然として重要です。ただ、パスワードを破る以外にも、あなたのデータにアクセスする方法があるということです。Googleアカウントに総当たり攻撃をかけるよりもずっと効果的な方法があるのです。

なぜ、ソーシャルエンジニアリングに注意すべきなのか

あなたも強いパスワードの作り方や、2段階認証のやり方はご存知でしょう。また、パスワード管理ツールを使うべきであることや、パスワードの安全性をチェックする方法、パスワード管理ツールは、集中管理ゆえのリスクがあるとしても、やはりベストな選択肢であることを理解しているはず。パスワードに「password」や「123456」などを使っている人は胸に手を当ててみてください。あなたはパスワードを強化する必要性を理解していました。しかし、何らかの理由で（おそらく面倒だったから）、そうしなかったのです。

パスワードの強化と2段階認証の重要性は、広く知れ渡るようになりました。さらに多くの人が知るべきですが、十分に認知さえたとも言えます。先月、ロシアのギャングが10億以上の認証情報を集めたニュースを覚えていますか？　盗まれた認証情報そのものは、せいぜいスパムに使われる程度でしょう。しかし、認証情報を使って、あなたが保存しているデータにアクセスされたら危険です。悪意あるハッカーの多くは、価値のある情報を持つターゲットを探しています。悪用したり、売ったりできる情報です。彼らは、価値の高いターゲットに狙いを定め、高度な手法を用いてデータを盗みます。そのほうがハッカーにとっても時間の有効活用になるからです。そして、自動化ツールとソーシャルエンジニアリングにより、データを盗むことがますます簡単になっている現代では、一般人である我々もターゲットとなりつつあります。「自分は狙われような重要人物ではない」という言い訳はもはや通用しません。

ソーシャルエンジニアリングから身を守る方法

ソーシャルエンジニアリングでいかに簡単に情報を盗めるか、ピンとこないでしょうか？　ワシントン・ポストが、iCouldのセキュリティ質問をハックするのがいかに簡単かを解説しています。セレブ写真が流出した原因のひとつはこれです。同じく、David Pogue氏もYahooで、他人のセキュリティ質問の答えを推測するのがいかに簡単かを書いています。では、ソーシャルエンジニアリングから身を守るにはどうしたらいいでしょうか？

機密情報を漏らさない

以前にも、ソーシャルエンジニアリングから身を守る方法を紹介しました。詳しい対策が書いてありますので、ぜひチェックしてください。もっとも、最近のハッカーは、Facebookの友人を装ったり、銀行のフリをして電話をかけてくることは少ないようです。とはいえ、うかつに個人情報を漏らしてしまえば、悪意ある何者かが、あなたを装って銀行に電話をかけるかもしれません。

重要でない情報も守る

「セキュリティ質問」は、大抵、簡単に破られてしまいます。多くの人が、覚えやすい質問と答えを設定します。「あなたが生まれた場所は？」とか、「あなたの高校があった街は？」など、ハッカーが推測しやすい質問を選んでしまいます。セキュリティ質問を使うときは、推測されにくい質問を選んでください。忘れる心配があるなら、パスワード管理ツールや暗号化したテキストファイルに質問の答えを書いておきます。

セキュリティ質問に嘘をつき、その嘘を覚えておく

明らかな嘘でOK。あなたが本当はリトルロックで生まれたとしても、生まれた場所はシンシナティと答えておきます。もちろん、自分がついた嘘は覚えておくこと。また、自分で質問を作れる場合は、「親友の名前は？」という質問を設定して、答えをペットの名前にしておきます。覚えておくのは少し大変ですが、セキュリティはかなり向上します。ハッカーはあなたが嘘をつくとは思っていないものです。

パスワードリセット通知が来たら、注意深く調べること

たとえ、「あなたがリクエストしたものでなければ、何もする必要はありません」と書いてあったとしても、リセット通知が来たら、ハッキングされていないかよく調べてください。私もたまに、使っていない古いアカウントから、パスワードリセット通知が届きます。何者かがリセットリクエストを押しているのです。彼らは、私のアカウントを自分のアカウントと間違えたわけではありません。アカウントのハイジャックができると思って押しているのです。もちろん彼らは、パスワードリセットをリクエストするたびに、私に通知が届くことを知っています。しかし、私が何も反応しないことに賭けているのです。

もし、身に覚えのないパスワードリセット通知が届いたら、サポートに連絡してそのことを伝えましょう。良心的なサービスなら、アカウントのリセットリクエストを凍結してくれるでしょう。あるいは、ハッキングの有無を調査すべく、セキュリティチームにつないでくれるはずです。

常にアカウントを見張る

これは、パスワードリクエストをチェックするのと似ています。定期的にGoogleアカウントのダッシュボードを開いて、アカウントに接続しているサービスや、ログインした場所などを確認してください（マンスリー・リマインダーを受け取ることも可能）。ほかの重要なアカウントも同じです。大抵のクラウドストレージ、ソーシャルネットワーク、メールサービスは、ダッシュボードで、ログインした場所や、アカウントに接続しているアプリなどを確認できます。ファイナンス系のアカウントも忘れずチェックすること。

パスワードやセキュリティ質問を使い回さない。重要なサービスを一極集中しない

これは一般常識であるべきです。しかし、実行されていません。同じパスワードは絶対に使い回さないこと。また、同じセキュリティ質問をあちこちで使わないように。残念ながら、多くの銀行やクラウドサービスが似たようなセキュリティ質問を使っています。つい、複数のサービスで「母親の旧姓は？」という質問を使い回したくなります。

でも、そうしないでください。あなたの母親の旧姓は、公開情報から簡単にわかります。それは、パスワードを使い回すのと同じくらい危険なことです。同じく、クラウドストレージや、メールサービス、そのほか重要なウェブアプリやウェブサービスは、一極集中させず、分散させておきましょう。1回のハッキング被害で、オンライン生活のすべてを失うことのないように。いざという時には、ハックされたサービスをすみやかに切り離し、別のサービスで代替できるようにしておきましょう。
ほかにも、以前紹介した、ソーシャルエンジニアリングから身を守る方法、オンライン詐欺、オフライン詐欺に騙されない方法を参考に。

常に目を光らせてください。ソーシャルエンジニアリングは、とくに新しいものではありません。しかし、近年、アマチュアハッカーの間でも使われるようになっているので注意が必要です。理由は、ソーシャルハッキングは意外と簡単であり、セキュリティ上で最も脆弱なのが人間だからです。細部に目を配り、警戒を怠らないことです。

Alan Henry（原文／訳：伊藤貴之）
Title photo made using vs148 (Shutterstock) and B Studio (Shutterstock). Video from Hackers. Additional photos by Perspecsys Photos and Cory Doctorow.