新しい AI アシスタント、Zoom AI Companion が登場!
Zoom AI Companion で、生産性とチームのコラボレーションを向上させましょう。該当する有料の Zoom プランがあれば追加料金なしでご利用いただけます。
ソーシャルエンジニアリングとは?主な手口や種類、とるべき対策方法を紹介
5 分で読める
公開日 2026年5月13日
本ブログの内容
- 01 ソーシャルエンジニアリングとは - Jumplink to ソーシャルエンジニアリングとは
- 02 ソーシャルエンジニアリングの主な手口・種類 - Jumplink to ソーシャルエンジニアリングの主な手口・種類
- 03 ソーシャルエンジニアリングの実際の被害事例 - Jumplink to ソーシャルエンジニアリングの実際の被害事例
- 04 ソーシャルエンジニアリングへの対策 - Jumplink to ソーシャルエンジニアリングへの対策
- 05 万が一被害に遭った場合の対処法 - Jumplink to 万が一被害に遭った場合の対処法
- 06 リテラシー向上とシステム保護の両立を支える全社導入向けツール「Zoom」 - Jumplink to リテラシー向上とシステム保護の両立を支える全社導入向けツール「Zoom」
- 07 まとめ - Jumplink to まとめ
この投稿を共有
ソーシャルエンジニアリングの名称は知っていても、実際の手口や対策がイメージできていない方は多いのではないでしょうか。
ソーシャルエンジニアリングとは、システムの脆弱性ではなく、人間の心理や行動の隙を突く攻撃手法です。なりすましや偽メールなどの手口は生成AIの活用により巧妙化しており、IT知識の有無にかかわらず、権限を持つ担当者まで標的になっています。
本記事では、代表的な攻撃手口や国内外の最新被害事例、組織で実践できる対策などを解説しますので、ぜひ参考にしてください。
ソーシャルエンジニアリングは、技術的な穴ではなく、人を攻撃対象にする点が特徴です。ここでは、定義と対策が求められる背景を解説します。
ソーシャルエンジニアリングの定義
ソーシャルエンジニアリングとは、パスワードや機密情報を盗み出すために、人間の心理的な隙や行動のミスを意図的に突く攻撃手法です。
システムの防御であるファイアウォールや暗号化をすり抜け、人を入口として情報にアクセスするため、従来のサイバー攻撃とは性質が異なります。
デジタル・アナログを問わず、上司へのなりすまし電話から、画面を覗き込む行為まで、手法は幅広く存在しています。
なぜ今、ソーシャルエンジニアリング対策が必要なのか
ソーシャルエンジニアリング被害が増えている背景には、テレワークの普及と生成AIの悪用という2つの構造的な変化が関係しています。在宅勤務では「この指示、本当に上司からだろうか」と感じても、すぐに確認ができません。
また、生成AIを使えば、不自然だった日本語のフィッシングメールが、自然で違和感のない文章へと変わります。そのため、文体や敬語の乱れを手がかりに不審なメールを見抜く従来の判断は、通用しにくくなっています。
ディープフェイク技術で上司の声や映像を再現した偽装事例も国内外で報告されており、技術的な対策だけでは十分に防ぎきれません。
ソーシャルエンジニアリングの手口は、主に3つのアプローチに分類されます。それぞれの特徴を把握し、異変に気付く判断基準にしましょう。
デジタル・ネットワークを通じた手口
インターネットや電話などの通信手段を使い、システムを介して人を騙す手口を紹介します。
フィッシング
フィッシングは、銀行やECサイトを装った偽メールや偽サイトを使い、IDやパスワード、クレジットカード情報を盗み出す手口です。
不特定多数に大量送信するのが基本的な形で、以下のような煽り文面が多く使われます。
- アカウントが停止されます
- 不審なログインを検知しました
- お支払い情報の確認が必要です
偽サイトは本物と見分けがつかないほど精巧に作られており、URLをよく確認しないと気付けないケースもあります。メールを介した情報窃取や情報漏えいの被害のなかでも発生件数が多く、個人・企業を問わず被害が報告されている代表的な手口です。
