フィッシングは、企業や個人が直面するセキュリティ問題の上位に入る。これまでの試みでは、偽のウェブサイトや電子メールを使って個人情報を収集していた。こうした試みは依然として深刻で危険なものだ。しかし、現在では、口実詐欺のような新しいアプローチが普及している。
ほとんどの人がそうであるように、あなたも口実詐欺とは何だろうと思うかもしれない。これらの ソーシャル・エンジニアリング ハッカーが被害者に個人データを共有するよう説得することで発生します。他の一般的な手口とは異なり、これらの詐欺は標的を絞って行われるため、被害者がその脅威に気づくのは非常に困難です。このような詐欺のケースは、以下のように増加しています。サイバー攻撃者がソーシャル・エンジニアリング攻撃人間の脆弱性を利用し、その手口を洗練させるためである。
主なポイント
- プレテクスト詐欺とは、詐欺師が説得力のある裏設定やシナリオを作成し、個人を操作して機密情報を共有させるソーシャル・エンジニアリング攻撃である。
- このような詐欺は、技術の進歩、オンラインデータの利用可能性、リモートワークへのシフトのために増加している。
- 口実詐欺の一般的な例としては、銀行員、技術サポート担当者、政府関係者になりすますことなどがある。
- その結果、金銭的損失、風評被害、精神的苦痛が生じ、組織はデータ漏洩や信頼の失墜に直面することになる。
- 緩和策としては、従業員教育、高度な電子メールセキュリティツール、多要素認証(MFA)などがある。
口実詐欺とは何か?
プレテクスト詐欺は、攻撃者が個人情報を漏らすように個人を操作するために、人を欺くメールを送るというものである。他の詐欺とは異なり、人間の心理を狙います。攻撃者は、銀行の行員のような信頼できる人物を装います。
彼らの焦点は、説得力のある裏話を作り出すことだ。そのため、攻撃者はあなたの信頼を悪用することになり、危険なのです。攻撃者は、一般に入手可能な情報や過去の侵害から収集した情報を使って、自分たちのストーリーを信用できるものにすることができる。
口実詐欺の例
このような詐欺の一般的な例には、以下のようなものがある:
- 既知の人々の非人格化:警察官や税務署員のような既知の人物を装うことができる。例えば、国税庁を名乗って電話をかけてくることもある。
- 技術サポート詐欺:これらの詐欺師は、一般的に有名な技術系企業の社員を装っている。彼らは大抵の場合、あなたのデバイスがウイルスに感染していると主張し、それを修理するよう持ちかける。
- 銀行詐欺の電話:詐欺師は、銀行の職員になりすますこともあります。彼らはあなたの口座に不審な動きがあると主張します。
なぜ口実詐欺が増加しているのか?
このような詐欺の増加には、次のような要因がある:
1.新しいイノベーション
技術革新は、ビジネス・セキュリティにプラスとマイナスの両方の影響を与える。新しいシステムによって、企業はデータやネットワークをよりよく保護できるようになった。しかし、残念なことに、それは同時に問題ももたらしている。攻撃の成功件数が増加している背景には、いくつかの技術革新がある。攻撃者が個人情報を入手し、ユーザーを納得させることが容易になったのだ。
このような詐欺を強化する重要な進歩は、オンライン上の個人情報の存在である。インターネットにアクセスする人が増えたということは、大量のユーザー・データが入手可能になったということだ。そのため、ハッカーはターゲットの詳細を容易に入手し、説得力のある文章を作成することができる。例えば、学生が無意識のうちに個人情報をソーシャル・メディア・プラットフォームで共有し、それを詐欺師が友人や教授になりすまして、ログイン認証情報や財務情報などの機密情報を偽って要求することがあります。このような場合、"論文を書いてほしい"とか、"急な頼みごとを手伝ってほしい "といった要求が含まれる可能性がある。
AIと機械学習は、攻撃者が戦略を洗練させることも可能にしている。これらのツールは、大量のデータを数秒で分析することができる。また、ハッカーはこれらのソリューションを使って、特定の人に合わせた偽のメッセージを作成することもできる。こうした進化により、被害者が攻撃者の要求に応じる可能性が高まる。
