サイバー攻撃というと、システムの脆弱性を突く高度な技術をイメージしがちです。
しかし実際には、重大な情報漏洩や金銭被害の多くが、「人」の心理的な隙を突くソーシャルエンジニアリングを入口としています。
どれだけ堅牢なシステムを導入しても、それを使う従業員一人が騙されれば、攻撃の入口となってしまうリスクがあります。
本記事では、実際の事件・事例をもとに、手口・被害リスク・対策を解説します。
ソーシャルエンジニアリングとは?意味と語源
手口や事例を理解する前に、まず基本を押さえておきましょう。
本章では次の3点を解説します。
- 【この章で紹介する内容】
- ・ソーシャルエンジニアリングの定義と日本語訳
- ・名前の由来・語源
- ・なぜ「人の脆弱性」が狙われるのか
ソーシャルエンジニアリングの定義と日本語訳
ソーシャルエンジニアリングとは、技術的な脆弱性ではなく、人間の心理的な隙や行動のミス、信頼関係を悪用して重要情報を不正に入手する攻撃手法の総称です。
日本語に明確な定訳はなく、「人を介した情報セキュリティ攻撃」「心理的な攻撃」などと説明されます。
その本質は「人を騙して情報を盗む/望ましくない行動を取らせる」点です。
- 【ソーシャルエンジニアリングに該当する行為】
- ・システム管理者になりすまし、電話でパスワードを聞き出す
- ・廃棄書類から機密情報を拾い出す
- ・偽のメールでIDとパスワードを入力させる
技術的なハッキングと組み合わせて、標的型攻撃やビジネスメール詐欺(BEC)の入口としても多用されます。
名前の由来・語源
「ソーシャルエンジニアリング」は、もともと社会科学の分野で「社会を計画的に変革・操作する手法」を指す用語でした。
それがセキュリティの文脈に転用され、「人間(ソーシャル)を巧みに操作・誘導する(エンジニアリング)技術」という意味で定着しました。
ソーシャルエンジニアリングで狙うのは機械ではなく「人」であり、人の心を操って動かすという意味が、名前に表れています。
なぜ「人の脆弱性」が狙われるのか
システムのセキュリティは年々強固になる一方で、人間の心理は大きく変わりません。
社員一人を騙すだけで内部に侵入できるなら、攻撃者にとって「人」はコストの低い侵入経路です。
攻撃者が悪用する代表的な心理は次のとおりです。
| 攻撃者が悪用する心理 | 内容 |
|---|---|
| 権威への服従 | 上司・取引先・公的機関を名乗られると逆らいにくい |
| 緊急性・恐怖 | 「今すぐ対応しないと口座が凍結される」と急かされ冷静さを失う |
| 好意・信頼 | 親切に接してくる相手を疑いにくい |
| 返報性 | 何かしてもらうとお返しをしたくなる |
| 社会的証明 | みんながやっているなら正しいと感じる |
これらは誰もが持つ自然な反応であり、知識の不足とは関係ありません。
むしろ知識が豊富で「自分は騙されない」と思っている人ほど確認を怠り、油断が生まれます。
ソーシャルエンジニアリングの代表的な手口一覧
企業が遭遇しやすい代表的な手口を、まず一覧で整理します。
以降で詳細を解説します。
なりすまし・プリテキスティング
攻撃者が社員・管理者・取引先・公的機関などを装い、電話やメールで接触する古典的な手口です。
プリテキスティングは、「監査で確認が必要」などのもっともらしい口実を事前に用意して相手を信用させます。
その発展形がビジネスメール詐欺(BEC)です。
経営者や取引先を装った偽メールで、経理担当者に偽口座へ送金させます。
ビジネスメール詐欺の詳細については、以下のページもご覧ください。
▶ビジネスメール詐欺の最新手口とは?2026年の事例・見分け方・対策を解説
フィッシング・スミッシング・ビッシング
フィッシングは、実在する企業を装った偽メール・偽サイトでID・パスワード・カード情報を盗む手口です。標的を絞った亜種も増えています。
- 【フィッシング詐欺の種類】