参照:フィッシング対策|警察庁
スピアフィッシング
スピアフィッシングは、特定の企業・部署・役員を狙い撃ちにする標的型のフィッシング攻撃です。
一般的なフィッシングが広範囲に向けて行われるのに対し、スピアフィッシングでは事前に組織図や業務内容、個人情報などを収集したうえで標的を絞って攻撃が行われます。
「採用のお問い合わせ」「情報セキュリティの注意喚起」など、受け取った側が疑いを持ちにくい文面で送られてきます。実在の人物名や業務内容が含まれるため、受信者にとって見破りにくく、役員や財務担当者も狙われやすい手口です。
スミッシング
スミッシングは、SMS(ショートメッセージサービス)を悪用したフィッシング詐欺の一種です。
宅配業者や金融機関を装い、以下のようなSMSを送りつけて偽サイトへ誘導し、IDや個人情報を入力させます。
- お荷物をお届けできませんでした
- 再配達の手続きが必要です
- カードの利用を一時停止しました
メールと異なり、SMSは送信元が個人の電話番号に見えるため、警戒されにくい傾向があります。
スマートフォンの画面は小さくURLを確認しづらいため、タップひとつで不正サイトへ誘導されてしまう点が悪用される主な原因です。
プリテキスティング
プリテキスティングは、架空のシナリオ(口実)を事前に作り込み、ターゲットから自然に情報を引き出す手口です。
攻撃者はSNSや企業のWebサイトでターゲットの氏名・役職・業務内容をあらかじめ調査します。上司や取引先、IT担当者になりすまし、電話やメールで社員番号やパスワードを自然に聞き出します。
会話に違和感がなく正当な問い合わせに見えることから、断りにくい状況を意図的に作り出している点が特徴です。
リバース・ソーシャル・エンジニアリング
リバース・ソーシャル・エンジニアリングは、攻撃者から接触するのではなく、被害者側から自発的に連絡させる高度な手口です。
攻撃者はシステム障害や設定エラーなどのトラブルを意図的に引き起こし、偽の窓口を周知して被害者が自ら連絡するよう仕向けます。
被害者は「自分から相談した」と認識するため、攻撃者への警戒心が薄れやすく、パスワードや社内情報を素直に伝えてしまうリスクが高まります。
物理的・アナログな手口
パソコン周辺やオフィス内といった物理空間で情報にアクセスする、古典的ながら今も使われ続ける手口を紹介します。
トラッシング
トラッシングは、オフィスのゴミ箱や廃棄物置き場を物色し、機密情報を含む書類やメモを回収する手口です。
ダンプスターダイビングとも呼ばれ、主に以下のようなものが狙われます。
- シュレッダーにかけられていない契約書
- 手書きのパスワードメモ
- 記憶媒体(USBやHDDなど)
一見ただのゴミに見えるものが、攻撃者にとっては組織内部を知るための情報源です。収集した情報はなりすましやスピアフィッシングの下準備として使われるケースが多く、廃棄管理の甘さがデジタル攻撃の入口になり得ます。
ショルダーハッキング
ショルダーハッキングは、ターゲットの背後や隣に位置取り、パソコンやスマートフォンの画面を肩越しに盗み見する手口です。画面が周囲から見えやすい以下のような環境で多く発生します。
- カフェ
- コワーキングスペース
- 電車や新幹線などの公共交通機関
- 空港のラウンジやホテルのロビー
- ATMの操作時
パスワードの入力操作や機密資料の閲覧中など、わずか数秒の隙を狙われます。テレワークの普及によって自宅以外で働く機会が増えたことから、このリスクは増加傾向です。
テールゲーティング
テールゲーティングは、オートロックドアが開いた直後に正規の社員のうしろへ続いて入り込む、物理的な不正侵入の手口(共連れ)です。
宅配業者や清掃業者などを装い、両手が塞がっている状態でドアを「開けてもらえますか」と声をかけるパターンが典型的です。
断ることへの心理的なハードルが、侵入を許す一因になります。一度入館を許すと情報窃取や不正アクセスのリスクがあるため、入退室管理の徹底が必要です。
人間の心理・好奇心を突く手口
人の好奇心や親切心を利用し、気付かないまま被害につながる手口を紹介します。
ベイティング
