ソーシャルエンジニアリングとは、人間の心理や行動を利用して、機密情報を不正に取得する攻撃手法です。サイバー攻撃の一部であるものの、技術的な手段よりもむしろ、ターゲットとなる個人の信頼や注意の隙を突く点が特徴です。攻撃者は、ターゲットを巧みに操作し、情報を直接要求するのではなく、例えば、上司や取引先を装ったり、困っているふりをして同情を引き出したりすることで、パスワードや個人情報を入手します。
ソーシャルエンジニアリングは、フィッシング(偽メールや偽ウェブサイトを利用して個人情報を盗む手法)やスピアフィッシング(特定の個人や組織をターゲットにしたより精巧なフィッシング)などの手法で知られています。攻撃者は巧妙にターゲットの信頼を勝ち取り、例えば、「あなたのアカウントが不正アクセスされました。至急パスワードを変更してください」という内容のメールを送ることで、ターゲット自身が自発的に情報を提供するように仕向けます。
DXが進む現代では、ソーシャルエンジニアリングは特に大きな脅威となっています。技術的なセキュリティ対策が高度化する一方で、攻撃者は人間の心理的な弱点を突く攻撃に注力しており、技術的な防御手段だけでは対策が十分とは言えません。特にリモートワークの普及に伴い、従業員が社外からアクセスするケースが増えたため、フィッシング攻撃の成功率が上がっています。