用語集
プリテキスティングとは?仕組みと対策

プリテキスティングとは?仕組みと対策

ソーシャル エンジニアリングから身を守る方法 サイバーセキュリティ無料アセスメントを受ける

目次

プレテキスティングは、攻撃者が巧妙なシナリオを用いて個人から機密情報を引き出す手法であり、サイバーセキュリティ領域において深刻な懸念事項となっています。プレテキスティングは高度なソーシャル エンジニアリングの一種であり、組織のセキュリティ態勢に重大な課題をもたらします。したがって、このように計画的に仕組まれた詐欺行為に対抗するためには、効果的な防御戦略の構築が不可欠です。

サイバーセキュリティ教育とトレーニングを始めましょう

無料トライアルを始める

無料トライアルのお申し込み手順

  • 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
  • 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
  • プルーフポイントのテクノロジーを実際にご体験いただきます。
  • 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。

フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。

Proofpointの担当者がまもなくご連絡いたします。

プリテキスティングとは?

プリテキスティングとは、攻撃者が偽のIDや架空のシナリオを作り出し、被害者に機密情報を漏らさせたり、制限されたシステムへのアクセスを許可させたり、通常行わない行動をとらせるためのソーシャル エンジニアリングの攻撃方法の一種です。

パニックや緊急性を引き起こすことに頼るフィッシング攻撃とは異なり、プリテキスティングは通常、丁寧に構築されたストーリーや背景の説明を通じて目標となる人物との信頼関係を構築することを含みます。これらの攻撃の成功は、攻撃者が十分に正当で信頼できる人物と見せる能力にかかっており、被害者が防衛態度を下げることを狙います。

攻撃者は、選んだストーリーに関連する背景情報を入念に収集し、シナリオ作りに時間を費やします。この準備フェーズでは、組織の構造、従業員の役割と責任、そして潜在的なターゲットに関する公開されている個人情報を調査することが含まれるかもしれません。この知識を武器に、攻撃者は、パスワード、金融詳細、または他の機密データの共有を要求する説得力のあるストーリーを作り出します。 例えば、内部ITスタッフが定期的なセキュリティチェックを行うふりをするなどが含まれます。

プリテキスティングの実行は、技術サポート担当者の名目でパスワードのリセットを求めるシンプルな電話から、オフィスのリソースから離れた場所で特定のドキュメントへの緊急アクセスを必要とする会社の役員を偽装した複雑な計画まで、複雑性は幅広くあります。その洗練度に関わらず、各プリテキスティングは人間の心理を利用して信頼関係を築き、権威を感じさせることを試みます。プリテキスティングを防ぐには、組織や個人がこのような詐欺的な戦術に対して常に警戒することが重要となります。

プリテキスティングとフィッシングの違い

プリテキスティングとフィッシングは、いずれも個人が機密情報を漏洩させるように騙すために設計されたソーシャル エンジニアリング技術ですが、それぞれ異なる方法論と心理戦術を用いて操作します。

フィッシング

フィッシング攻撃は、その広範なアプローチが特徴で、通常は多数の潜在的な被害者に対して一斉に送信されます。これらの通信はしばしば緊急性や恐怖を感じさせ、受信者が素早く行動するよう促します。例えば、悪意のあるリンクをクリックさせたり、徹底的な検証なしで機密情報を提供させようとします。

フィッシング試行は通常、個別には行われません。これは攻撃者が平均法則に依存しており、わずかなパーセンテージしか反応しなくても、それでも有用なデータやアクセスを得ることを期待しているからです。

プリテキスティング

プリテキスティングは、攻撃者が特定の被害者に対して詳細な背景やシナリオを作成するために時間を費やす、よりターゲット指向のアプローチを含んでいます。フィッシングが緊急の行動呼び掛けを伴うメッセージを通じて対象からの即時的な感情的反応に依存している一方で、プリテキスティングは、感度の高い情報の要求を正当化する詳細な話を通じて、対象との信頼を時間をかけて築き上げます。

攻撃者は、提供されるコンテクスト内で正当なIDや役割を装うものとします。これは、信ぴょう性を高めるために被害者についての広範な調査を必要とするプロセスです。

プリテキスティングとフィッシングは個人または組織のセキュリティ境界を崩すために人々を欺くことを目指していますが、その実行方法は大きく異なります。フィッシングは広範囲に網を広げ、急いでいるか恐怖を感じている人々が何かに飛びつくことを期待しています。一方、プリテキスティングはターゲットをよく研究した上で説得力のあるストーリーを作り上げ、それらを合法性と信頼性を通じてじわじわと引き寄せます。