- ・スピアフィッシング:特定の個人・組織を狙い撃ちする
- ・ホエーリング:経営幹部を標的にする
- ・スミッシング:SMSを悪用する
- ・ビッシング:音声通話で騙す
- ・クイッシング:QRコードを悪用する
生成AIの普及で文面の不自然さが減り、見破ることが一層難しくなっています。
フィッシング詐欺については、以下のページで詳しく解説しています。
▶フィッシング詐欺の実例一覧|最新の手口・有名事例とメール・SMSの見分け方を解説
ショルダーハッキング・トラッシング
ショルダーハッキングは、背後から画面を覗き見てID・パスワードを盗む手法です。
カフェや満員電車などで起こりやすく、テレワークの普及でリスクが高まっています。
トラッシングは、ゴミ箱や廃棄書類・記録媒体から機密情報を探し出す手法です。
一見価値のなさそうな組織図やパスワードのメモも、攻撃者には貴重な材料になります。
ショルダーハッキングについては、以下のページも参考にしてください。
▶ショルダーハッキングの事件事例と手口|社内対策と防止策を解説
ベイティング・スケアウェア・SNS悪用・リバース型
その他にも、人間の好奇心・不安・信頼といった感情を突く多様な手口があります。
- 【多様な手口】
- ・ベイティング:マルウェア入りUSBを拾わせるなど、好奇心や欲を利用する
- ・スケアウェア:「ウイルスに感染しました」と偽警告で不安を煽る
- ・SNSの悪用:公開情報から人間関係や業務を調べ、なりすましの精度を高める
- ・水飲み場攻撃:標的がよく利用するWebサイトに罠を仕込み、アクセスしただけで感染させる
- ・ハニートラップ:色仕掛けや親密な関係を装い、機密情報を引き出す
- ・リバース・ソーシャルエンジニアリング:トラブルを仕掛け、被害者から偽サポート窓口へ連絡させる
仕掛けは異なりますが、いずれも「つい行動してしまう」心理を利用する点で共通しています。
なりすまし来訪・潜入による物理的侵入
見落とされがちですが、攻撃者が建物内に直接侵入する物理的な手口も実在します。
- 【建物内に侵入する手口】
- ・清掃員・設備保守業者・宅配業者になりすまして入館する
- ・社員の後ろについて施錠エリアを通り抜ける(テールゲーティング/共連れ)
- ・来訪者を装い受付を突破し、無人の会議室や席からPC・書類にアクセスする
一度建物内に入られると、ショルダーハッキング・トラッシング・端末の盗難・USBの設置など、複数の手口が一気に実行可能になります。
そのため、ネットセキュリティだけでなく、出入口などの物理的な防犯も必要です。
ソーシャルエンジニアリングの事件・被害事例
実際に発生した代表的な事件を、まず一覧で示します。
本章では次の5つの事件と、物理的な手口の例、関連する人物を解説します。
- 【この章で紹介する事件・事例】
- ・日本年金機構 標的型攻撃メール事件(2015年)
- ・JTB 標的型攻撃メール事件(2016年)
- ・日本航空(JAL)ビジネスメール詐欺事件(2017年)
- ・Coincheck NEM流出事件(2018年)
- ・香港ディープフェイクWeb会議詐欺(2024年)
- ・物理的な手口による被害・脅威の例
日本年金機構 標的型攻撃メール事件(2015年)
2015年6月、日本年金機構は標的型攻撃メールにより約125万件(約101万人分)の個人情報が流出したと公表しました。
流出したのは基礎年金番号・氏名・生年月日・住所などです。
- 【攻撃の流れ】
- ・業務連絡を装った標的型メールが職員宛てに送られた
- ・添付ファイルやリンクを開いた端末がウイルスに感染した
- ・最終的に27台のPCが感染し、共有フォルダの個人情報が盗み出された
根本原因は技術的不備だけでなく、標的型攻撃への危機意識の不足と組織的な対応体制の不備にあったと指摘されています。
参考:厚生労働省「日本年金機構における不正アクセスによる情報流出事案について」
