| 知らないと危険なプリテキスティング!仕組みや対策法を徹底解説 | |
|---|---|
| 作成日時 25/02/18 (08:50) | View 860 |
2017年、JALは取引先を装った攻撃者からのメールにより、約3億8千万円を不正な口座に振り込む被害を受けました。
これは「プリテキスティング」が企業にもたらす深刻なリスクを象徴する事件の一つです。攻撃者は、企業の取引先や関係者になりすまし、その信頼を利用して情報や金銭を奪う手口を用いました。
近年、SNSの普及や生成AIの発展により、プリテキスティングの精度が高まっています。インターネット上で集めた情報で容易になりすましができるため、今一度プリテキスティングに対する理解を深めなければいけません。
本記事では、プリテキスティングの仕組みや手法、対策法をわかりやすく解説します。
プリテキスティングは、近年巧妙化が進むソーシャルエンジニアリング攻撃の一種です。
そもそもソーシャルエンジニアリングとは、人間の心理的な隙を突いて情報を盗む攻撃全般を指します。技術的な手法に頼らないため、サイバーセキュリティ用のソフトウェアを導入しても防ぐことは困難です。
その中でもプリテキスティングは、架空の状況や背景(プリテキスト)を作り上げ、相手に信じ込ませることで情報を引き出す手口です。たとえば、攻撃者が企業の従業員に電話をかけ、「IT部門の者ですが、システム障害の対応でお客様情報が必要です」と説明し、顧客データを聞き出すケースが挙げられます。
この手法では、攻撃者が巧みに「架空の人物像」や「状況」を設定し、ターゲットをその物語に引き込むことで信憑性を高めます。プリテキスティングは主に電話やメール、対面で実行されますが、そのシナリオは千差万別です。
「上司になりすます」、「銀行員を装って個人情報を求める」など、日常に潜むさまざまな形で行われるため、私たち一人ひとりが注意を払う必要があります。
プリテキスティングが成立するまでには、以下の4つのステップがあります。
攻撃者はまず、ターゲットを騙すためのストーリーを作ります。このストーリーは、信頼を得ると同時に、ターゲットに「緊急性」や「重要性」を感じさせる内容が基本です。
【よく使われるシナリオ例】
l カスタマーサポートを装う
「こちらは〇〇銀行のサポートセンターです。不正アクセスが確認されましたので、至急ご対応をお願いします。」
l 上司になりすます
「〇〇社 xx部 部長です。急ぎで送金手続きを完了させる必要があります。」
l トラブルを演出する
「契約書類の期限が切れそうです。修正が必要なので、システムのログイン情報を教えてください。」
これらの設定によって、ターゲットに「対応しなければならない」と思わせる土台を作ります。
2. 信頼構築
攻撃者はターゲットの警戒心を解くため、信頼感を巧みに演出します。
具体的な手法は、専門知識の装い、内部情報の利用、親しみやすさの演出などです。こういった手法を用いて、ターゲットからの信頼を短期間で獲得します。
信頼関係が構築されると、攻撃者はターゲットに「急がなければならない」という心理を植え付けます。
たとえば、「この対応が遅れるとシステム全体が停止する可能性があります」と、差し迫った状況を演じることで、ターゲットに時間的なプレッシャーを与えます。
緊急性の演出により、ターゲットは冷静な判断を下せなくなる、または下すための時間が奪われるため、攻撃の成功確率が高まるわけです。
最終的に、ターゲットが具体的な情報提供や行動を取るように仕向けます。
この段階では、「確認のため、アカウント番号を教えていただけますか?」といった具合に自然な流れで要求が行われます。攻撃者はプリテキスティングで得た情報をもとに、システムに侵入して機密情報を盗むといったさらなる攻撃を実施する仕組みです。
プリテキスティングとフィッシングは、いずれもソーシャルエンジニアリング攻撃に分類され、情報を盗むという共通目的があります。しかし、両者はアプローチ方法や対象とする情報、使用される技術などで大きく異なります。
以下では、両者の違いを分かりやすく解説します。
プリテキスティングは、主に「直接的なコミュニケーション」を通じて情報を盗む手法です。攻撃者が電話や対面、またはチャットを利用し、相手とやり取りをしながら信頼を築き、情報を引き出します。
一方、フィッシングは、「間接的な手段」に依存します。主にメールやSMS(ショートメッセージサービス)、ソーシャルメディアを通じて、不正なリンクや偽のウェブサイトにターゲットを誘導し、情報を入力させる方法です。
プリテキスティングは、主に攻撃者のコミュニケーションスキルに依存します。相手を信じ込ませるための会話力や、偽のシナリオを構築する能力が重要です。
子供になりすまし高齢者をだます「オレオレ詐欺」はプリテキスティングですが、技術力はいりません。そのため、技術的なスキルがそれほど高くなくても攻撃を行えます。
フィッシングは、技術的な仕掛けが重要です。実際の銀行のウェブサイトにそっくりな偽サイトを作成するためには、それなりのウェブデザインやコーディングのスキルが必要です。また、大量のメールを送信するためのスクリプトやツールも用いられます。