通信プラットフォームも、口実詐欺事件の増加に一役買っている。より多くの人々が、個人的な用事やビジネス上の用事を済ませるためにコミュニケーション・プラットフォームを利用している。そのため、攻撃者が個人とビジネスのネットワークにアクセスする機会が生まれる。このような方法には、直接会って行う方法のような人間味はない。そのため、攻撃者が信頼できる人物のふりをするのは簡単です。
2.リモートワークの採用
物理的なオフィス以外で働くことは、職場環境において新しい概念ではない。パンデミック(世界的大流行)の際に、一時的なオプションとして始まった。今ではほとんどの企業がこのワークモデルを受け入れている。この働き方にはいくつかの利点がある一方で、セキュリティ上の新たな課題も生じている。
自宅で仕事をするということは、もはや安全なオフィスネットワーク内で仕事をすることではありません。代わりに、自宅のインターネット・ネットワークやクラウド・アプリに頼って仕事をこなすことになる。また、ほとんどの従業員は個人所有のデバイスを好んで使用している。この変化によって、企業はさまざまな攻撃にさらされている。ハッカーは、直接会って証明するものがないことを悪用する。これにより、彼らは遠隔地の従業員に詐欺的な要求を信用させることができる。
個人的な交流がないため、犯罪者は会社の人間を装うことができる。つまり、ログイン情報を共有するよう従業員を説得できるのだ。リモートワークはまた、オンライン・コミュニケーション・オプションやクラウドに依存することを意味する。こうしたツールは便利な反面、口実詐欺の絶好の機会を作り出してしまう。
口実詐欺は、既知の人物から来たように見せかける説得力のあるメッセージに頼ることが多い。例えば、攻撃者は人事部門になりすましてメールを送ることがある。在宅勤務の従業員はこのような要求を確認できないため、おそらく応じてしまうだろう。
それはさておき、リモートワーカーは孤立によるプレッシャーやストレスに直面している。ハッカーはこうしたプレッシャーを悪用し、詐欺に危機感を煽る。例えば、会社のIT従業員や上司になりすます。緊急のセキュリティ・アップデートのために、従業員のデバイスへのリモート・アクセスを要求することもできる。その切迫感は、正当性を確認することなく、従業員を納得させ、行動させることができる。また、従業員はこれらの要求を直接確認することもできません。
企業はこれらのリスクを軽減するために、いくつかの戦略を検討すべきである。MFA、定期的なトレーニング、強化された CSPMの取り組みが効果的である。適切な戦略をとることで、企業はこのようなリスクを負うことなくリモートワーク・モデルを受け入れることができる。
口実作りの影響とは?
これらの詐欺は、個人、組織、政府に大きな影響を与える。成功した詐欺の影響には以下が含まれる:
- 金銭的損失: これらの攻撃は、しばしば直接的な金銭的損失につながる。ハッカーは盗んだ情報を使って取引を承認する。
- 風評被害:ターゲットは深刻な風評被害を被る。データ漏洩は顧客の信頼を失い、長期的なブランド毀損につながる。
- 精神的ストレス:詐欺の被害者は不安を感じ、侵害されたと感じる。詐欺から立ち直ることは精神的な負担となる。
口実詐欺を防ぐ方法
口実攻撃を検知するのは非常に難しい。しかし、企業はこうした攻撃を軽減するためのさまざまな戦略を検討することができる。それらには以下が含まれる:
従業員の意識向上とトレーニング
ネットワークやシステムのセキュリティ戦略には、従業員のトレーニングが欠かせません。従業員には、詐欺やその他の脅威を識別する能力を身につけさせる必要がある。トレーニングは、従業員がハッカーが使用する様々な手口を特定できるようにすることに重点を置くべきである。