プリテキスティングの仕組み

プレテキスティング攻撃は、綿密に計画された一連のステップを通じて展開されます。各ステップは、攻撃者の信頼性を高め、被害者に機密情報を開示させたり、特定の行動を取らせたりすることを目的として設計されています。

  1. 研究と情報収集 : この初期段階では、対象となる個人や組織についての詳細な研究が行われます。攻撃者は公的データベース、ソーシャルメディア プラットフォーム、企業のウェブサイト、その他の公開情報源を駆使して、詳細な情報を集め、自分の偽装をより説得力のあるものにします。この準備段階は、潜在的な被害者と共鳴するような信憑性のあるストーリーを作り上げるためには欠かせません。
  2. シナリオの作成 : 十分な背景知識を持った攻撃者は、ターゲットに合わせた現実的なシナリオを展開します。このストーリーでは、ITスタッフが定期的なチェックを行ったり、財務監査員が機密の口座情報を要求したり、あるいは警察官が緊急事態についてただちに協力を求める等、組織内部または外部の誰かを装うことが含まれているかもしれません。この段階の成功は、特定の情報が必要な理由を正当化するストーリーにかかっています。
  3. 信頼の構築と権威の確立 : ターゲットに接触すると、たとえば電話やメール、あるいは対面でのやり取りを通じて、攻撃者は自分が装っている役割の中で信頼関係を築き、権威を確立するために心理的なテクニックを駆使します。また、事前の調査で収集した具体的な情報に言及することで、より信憑性を高め、被害者の警戒心を和らげようとします。
  4. 要求の実行 : 偽の前提で信頼関係を確立した上で、攻撃者は、機密データ(例:パスワード)、アクセス許可(制限されたシステムへの)、個人識別番号(PIN)、財務記録などを直接要求します。または、被害者がセキュリティ対策をさらに侵害するために有益な行動(リモート デスクトップ プロトコルの有効化など)を行うよう説得します。
  5. データ収集と撤退戦略 : アタッカーは敏感な情報を無事に入手すると、それを慎重に収集し、保管します。これには、金融口座へのアクセス、セキュアなシステムへの侵入、またはデータを他の悪意ある当事者に販売するといった意図した用途が含まれる可能性があります。撤退戦略は、彼らに繋がる痕跡を最小限に抑えるために精密に実行され、任意の怪しい活動が検出された時点で、既に彼らは跡を消して明確な道筋を残さずに退出していることを保証します。

プリテキスティングは、詳細なリサーチとカスタム化された物語を利用して、ターゲットとの信頼と権威を築くために、綿密な計画と心理的な操作を融合させます。

プリテキスティングの事例

プリテキスティングは、非常にダイナミックなスキームで、多くの場合、ソーシャル エンジニアリングの組み合わせを伴います。プリテキスティングの最も注目すべき実世界の事例には以下のようなものがあります。

  • Hewlett-Packardのプリテキスティング事件(2006) : HPは、プリテキスティングの技術を通じて彼らの電話記録を取得するために、独自の取締役会メンバーやジャーナリストになりすます調査員を雇いました。この事件はプリテキスティングの法的および倫理的な意義を強調し、個人の記録を取得するためのこの種のソーシャル エンジニアリングの戦術の使用に関する米国法改正を促しました。
  • Ubiquiti networks詐欺(2015) : 偽装者がUbiquiti Networksの高官を装い、従業員に対して自身の銀行口座に資金を送金するよう要求するメッセージを送りました。この複雑なソーシャル エンジニアリング攻撃の結果、同社は4670万ドルの損失を被りました。
  • Twitterアカウントの乗っ取り (2020) : ハッキング、プリテキスティング、スピアフィッシング攻撃の組み合わせを利用し、脅威の主体者はTwitterの従業員を誤ってアカウントの資格情報を明らかにさせ、攻撃者がバラク・オバマやカニエ・ウェストのような高プロフィールのアカウントを制御することを可能にしました。このケースは「サイバーセキュリティ教育、研究および実践ジャーナル」で強調されました。