ベイティングは、好奇心を煽る仕掛けを使い、ターゲット自らが罠に踏み込むよう誘導する餌まき型の手口です。
代表的な手法が、マルウェア(悪意あるプログラム)を仕込んだUSBメモリを意図的に落としておくものです。
役員報酬一覧や採用候補者リストといったラベルを貼り、社内や駐車場に置いておくと、拾った人が中身を確認しようとパソコンに接続してしまいます。
接続した瞬間にマルウェアが起動し、社内ネットワーク全体への侵入経路となる可能性があります。落ちていたものをパソコンに挿す行為の危険性を、周知しておきましょう。
クイド・プロ・クオ
クイド・プロ・クオは、何らかの見返りを提示して警戒心を緩め、引き換えに機密情報を引き出す手口です。ラテン語由来で「何かと引き換えに何かを」という意味を持ちます。
「アンケートに答えるとギフト券を進呈」「無料でシステムの点検をします」といった形で接触し、対応するうちに社内の構成情報やアカウント情報を聞き出します。
得をしたと感じることで情報提供の自覚が薄れ、被害の発覚が遅れやすいため注意が必要です。
「自分の会社は狙われない」という思い込みが、初動対応の遅れや被害拡大につながるケースも少なくありません。国内外で実際に発生した3つの事例をもとに、手口の巧妙さと被害の深刻さを見ていきましょう。
SNSでのなりすまし
2024年5月、暗号資産取引所DMM Bitcoinから約482億円相当のビットコインが不正流出する事件が発生しました。
攻撃を仕掛けたのは、北朝鮮系のサイバー攻撃グループとされています。ビジネス特化型SNS「LinkedIn(リンクトイン)」上でリクルーターになりすまし、ウォレット管理会社の従業員へ接触しています。
採用試験を装って悪意のあるプログラム(マルウェア)を送付し、システムへの侵入に成功しました。SNS上で時間をかけて信頼関係を築き、警戒が薄れたタイミングで攻撃を仕掛ける手口は、技術的な防御だけでは防ぎ切れない典型例です。
ディープフェイク動画会議
2024年初頭、香港のある多国籍企業で、約38億円(2500万米ドル)が騙し取られる事件が発生しました。
この事件は、従業員が参加したビデオ会議を舞台に起きました。画面上には自社のCFO(最高財務責任者)や複数の同僚の姿が表示されていましたが、実は参加していた従業員本人以外はすべて「偽物」でした。攻撃者はAIのディープフェイク技術を悪用し、CFOらの映像や音声を模倣して、本物と見分けがつかないほど精巧な偽の映像を生成していたのです。
上司からの指示という状況が判断力を鈍らせ、従業員は指示通りに送金手続きを進めてしまいました。最新技術と人間心理の組み合わせが、いかに危険かを示す事例です。
電話でのなりすまし
ある県立病院に医師を名乗る人物から電話があり「研修医の氏名と電話番号を教えてほしい」と要求されました。電話を受けた事務員は相手を疑わず、そのまま口頭で情報を伝えてしまい、研修医52名分の氏名と携帯電話番号が流出しています。
この手口はビッシング(電話を使った詐欺)と呼ばれ、攻撃者側に高度なITスキルをほとんど必要としません。医師という権威ある立場を名乗られると、確認なしに応じてしまいやすい心理が悪用されました。
ソーシャルエンジニアリングは人間の判断を狙う攻撃です。ファイアウォールなどの技術的な防御だけでは防ぎ切れないため、人やシステム、物理環境の3つの層を組み合わせた対策が求められます。
「人・組織」による対策
ソーシャルエンジニアリングで攻撃者が狙いやすい入口は、システムではなく従業員です。ここでは、組織の防衛力を高めるために、人と組織の側から取り組む対策を紹介します。
定期的なセキュリティ教育・啓発活動
ソーシャルエンジニアリングの手口は、社会情勢や技術の変化にあわせて日々進化しています。一度の研修で終わらせず、定期的に最新事例を共有し続けることが、組織全体のリテラシーを維持するうえで欠かせません。
研修では、実際に発生したフィッシングメールの文面例や、プリテキスティングなどの具体的なやり取りを取り上げると、座学よりも実感を持って学べます。最新トレンドにあわせて、教育内容を定期的に更新しましょう。
標的型攻撃メール(フィッシング)の訓練