フィッシング攻撃は、技術的な問題ではなく、人間の失敗に焦点を当てている。このため、従業員はセキュリティ・チェーンの中で最も弱いリンクとなり、攻撃者はこの理由で従業員を標的にする。犯罪者は従業員に影響を与え、個人情報を共有させたり、制限されたシステムにアクセスさせたりする。十分なトレーニングを受けていない従業員は、こうした詐欺の被害に遭う可能性がある。これにより、従業員の個人情報や会社のデータが危険にさらされることになる。
効果的なトレーニングは、さまざまな攻撃形態について従業員に教えることから始まる。それぞれのタイプにはユニークな特徴があるが、相手の感情を巧みに利用している。ほとんどの攻撃は、恐怖や切迫感を植え付けることに重点を置いている。従業員は、これらの攻撃の一般的な兆候を識別する方法を学ぶ必要があります。
高度な電子メールセキュリティソリューションを使用する
電子メールは最もよく使われるコミュニケーション手段の一つである。そのため、攻撃の主要なベクトルとなっている。企業は、防御の層を提供する高度な電子メール・セキュリティ・ソリューションを受け入れるべきです。
高度なソリューションは、AIを使用してハッキングの試みを検出し、ブロックします。これらの技術ソリューションは、大量のメールデータを数分で分析することができます。企業は不正行為を示すパターンを学習することができます。例えば、AIは電子メールのヘッダーや添付ファイルのバリエーションを識別することができます。また、AIは常に新しいトリックを学習し、ハッカーの変化する戦術に適応します。
多要素認証の利用
機密性の高いアカウントやデータを保護するには、これまでのパスワードベースのオプションでは十分ではありません。多要素認証(MFA)は、ユーザーが様々な方法で本人であることを確認することを要求する。例えば、ユーザーはパスワードとセキュリティ・トークンや顔IDを必要とする。このアプローチは、見知らぬ人からのアクセスのリスクを軽減する。
セキュリティの強化は、MFAの重要な利点である。パスワードがあっても、アクセスするためにはより多くの認証情報が必要だ。このためMFAは、総当たり攻撃を含むあらゆる攻撃に対して安全である。MFAには課題もある。例えば、複雑だと思われるためにMFAに抵抗するユーザーもいる。
巻末資料
口実攻撃の急増は、それがいかに複雑なものであるかを示している。残念ながら、攻撃者の手口はますます巧妙になっています。自分の情報を守るために、積極的に対策を講じるべきです。強力なセキュリティ・ポリシーを導入することで、こうした詐欺の被害に遭うリスクを減らすことができます。
よくある質問
口実作りとフィッシングの違いは?
どちらも詐欺の手口ではあるが、アプローチは異なる。プリテクスティングは、偽のメールを使い、相手に個人情報を提供するよう説得する。一方、フィッシングは電子メールのようなマスコミュニケーションを利用し、被害者を騙して有害なリンクをダウンロードさせたりクリックさせたりする。
フィッシングにおける口実の例とは?
その典型的な例が、攻撃者が電子メールでIT技術者のふりをする場合だ。彼らはしばしば、問題を解決するためにあなたのアカウントにアクセスする必要があると主張する。
口実ルールとは?
これは、個人情報への不正アクセスから消費者を保護するための法律の規定である。この規則によれば、口実など偽りの口実を用いて、無実の個人や組織からデータを入手することは違法である。
なりすましと口実作りの違いは?
どちらも関連する詐欺である。しかし、なりすましは、信用を得るために直接他人を装う。例えば、詐欺師があなたに話しかける際に銀行職員のふりをする。
ユニフォームを着ることや権威を利用することが口実なのか?
制服を着ることは、こうした詐欺の一部である。しかし、口実づくりは外見にとどまらない。信じられる状況を作り出すことも含まれる。
- 自動ペンテストツールが電子メールとサイバーセキュリティにどのような革命をもたらすか- 2025年2月3日
- MSPケーススタディ:Hubelia、PowerDMARCでクライアント・ドメインのセキュリティ管理を簡素化- 2025年1月31日
- 2025年のMSP向けDMARCソリューション・トップ6- 2025年1月30日