プリテキスティングの例には、特定のターゲットプロファイルや攻撃ベクトルも関与します。以下は、プリテキスティングに頼ることが多い詐欺です。

  • アカウント更新詐欺 : 被害者は自分の銀行から個人情報を求める偽のメッセージを受け取り、ログイン情報を盗むために設計された詐欺的なウェブサイトに導かれます。
  • ビジネスメール詐欺(BEC) : BEC攻撃では、脅威のアクターが高位の役職者を偽装して緊急の送金や機密情報を要求します。これは組織内の信頼を悪用しています。
  • 祖父母詐欺 : 詐欺師たちは、親族が急に金銭的な助けを必要としていると偽装して、高齢者の感情的な脆弱性を利用し、金銭的な利益を得ます。
  • ロマンス詐欺 : 詐欺師たちは偽のデートプロフィールと架空の物語を使用してオンラインで関係を築き、偽の非常事態を理由にお金を要求します。ロマンス詐欺は頻繁に国際的な範囲で大きな財政的損失を引き起こします。
  • IRS/政府の詐欺 : 偽装者は被害者が税金を負っており、法的措置の脅威の下で直ちに支払う必要があると主張し、直接お金や機密データを取得するために恐怖戦術を使用します。
  • 暗号通貨詐欺 : 投資の専門家を装う詐欺師たちは、暗号通貨投資に対する高いリターンを提供する偽の機会を提示します。被害者が暗号通貨を詐欺師のアカウントに移転させると、暗号通貨の匿名性と分散性のため、復旧はほぼ不可能になります。
  • テックサポート詐欺 : 攻撃者は、よく知られた企業のテックサポート担当者を装い、被害者のコンピュータはマルウェアに感染していると主張します。彼らはユーザーをだましてリモートアクセスを許可させたり、不要なソフトウェア修復のための支払いをさせたりします。
  • 求人詐欺 : 詐欺師たちは偽の求人リストを掲載したり、直接連絡して高収入の職を提供したりします。被害者は、トレーニングや背景調査のための前払い料金を求められますが、実際にはその求人は存在しません。

さまざまな手口を用いたプリテキスティング詐欺は、情報やお金を求める予想外の要求に対して特に、警戒心と懐疑的な態度が重要であることを強調しています。鋭いセキュリティ意識を持ち、これらのコミュニケーションの真正性を確認する時間をとることで、大きな財務的・評判的なダメージを防ぐことができます。

プリテキスティングと法律

詐欺的な手段で情報を入手する行為であるプレテキスティングは、不道徳なだけでなく、多くの管轄区域で法的規程に明確に反しています。この慣行は通常、電話記録や財務情報などの機密個人データをターゲットにし、法律が明示的に前提とする質問を禁止している領域です。

例えば、2006年の「電話記録およびプライバシー保護法」は、許可なく電話記録を取得するための偽装行為を明確に連邦犯罪とします。この立法は、プライバシー侵害や不正なデータアクセスに対する懸念が高まっていることへの直接的な対応として導入されました。

同様に、1999年の「グラム リーチ ブライリー法(GLBA)」では、消費者の金融情報のプライバシー保護を目的とし、虚偽の前提、すなわちプリテキスティングを用いて個人の金融情報を取得する行為を違法と定めています。さらにこの法律は、他者に対して不正な手段でこうした情報を取得するよう勧誘する行為も禁止しており、その適用範囲を拡張しています。

これらの行為は、米国の法律がこのような詐欺的な行為をどれだけ真剣に見ているかを強調し、消費者のプライバシーとセキュリティを保護する明確な境界を設定します。

プリテキスティング対策

プリテキスティングを防ぐには、従業員教育、堅固な認証プロセス、そして厳格なデータアクセス管理を融合させた多角的なアプローチが必要です。

従業員のトレーニングと意識向上

プリテキスティング攻撃に対する最も効果的な防衛策の一つは、教育された警戒心の強い従業員です。組織は定期的なトレーニングセッションを実施し、プリテキスティング詐欺の性質、不正なリクエストの一般的な指標、そして敏感な情報が関与するインタラクションにおける懐疑心の重要性について従業員を教育すべきです。

厳格な検証プロセスの実施

組織は、電話やメールでの身元確認に厳格なプロトコルを設けるべきです。特に、個人情報や企業データへのアクセスを要求するような通信では、当事者間だけで知っている秘密の質問を含むプロトコルや、正式にリスト化された番号を通じての折り返しを要求する可能性があります。