フィッシング対策として効果的なのが、実際に本物そっくりの無害な偽メールを従業員へ送る標的型攻撃メール訓練です。
訓練用メールに記載された偽リンクをクリックしてしまった従業員には、その場でフィードバックを提示します。実際に引っかかりそうになった体験は、机上の学習よりも強い気付きを与えるでしょう。
社内ルールの明確化と徹底
ソーシャルエンジニアリングへの対策として、例外を作らない運用ルールの策定が有効です。判断を個人の裁量に委ねるほど、心理的な隙が生まれやすくなるためです。
具体的には、以下のようなルールを組織として明文化します。
- 電話・メールでパスワードや認証情報を聞かない、教えない
- 振込先の変更依頼があった場合は、別の連絡手段で本人確認を行う
- 上司からの指示であっても、金銭や情報の移動は所定の承認フローを経る
ルールの必要性を全員が理解してこそ、抑止力として機能します。
「システム・技術」による対策
人が騙されてしまったあとでも、被害の発生や拡大を防ぐ防衛線がシステム側にも必要です。技術的なアプローチから組織を守る3つの対策を紹介します。
多要素認証(MFA)の導入
多要素認証とは、パスワードに加えて別の認証手段を組み合わせる機能です。認証方法の種類として利用される代表例は、以下のとおりです。
- SMSで届くワンタイムコード
- 指紋・顔認証
- プッシュ通知による承認
- 音声通話による認証コード案内
フィッシングなどでパスワードが盗まれても、MFAを導入していれば不正アクセスの抑止につながります。設定の負担はあるものの、費用対効果が高いため優先して取り組みたい対策です。
メールフィルタリング・スパム対策の強化
メールフィルタリングとは、不審な送信元や悪意のあるリンク・添付ファイルを含むメールを、受信前にシステムが自動で検知・遮断する仕組みです。
フィッシングメールの多くは、送信元ドメインの偽装や特定のキーワードパターンといった共通の特徴を持っています。フィルタリングシステムはこれらを機械的に判定するため、従業員が目にする前に排除できます。
メール攻撃の増加を踏まえると、目視確認だけでは限界があり、システムによる入口対策の重要性が高いといえるでしょう。
ゼロトラスト・セキュリティの構築
ゼロトラストとは、社内ネットワーク内だから安全という前提を排除し、すべてのアクセスに対して認証と認可を求めるセキュリティの考え方です。
従来型のセキュリティは、社内ネットワークへの侵入を防ぐことを前提に設計されていました。しかし、テレワークの普及やソーシャルエンジニアリングによる内部からの侵害が増えた現在、従来の前提は成り立ちにくくなっています。
ゼロトラストを導入すれば、侵入を許した場合でもアクセス範囲を制限でき、被害の拡大を抑えられます。
「物理・環境」による対策
オンライン対策だけでなく、オフィスや外出先での情報漏えい対策も必要です。日常のなかで意識したい具体的な対策を紹介します。
クリアデスク・クリアスクリーン・ポリシーの徹底
クリアデスク・クリアスクリーンとは、離席時にパソコンをロックし、机上に機密情報を放置しないというルールです。物理的な情報漏えいを防ぐ基本的な習慣として、多くの企業で導入されています。
具体的には、以下のような行動基準を組織で統一しましょう。
- 席を離れる際はパソコンの画面をロックする
- 机の上に機密書類やパスワードを書いた付箋を残したまま退席しない
- 印刷物はその場で回収し、不要なものはシュレッダーにかける
ルールとして明文化し、全員が日常的に実践する体制を整えることで、トラッシングやショルダーハッキングへの抑止力になります。
オフィスへのアクセス制御(入退室管理)
部外者の不正侵入を防ぐには、ICカードや生体認証を用いた入退室管理システムの導入が有効です。
正規の社員のみがゲートを通過できる仕組みを整えると、テールゲーティング(共連れ)による侵入リスクを低減できます。
さらに、一人ずつしか通過できないセンサー付きのドアを設置すると、物理的に共連れを防ぐ効果が高まります。不正侵入を防ぐうえで、入退室の管理体制の整備は欠かせません。
覗き見防止フィルターの活用