JTB 標的型攻撃メール事件(2016年)
2016年6月、JTBの子会社i.JTBが標的型攻撃メールを受け、約793万人分の個人情報が流出した可能性があると公表しました。
- 【この事件の特徴】
- ・取引のある航空会社系列の販売会社のドメインから送信されていた
- ・件名は「航空券控え 添付のご連絡」で、取引先からの連絡と見誤る内容だった
- ・添付ファイルを開いたことでウイルスに感染した
感染に使われたのは遠隔操作型ウイルス「PlugX」で、パソコンやサーバーが乗っ取られました。
「知っている取引先からの自然なメール」を装うことで、担当者の警戒をすり抜けた典型例です。
参考:外務省「JTB関連企業が所有する個人情報に対する不正アクセスについて」
日本航空(JAL)ビジネスメール詐欺事件(2017年)
2017年12月、JALは取引先になりすましたビジネスメール詐欺(BEC)により約3億8000万円の被害に遭ったと公表しました。
- 【手口の流れ】
- ・航空機をリースする米金融会社の担当者を装ったメールが財務部に届いた
- ・「支払先を香港の銀行口座に変更した」とする偽の請求書が添付されていた
- ・メールを信じた担当者が、偽口座に約3億6000万円を振り込んだ
- ・別途、貨物事業所でも約2400万円を振り込む被害が発生した
いずれも資金は回収不能となりました。
大企業の担当者でも、自然な業務メールには疑いを抱きにくいことを示す事件です。
参考:石川県警「「IP 防犯ネット」情報」
Coincheck NEM流出事件(2018年)
2018年1月、暗号資産取引所Coincheckから、当時約580億円相当の「NEM(XEM)」が流出しました。
日本の暗号資産史上最大規模の被害事件です。
注目すべきは、その入口がソーシャルエンジニアリングだった点です。
- 【事件の流れ】
- ・SNSなどでシステム管理者権限を持つ技術者を特定した
- ・偽名で接触し、数か月かけて信頼関係を築いた
- ・ウイルス入りメールでPCをマルウェアに感染させた
- ・リモート操作で社内ネットワークに侵入し、秘密鍵を盗み出した
どれほど高度なシステムでも、管理者権限を持つ従業員一人が騙されれば突破されることを示しています。
なお、流出した顧客資産は、Coincheckは日本円で補償する旨を発表し、対応が行われました。
参考:コインチェック株式会社「仮想通貨NEMの不正送金に関するご報告と対応について」
香港ディープフェイクWeb会議詐欺(2024年)
2024年2月に香港警察が公表した事件は、ソーシャルエンジニアリングの「進化」を象徴しています。
ある会計担当者が、CFOを名乗るメッセージを受け取りました。
当初は不審に思いましたが、招待されたビデオ会議には複数の「同僚」が出席しており、姿も声も本人そのものでした。
しかし、出席者は本人を除き全員がディープフェイクで作られた偽物でした。
担当者は疑念を捨て、合計約2億香港ドル(公表当時のレートで約38億円)を送金してしまいます。
「見て・聞いて確認したから安心」という従来の判断基準が通用しなくなったことを示す事件です。
参考:日経新聞「会議相手はフェイク動画、40億円被害が示す詐欺AIの進化」
ケビン・ミトニック「伝説のハッカー」の手口
1980〜90年代、アメリカの大企業や政府機関を震撼させ「伝説のハッカー」と呼ばれた人物、ケビン・ミトニック。
彼の最大の武器は、高度なプログラムではなく、人間の心理を巧みに操ってパスワードを聞き出す「ソーシャルエンジニアリング(なりすまし)」でした。
後に更生し、セキュリティの権威となった彼は「システムがどれほど強固でも、最も弱いのは人間だ」と説いています。
「今さら数十年前の古い手口なんて……」と侮ってはいけません。
その「まさか自分が騙されるわけがない」という心理的な隙こそが、現代の巧妙なサイバー犯罪者にとっても最高の標的なのです。