プリテキスティングは、少数の特定ターゲットを対象にします。たとえば、大企業の役員やIT管理者など、重要な情報にアクセスできる人物を狙います。このため、事前に十分なリサーチを行うのが一般的です。
フィッシングは、数万人以上に同時にアプローチすることもあります。成功率が低いことを前提とし、大量送信による数打ち戦術で情報を盗むのが特徴です。
プリテキスティングは成功した場合、重大な損害を引き起こす可能性があります。なぜなら、攻撃者が狙うのは企業の内部情報や高価値な機密データであるためです。1件の成功が大規模な情報漏洩や金銭的損害につながるケースが多くあります。
フィッシングは、被害者の数が多い一方で、個々の被害額や影響は比較的少額であることが一般的です。しかし、規模が大きいため、総被害額が非常に大きくなることがあります。
プリテキスティングは、攻撃者がターゲットを騙して情報を引き出すためにさまざまな手法を使用します。ここでは、特に多く見られる3つの主要手法について、それぞれの特徴や具体的な実例、仕組みを詳しく解説します。
攻撃者がカスタマーサポート担当者を装い、ターゲットに電話やメールで接触します。
企業のサポート窓口を模倣することで信頼を得て、ターゲットが疑問を抱く前に情報を引き出すのが目的です。この手法は、銀行や通信会社、ITサービスなど、日常的に利用される企業を装うケースが多いです。
【具体例】
l 銀行のサポート窓口を装う:攻撃者が「不審な取引が検出されました。アカウントを保護するため、身分証明書番号とアカウント情報を確認させてください」と電話をかける。
l ITサポートを装う:「あなたのシステムにセキュリティリスクが見つかりました。直ちに対応が必要なので、リモートアクセスの許可をいただけますか?」といった形で情報を要求。
サポート窓口は顧客との信頼関係が前提とされるため、ターゲットは疑念を持ちにくいです。また、問題提示による緊急性を用いることで、ターゲットは判断力を失ってしまいます。
社長や取締役、経営陣、クライアントなどを装い、部下や取引先に対して情報提供や金銭の送金を要求する手法です。この手法は「ビジネスメール詐欺(BEC)」とも関連し、攻撃者は企業内部で実際に使用されている名前や肩書きを利用して、信頼性を高めます。
【具体例】
l 内部連絡を装うケース:「こちらは社長の田中です。至急、このプロジェクト関連の資料を外部パートナーに送ってください。」とメールや電話を通じて部下に指示する。
l 取引先を装うケース:「部長の指示で、支払い先口座が変更されました。新しい口座に送金してください。」と財務担当者に連絡を送る。
SNSの普及により、攻撃者は容易に個人情報を取得できるようになったため、役職者に成りすますプリテキスティングの精度が高まり、被害数が増えています。特に部下にとっては、拒否や疑念の目を向けることがはばかられるため、成功確率も高いです。
これは攻撃者が「今すぐ対応しなければ大きな損害が出る」などと緊急性を強調することで、ターゲットに冷静な判断をさせない手法です。この手法は他の攻撃手法と組み合わせて使われることが多く、特にプリテキスティングの重要な要素として機能します。
【具体例】
l 法的トラブルを装う:「あなたの口座が犯罪に使われている疑いがあります。すぐに確認作業が必要です。」と脅す。
l 重要な業務上の問題を装う:「サーバーに重大な障害が発生しました。管理者権限でログインできる情報を教えてください。」といった形で焦らせる。
人間は緊急時には冷静な判断が難しくなる傾向にあります。大きな損失やペナルティの可能性を示唆することで、ターゲットの判断を鈍らせ、行動を急がせるのです。
プリテキスティングが引き起こすリスクは非常に多岐にわたり、個人および企業に深刻な影響を及ぼします。主な被害を見ていきましょう。
攻撃者が企業の財務担当者に偽装の指示を送り、送金を操作するケースでは、数百万円から数億円規模の損害が生じることがあります。
個人の場合でも、銀行のカスタマーサポートを装った電話を信じて口座情報を漏洩した結果、預金が全て引き出されるといった事態が発生します。
これらの被害は、盗まれた資金を取り戻すための時間的コストや、専門家を雇うための追加費用をもたらし、問題解決を一層困難にします。
攻撃者がプリテキスティングを通じて得た情報は、第三者に販売されることが多く、その後の犯罪行為に利用されます。
例えば、ターゲットの名前や住所が詐欺的なクレジットカードの申請や不正な契約に使用されることがあり、結果として被害者は長期間にわたる問題解決を余儀なくされます。
企業の従業員情報が流出した場合、その情報をもとにさらなるサイバー攻撃の引き金となる可能性もあります。
プリテキスティングはまた、信頼喪失を招きます。情報漏洩や詐欺が公に知られれば、企業の顧客や取引先、従業員からの信頼は大きく低下します。