カフェや新幹線など人目のある場所で作業する際は、パソコンやスマートフォンに覗き見防止フィルターを装着すると効果的です。
覗き見防止フィルターは、正面以外の角度から画面を見ても内容が判別できなくなる構造になっています。ショルダーハッキングを物理的に遮断できるため、テレワークや外出先での作業機会が多い組織では特に導入を検討したい対策です。
フィルターを装着するだけで万全とはいえませんが、画面の覗き見を防ぐ手段としてすぐに実践できる点がメリットです。
対策を講じても、被害をゼロにするのは現実的には困難です。被害が疑われたときの対応を確認し、損害の最小化につなげましょう。
被害の隔離
被害が疑われた場合、まず行うべきは、それ以上の被害を広げないことです。まずは原因の特定よりも、被害の拡大防止を優先します。具体的には、以下の対応を速やかに実施してください。
- 該当のパソコンやデバイスをネットワークから切断する
- 侵害された可能性のあるアカウントのパスワードを即座に変更する
- 不審なメールや添付ファイルを開いた端末を隔離する
被害状況が把握できていなくても、遮断を最優先に行う必要があります。対応の迅速さが、社内ネットワークへの影響拡大や二次流出の防止につながります。
関係各所への迅速な報告と相談
被害の隔離とあわせて、社内外の関係各所へ迅速に報告できる体制を整えることが重要です。
社内では、まずセキュリティ担当部門や上長への報告を行います。個人情報が流出した可能性がある場合は、個人情報保護委員会への報告義務が生じるケースもあります。
取引先や顧客への影響が考えられる場合は、状況を整理したうえで早期に連絡を取ることが信頼維持の観点からも欠かせません。自分だけで抱え込んだり報告が遅れたりすると、二次被害や法的リスクが拡大する原因になります。
原因の究明と再発防止策の策定
被害が収束したあとに、なぜ攻撃が成立したのかを組織として検証するフェーズに入ります。感情的な非難ではなく、再発を防ぐための客観的な分析に取り組むことが大切です。
確認すべき主なポイントは以下のとおりです。
- どの手口が使われたか(フィッシング・なりすまし電話など)
- どの段階でルールやシステムによる防御が機能しなかったか
- ルールや教育に抜け漏れがなかったか
分析結果をもとに、社内ルールの改定やシステム設定を見直しましょう。研修内容の見直しまで具体的に反映すれば、同様の手口による被害を防げる体制を整えられます。
従業員教育でリテラシーを高めても、人間が判断を誤るリスクをゼロにするのは困難です。
ヒューマンエラーをシステム側で補う仕組みとして、Zoomのセキュリティ機能が有効な選択肢になります。Zoomには、なりすましや不正アクセスを防ぐための機能が標準で備わっています。
例えば、ホストが承認した参加者のみ入室できる「待機室機能」を利用すれば、部外者のミーティングへの侵入を未然に防ぐことができます。
また、パスワードに加えて追加の認証を求める「2要素認証(2FA)」は、アカウントへの不正アクセス防止に強力な効果を発揮します。
さらに、通話内容や共有データを保護する「256ビットAES暗号化」も標準搭載されており、通信の傍受による情報漏洩リスクを最小限に抑えられます。
人への対策とシステムによる防御を組み合わせることで、ソーシャルエンジニアリングへの対策をさらに強化できます。Zoomは、人とシステムの両面を支えるプラットフォームとして、全社展開にも適した設計となっています。
セキュリティ強化やコミュニケーション基盤の見直しをご検討中の方は、以下の詳細ページをご確認ください。
ソーシャルエンジニアリングは、システムの脆弱性ではなく人間の心理を狙う攻撃手法です。フィッシングやなりすまし電話、ディープフェイクを使った偽装など、手口は年々巧妙化しています。
対策は「人・組織」「システム・技術」「物理・環境」の3つの層を組み合わせる必要があります。従業員教育だけでは限界があるため、多要素認証やゼロトラストなどの技術的対策による補完は欠かせません。
人とシステムの両面から対策を強化したい場合、待機室機能や2要素認証、暗号化技術を備えたZoomの導入も選択肢の一つとして検討してみてください。