物理的な手口による被害・脅威の例
大型の金銭被害事件はメール経由が目立ちますが、物理的な手口による被害や脅威もあります。
| 手口 | 詳細 |
| なりすまし電話による情報流出 | 病院で、医師を名乗る人物が研修医の氏名や携帯番号を問い合わせ、職員が正規の照会と誤認して個人情報を漏らした |
| オフィス・研究室への侵入 | 部外者が室内に入り込み、ログイン状態のまま放置されたPCを直接操作して情報を盗み出した |
| USBを悪用した攻撃 | 攻撃者が贈答品を装ったマルウェア入りUSBを企業へ郵送する |
これらは「入退室管理の甘さ」「離席時のPCロック忘れ」「正体を確認しない応対」といった、現場の運用の隙が突かれた例です。
純粋な物理侵入事件は公表されにくい側面もありますが、リスクが存在しないわけではない点に注意が必要です。
ネットワークも、物理も。セキュリティは「内と外」からまとめて守る
ソーシャルエンジニアリング対策なら、
ぜひ弊社トリニティーにお任せください。
防犯カメラもUTMの導入にも対応できます。
事件から見える共通点と被害リスク
複数の事例を振り返ると、共通するパターンと被害の深刻さが見えてきます。
本章では次の3点を整理します。
- 【この章で紹介する内容】
- ・想定される被害リスク
- ・攻撃が成功する共通パターン
- ・生成AIで巧妙化する最新動向
想定される被害リスク
ソーシャルエンジニアリングの被害は、一度の送金ミスにとどまらず、金銭・情報・信用へと連鎖的に広がるのが特徴です。
- 【代表的な被害】
- ・金銭的被害:BECやディープフェイク詐欺による数億円規模の不正送金
- ・情報漏洩:顧客・機密情報の流出による損害賠償・信用失墜・行政対応
- ・アカウント乗っ取り/マルウェア感染:ランサムウェアや情報窃取への発展
- ・間接被害:事業停止・ブランド毀損・取引先への波及
深刻なのは、これらが単独では終わらない点です。
たとえば一通の偽メールがマルウェア感染を招き、そこから情報漏洩・取引先への波及へと拡大すれば、最終的な損失は当初の金額をはるかに上回ります。
攻撃が成功する共通パターン
手口は違っても、攻撃が成功するまでの流れはどの事件もよく似ています。
- 【攻撃の共通手順】
- 1.標的を入念に調査する(SNS・公開情報の収集)
- 2.もっともらしい口実と信頼関係を構築する
- 3.「緊急」「権威」「好意」で判断力を鈍らせる
- 4.本来踏むべき確認手順を省かせる
時間をかけて状況を作り上げるのが攻撃者の常套手段です。
どこか一つの段階で違和感に気づき、一手間かけて確認できれば、攻撃を防げます。
生成AIで巧妙化する最新動向
生成AIの登場で、これまで詐欺を見破る手がかりだった「不自然さ」が消えつつあります。
- 【生成AIにより起こる変化】
- ・自然で説得力のある文章が瞬時に作れ、文面で見破れなくなった
- ・ディープフェイクで音声・映像まで本物そっくりに偽造できる
- ・経営者の声を合成する「ボイスクローン詐欺」も海外で報告されている
香港のディープフェイク詐欺が示すように、もはや「見て・聞いて確認したから本物だ」とは言い切れません。
だからこそ、五感での確認に頼るのではなく、登録済みの連絡先への折り返しや複数名承認といった「手続き」で正当性を担保する仕組みが、これまで以上に重要になります。
企業がとるべきソーシャルエンジニアリング対策
対策は「人・技術・物理」のそれぞれに講じる必要があります。
人的対策(教育・ルール策定)
まず行いたいのが、従業員の意識を高める教育です。
座学だけでは不十分で、標的型攻撃メールの模擬訓練など、安全な環境で「騙される経験」を積ませる実践的な訓練が効果的です。
あわせて、送金や情報開示のルールを明文化します。
- 【ダブルチェックの制度化が有効】
- ・メールで送金依頼が来たら、登録済みの電話番号にかけ直して本人確認する