機密情報へのアクセス制限

あなたの組織のすべてのレベルで最小権限の原則(PoLP)を適用し、各個人がそれぞれの職務に必要な情報のみにアクセスできるように確実にしてください。どの情報に誰がアクセスできるかを厳格にコントロールすることで、攻撃者が会社内の誰かを騙すことに成功しても、潜在的な被害を最小化することが可能です。

高度なシミュレーション演習

基本的なトレーニングを超えて、シミュレーション演習を取り入れることで、従業員たちが攻撃を認識し、対応する能力を研ぎ澄ませることが可能になります。システムにアクセスする際にセキュリティプロトコルを思い出させるログインバナーの使用や、最近の詐欺トレンドをハイライトした定期的なメールの送信は、サイバーセキュリティを常に意識するための手段となります。

多要素認証(MFA)

すべてのシステムに多要素認証を展開することで、追加の確認ステップを追加し、パスワードが侵害された場合のリスクを軽減します。MFAは、機密情報や重要なインフラストラクチャへのアクセスにおけるセキュリティレベルを高めます。

注意すべきサインに対する警戒

従業員が潜在的なフリを見分けるための訓練を行います。急を要する要求、既知の連絡先と比べてメールアドレスが一致しない場合、または通常の業務プロセスから外れた通信などがあります。これらの警告信号を早期に認識することで、より深刻なデータ侵害へのエスカレーションを防ぐことができます。

ポリシーの確立

人事(HR)部と法務部と協力して、偽装詐欺に対する予防策を詳細に述べた包括的なポリシーを作成し、また従業員が疑わしい事案をどのように報告すべきかについての明確なガイドラインを作ります。これらのポリシーは、従業員が誤って詐欺に巻き込まれる後処理を管理し、被害を軽減するために迅速に対応できるようにするのに役立ちます。

内部脅威管理ソリューション

あなたのネットワーク内でユーザーの行動パターンを継続的に監視するように設計された、Proofpoint ITM (Insider Threat Management) ソリューションを導入します。このソリューションは、通常の操作からデータ転送やアクセス要求のような活動をフラグし、成功したプリテキスティング試行により内部の脆弱性が悪用されて大きな被害が発生する前に、迅速な調査と応答を可能にします。

プリテキスティングに対するソリューション

プルーフポイントはサイバーセキュリティ ソリューションの最前線に立ち、サイバー脅威に対抗して組織を強化するための包括的なサービスを提供しています。プルーフポイントは、プリテキスティングやソーシャル エンジニアリング攻撃に対する保護を支援するためのいくつかのソリューションを提供しています。

  • Proofpoint TAP (targeted Attack Protection) : Proofpoint TAPは、組織が攻撃者より一歩先んじて行動するために、高度な脅威を検出し、分析し、メールの受信トレイに到達する前にブロックするのに役立ちます。これには、サンドボックス、さまざまなファイルタイプの分析、ランサムウェア、フィッシング攻撃、その他のメールの脅威に対する保護などの機能が含まれています。
  • Advanced BEC Defense : このソリューションは、NexusAIによって動力を供給され、侵害されたアカウントからの支払いリダイレクトやサプライヤーの請求書詐欺を含むさまざまなメール詐欺を停止するために設計されています。このソリューションはAIと機械学習を使用して、メッセージ ヘッダー データ、送信者のIPアドレス、メッセージ内容などの複数のメッセージ属性を分析することでBEC攻撃を検出します。
  • Proofpoint ITM (Insider Threat Management) : Proofpoint ITMは、組織がリアルタイムでリスクのあるユーザー活動を検出し、事故を迅速に調査し、データ損失を防ぐのに役立ちます。これらのソリューションは、チームがインサイダー脅威リスクを効果的に管理し、偽装やフィッシング詐欺に対する防御を可能にします。

これらのプルーフポイントのソリューションを活用することで、組織は前提攻撃や創造的なソーシャル エンジニアリングを使用する他の高度な脅威に対するセキュリティ姿勢を強化することができます。

詳細については、プルーフポイントにお問い合わせください。

関連資料

ブログ

Unfollow: Pretexting and Phishing on Social Media

ブログ

Guardians of the Digital Realm: How to Protect Yourself from Social Engineering

ブログ

Social Engineering: Does the Medium Matter?

See more resources

無料トライアル

まずは無料のトライアルをお試しください

無料トライアルのお申込み
Previous Glossary
Next Glossary