ソーシャルエンジニアリングとは、コンピュータやネットワークの技術的な脆弱性ではなく、人間の心理的な弱点を突いて機密情報を引き出す攻撃手法です。電話を使ったソーシャルエンジニアリングは「ビッシング」(Voice + Phishing) とも呼ばれ、特殊詐欺の多くがこの手法に該当します。
電話を使った典型的な手口には、IT サポートを装って「ウイルスに感染しています」とパスワードを聞き出す、銀行員を装って「口座が不正利用されています」と暗証番号を聞き出す、社内の人間を装って「急ぎで取引先の口座番号を教えてほしい」と機密情報を引き出すなどがあります。いずれもなりすましと緊急性の演出を組み合わせています。
ソーシャルエンジニアリングが成功する心理的要因は主に 4 つです。権威への服従 (警察や銀行を名乗られると従ってしまう)、互恵性 (親切にされると何かを返したくなる)、希少性 (「今だけ」「限定」に弱い)、恐怖 (「逮捕される」「口座が凍結される」で判断力が低下する) です。攻撃者はこれらを巧みに組み合わせます。
対策の基本は「電話で機密情報を伝えない」というルールの徹底です。正規の銀行や警察が電話でパスワードや暗証番号を聞くことは絶対にありません。不審な電話を受けたら、一度切って自分が知っている正規の番号に折り返してください。企業では、電話での情報提供に関するセキュリティポリシーの策定と定期的な訓練が有効です。公的機関を装った詐欺も参考にしてください。