- ・一定金額以上の振込には複数名の承認を必須にする
- ・「いつもと違う依頼には必ず確認の一手間をかける」文化を根づかせる
普段の業務に1手間加えるだけで、ソーシャルエンジニアリング対策になります。
技術的対策(多要素認証・メールセキュリティ)
次に技術的対策に取り組みましょう。
| 対策 | 役割 |
|---|---|
| 多要素認証(MFA) | パスワードが盗まれても不正ログインを防ぐ |
| メールセキュリティ | なりすまし・フィッシングメールを検知・遮断する |
| メール認証(SPF・DKIM・DMARC) | 送信元ドメインの正当性を検証する |
| UTM(統合脅威管理) | ファイアウォール・不正侵入防止・Webフィルタリングを集約し、入口で脅威を遮断する |
| ウイルス対策ソフト | フィッシングや偽USBで送り込まれたマルウェアの感染・実行を防ぐ |
| EDR | 万一感染しても、不審な挙動を検知して被害拡大を抑える |
| パッチ管理 | OS・ソフトを常に最新に保ち、脆弱性を塞ぐ |
万一の侵入に備え、最小権限の原則やネットワーク分離、ログ監視も有効です。
物理的対策(入退室管理・クリアデスク)
ショルダーハッキングやトラッシング、なりすまし来訪といったアナログな手口は、システムでは防げません。
- 【取り組みたい物理的対策】
- ・防犯カメラの設置による、不審者の侵入抑止と出入りの記録
- ・入退室管理の徹底と社員証の常時携帯
- ・テールゲーティングを防ぐ「一人ずつ認証して入室」の徹底
- ・離席時のPCロックとクリアデスクの習慣化
- ・廃棄書類のシュレッダー・溶解処理、記録媒体の物理破壊
- ・公共の場での覗き見防止フィルターの利用
仕組みの導入とあわせて、日々の習慣として定着させられるかどうかが成否を分けます。
インシデント発生を前提とした体制づくり
どれだけ対策を重ねても、被害をゼロにすることはできません。
そこで重要になるのが、「騙された後にどう動くか」をあらかじめ決めておくことです。
- 【インシデント対策】
- ・従業員が躊躇なく速やかに報告できる窓口・手順を整備する
- ・報告が早いほど、感染端末の隔離や口座差し止めの初動が間に合う
- ・インシデント対応フローを文書化し、定期的に訓練する
被害の大きさは、攻撃そのものよりも「気づいてからの初動の速さ」で決まります。
報告をためらわせない仕組みづくりが、結果的に損失を最小限に抑えます。
やってはいけない「逆効果」な対策
よかれと思って導入した対策が、かえってリスクを高めてしまうことがあります。
その典型が、罰則ばかりを強調する運用です。
「ミスをしたら罰せられる」と従業員が感じると、インシデントを隠そうとする心理が働き、報告が遅れて被害が拡大します。
大切なのは、犯人探しではなく、「誰でも騙される可能性がある」という前提に立つことです。
ミスを責めずに、素早く報告・対応できる風土をつくることが、最も効果的な防御につながります。
防犯カメラ・入退室管理でソーシャルエンジニアリングを防ぐ
ソーシャルエンジニアリング対策は、メールやシステムといったサイバー領域だけでは完結しません。
なりすまし来訪・テールゲーティング・トラッシング・ショルダーハッキングなど、多くの手口は物理的な空間で実行されます。
ここを物理セキュリティで固めることが、サイバー対策との両輪となります。
- 【この章で紹介する内容】
- ・防犯カメラによる抑止と記録
- ・入退室管理システムによる「共連れ」対策
- ・サイバー×物理の両輪で守る考え方
防犯カメラによる抑止と記録
防犯カメラは、物理的なソーシャルエンジニアリングに対して二重の効果を発揮します。
- ・抑止効果:「見られている」という意識が、なりすまし来訪や覗き見、ゴミ漁りを思いとどまらせる
- ・記録・追跡:万一侵入された場合も、いつ・誰が・どこに入ったかを映像で特定できる