顧客が「この企業はセキュリティ対策が不十分だ」と判断すれば、サービス利用を控えるようになるのは当然の結果です。また、信頼を失った企業は新規取引先の獲得が難しくなるだけでなく、既存のパートナーから契約の見直しを求められる可能性もあります。
このような信頼回復には多大な時間とリソースが必要となり、事業運営に直接的な悪影響を及ぼします。
プリテキスティングによる情報漏洩は、法的リスクを引き起こします。
多くの国では、個人情報保護法やGDPR(一般データ保護規則)などの規制に基づき、企業が個人情報を適切に管理する義務を負っています。情報漏洩が発覚した場合、罰金や制裁措置が科される可能性が高く、被害者からの集団訴訟に発展することもあります。
特に大規模なデータ漏洩事件では、企業が数十億円規模の賠償金を求められるケースもあり、財務的な負担が大きくなるだけでなく、経営そのものが揺らぐ危険性があります。
プリテキスティングを防ぐためには、日常的な警戒心を持つことから、組織的な対策を講じることまで、さまざまなアプローチが必要です。以下では、企業が実施するべきプリテキスティング防止策を6つご紹介します。
怪しい連絡に警戒することは、プリテキスティングを防ぐ基本中の基本です。
突然の電話やメールで個人情報や業務に関する情報を求められた場合、それが不審なものである可能性を常に考慮する必要があります。
たとえ発信者が会社の名前や役職を名乗ったとしても、簡単に信じてはいけません。特に、緊急性を強調したり、早急な対応を求めたりする内容には注意が必要です。冷静に考える時間を持ち、少しでも疑念がある場合には、すぐに応じないことが肝心です。
電話やメールでの問い合わせに対し、個人情報や業務情報をすぐに提供することは避けるべきです。
攻撃者は信頼を装うことで情報を引き出そうとするため、「本人確認が必要」「緊急事態のため」という理由で情報を求めてくる場合があります。しかし、これらの要求に対して一歩立ち止まり、情報を提供する必要性が本当にあるのかを検討してください。
また、メールや電話での問い合わせに対しては、事前に決められた安全な手段でのみ応答する習慣を持つことが求められます。
直接確認を取るというプロセスも、プリテキスティング対策において効果的です。
例えば、問い合わせがあった場合、相手の身元が信頼できるものであるかを公式の連絡先を通じて確認します。企業内では、部門間の確認手続きや、公式のサポート窓口を通じた二重チェックが有効です。
特に送金やアカウント変更といった重大な決定が絡む場合は、必ず相手の意図を確認する手間を惜しまず、承認プロセスを明確にするようにしてください。
セキュリティ教育の徹底は、従業員や家庭内での重要な防御策です。
プリテキスティングの手口は年々進化しているため、最新の攻撃方法に関する知識を共有することが欠かせません。従業員に向けた定期的なセキュリティトレーニングを実施し、不審な連絡や行動の具体例を示すことで、攻撃に対する意識を高められます。
また、実際の攻撃を想定した模擬訓練を行うことで、従業員のスキルを実践的に向上させることも効果的です。
監視ツールの導入は、技術的な面からプリテキスティングを防ぐ強力な手段です。
不審なメールや電話を検知するためのAIベースの監視ツールや、異常な通信パターンを追跡するシステムの導入により、攻撃の兆候を早期に発見できます。また、アクセスログの監視や、不審な振る舞いを自動で警告する仕組みを整えることで、リスク低減が可能です。
これらのツールは、人間の判断では見落としがちな微細な異常も捕捉するため、人的対策を補完する役割を果たします。
最後に、連絡の確認手段を統一することも、効果的なプリテキスティング対策の一つです。
企業内で、公式な連絡手段を明確に定め、それ以外の方法での問い合わせに対しては慎重に対応する仕組みを作りましょう。例えば、社内では、メール以外に電話やチャットツールを併用する際のルールを統一し、公式アカウントのみを利用することを徹底するといった具合です。
これにより、不審な連絡が公式ルートを通さない限り信用されないという文化を築けます。
ソーシャルエンジニアリングの一種であるプリテキスティングは、巧妙なシナリオを用いて、個人情報や機密情報を盗み取る手法です。
人間の心理の脆弱性をついた攻撃のため、徹底した従業員教育が重要になります。容易に個人情報を渡さない、連絡手段の統一をするなどの対策を徹底しましょう。
しかし近年は、SNSや生成AIの発展により、より精度の高いプリテキスティングが増えています。そのため、社員のセキュリティ意識を高めても、確実に防ぐのが難しいのが実情です。
そこで重要になるのが、被害を最小化する対策。
サイバー攻撃者は盗んだ情報をダークウェブで売買します。つまり、ダークウェブを定期的に監視することで、自社の流出状況を迅速に把握し、適切な対策を講じられるのです。
弊社のダークウェブ監視ツール「StealthMole(ステルスモール)」では、リアルタイムのダークウェブ情報を検索し、漏洩状況を即座に把握できます。ぜひ、今すぐ無料デモへとお申し込みいただき、御社の流出状況を確認して、迅速な対応を講じていただければ幸いです。