受付・出入口・サーバー室・書類保管庫・廃棄物置き場といった重要箇所への設置が効果的です。
トラッシング対策として、廃棄物の保管エリアを撮影範囲に含めておくと、書類の持ち出しを検知できます。
入退室管理システムによる対策
なりすまし来訪や部外者の侵入を防ぐうえで有効なのが、電気錠を使った入退室管理システムです。
電気錠とは、電気を使って施錠・解錠ができる錠前のことで、鍵穴に鍵をさす通常の錠前よりもセキュリティ性が高く、遠隔で人の出入りを管理できます。
- 【主な特徴】
- ・屋外にも設置でき、外から建物への部外者の侵入を防止できる
- ・サーバールームや書庫、社長室など特定の部屋だけに設置し、一部の人物だけが入室できるよう設定できる
- ・テンキーのパスワード認証、カード認証、顔認証や指紋認証などの生体認証から、目的に応じて解錠方法を選べる
- ・入退室者の情報を記録でき、入退室ログを勤怠管理に活用することもできる
部外者の侵入防止だけでなく、内部の人物による重要情報の持ち出しの抑止にもつながります。
社内の人物の入室まで制限したい場合は、パスワードよりも、盗まれたり不正利用されにくい顔認証・指紋認証などの生体認証が安全です。
物理とサイバーをまとめて守る
ソーシャルエンジニアリングは、人の隙を突いてサイバーと物理の境界を自在に越えてきます。
- ・メールで侵入を試み、失敗すれば建物への潜入を狙う
- ・建物に侵入してUSBを仕込み、ネットワークへ入り込む
このように攻撃の入口が物理とサイバーの両面にまたがるため、対策も片方だけでは穴が残ります。
防犯カメラや入退室管理といった物理対策と、UTM・ウイルス対策ソフトといったサイバー対策は、本来一体で設計するのが理想です。
弊社トリニティーは防犯カメラを専門としながら、入退室管理システムやUTM、ウイルス対策ソフトまで取り扱っています。
物理とサイバーの両面をまとめて対策したいとお考えの方はぜひご相談ください。
ネットワークも、物理も。セキュリティは「内と外」からまとめて守る
サイバーセキュリティ対策が不安なら、
ぜひ弊社トリニティーにお任せください。
防犯カメラもUTMの導入にも対応できます。
よくある質問
最後にソーシャルエンジニアリングについてよくある質問を紹介します。
Q. ソーシャルエンジニアリングとは簡単に言うと何ですか?
人間の心理的な隙や信頼を悪用し、技術ではなく「人」を騙して機密情報を盗み出す攻撃手法です。
Q. ソーシャルエンジニアリングの代表的な例は?
なりすまし電話、フィッシングメール、ショルダーハッキング、トラッシング、ビジネスメール詐欺(BEC)などです。
Q. ソーシャルエンジニアリングは違法ですか?
他人を騙して情報を盗む行為は、不正アクセス禁止法や詐欺罪などに該当し違法です。
ただし、企業が許可を得て防御力を測る「ペネトレーションテスト」として実施する場合は合法です。
Q. サイバー攻撃のワースト(最多)の手口は?
フィッシングを起点とした攻撃、ランサムウェア、BECが常に上位を占めます。
その多くがソーシャルエンジニアリングを入口としています。
Q. 対策で最も重要なことは?
単一の対策に頼らず、人・技術・物理を組み合わせた多層防御を行うことです。
特に「重要な依頼は別経路で確認する」習慣が効果的です。
まとめ
ソーシャルエンジニアリングは、システムではなく「人」を標的にする攻撃です。
年金機構の情報流出、Coincheckの暗号資産流出、香港のディープフェイク詐欺などいずれも技術的防御の前段で人の隙が突かれました。
生成AIの進化で手口はますます巧妙になり、「自分は騙されない」という油断こそが最大のリスクです。
対策は人・技術・物理のそれぞれに講じましょう。
社内ルールや従業員への教育と並行して、サイバーセキュリティ、物理的なセキュリティも進めようと検討している方は、ぜひお気軽にお問い合わせください。
