口実とは、サイバーセキュリティにおいて、個人を騙して機密情報を漏らさせたり、通常行わない行動を取らせたりするために用いられるソーシャルエンジニアリングの手法の一つです。攻撃者は通常、被害者の信頼を獲得し、目的の行動を取るよう説得するために、偽の口実、つまりでっち上げられたストーリーを作成します。
口実攻撃は、信頼できる権威者(銀行の担当者など)、技術サポート担当者、注文を完了するために機密情報を必要とするベンダーなどを装うなど、さまざまな形で行われることがあります。攻撃者は、緊急性を装ったり、重要性を強調したり、被害者が知っている人物や信頼する人物になりすましたりするなど、さまざまな方法で被害者を説得することがあります。
いったん説得された被害者は、パスワードや口座番号などの機密情報を開示したり、コンピュータにマルウェアをダウンロードしてインストールしたり、悪意のあるメールの添付ファイルを開いたり、フィッシングサイトにアクセスしたりするなどの行動をとることがあります。
毎年7100万人以上がサイバー犯罪の被害を受けています。コンパイルテック.
口実攻撃は、ソフトウェアやハードウェアの技術的な脆弱性ではなく、信頼や社会的規範といった人間の脆弱性を利用することが多いため、検知が困難な場合があります。そのため、個人および組織は、予期せぬ要求や異常な状況に応じて機密情報を共有したり、行動を起こしたりする際には、警戒心を持ち、慎重に行動することが重要です。
サイバーセキュリティにおけるPretexting -定義と概要
プリテクスティングとは、口実を使って他人の個人情報にアクセスする詐欺の一種です。なりすまし、なりすまし詐欺、なりすまし詐欺とも呼ばれることがある。
攻撃者は口実作りを採用する。 ソーシャルエンジニアリングを使い、正当な理由があると信じ込ませることで、あなたから欲しいものを手に入れようとします。
犯罪者は、なりすましやフィッシングなどのソーシャルエンジニアリングと、もっともらしく聞こえる口実や作り話を組み合わせて、犯罪を行うことがあります。
口実とは、攻撃者が機密情報へのアクセス権を取得したり、金銭を提供させたりするために用いる手口のことです。テキストメッセージ、電子メール、電話、直接の面談など、電子的または口頭によるあらゆるコミュニケーションが、口実作りに利用される可能性があります。
口実攻撃者は、信頼できる人物からのメッセージだと思わせるような説得力のあるストーリーを作り上げなければなりません。
プリテクスチャーの攻撃手法
ハッカーは、お客様から財務情報や個人情報を取得しようとする際に、一般的に口実をつけて使用します。彼らは次のような手口を使います。
フィッシング攻撃
フィッシングとは、電子メールを利用して被害者を誘い出し、パスワードやクレジットカード情報などの個人情報を開示させる詐欺の手法のことです。電子メールは、銀行やオンラインショップなど、正規の企業から送信されたように見せかけることができます。その目的は、被害者にメール内のリンクをクリックさせ、詐欺師が設定した偽のウェブサイトへ誘導することです。
関連記事 フィッシングとスパム
テールゲーティング
テイルゲート は、攻撃者が他人の認証情報を使用して建物や施設に不正にアクセスするソーシャルエンジニアリング攻撃です。これを行うには、攻撃者は、正規のアクセス権を持つ人の後ろをぴったりとついていき、その人のIDバッジを使って同じドアから入室するのです。
ピギーバック
ピギーバッキング は、権限のない人が他の権限のある人(または車両)の上に乗って、安全な施設にアクセスするソーシャルエンジニアリング攻撃です。ピギーバッキングは、本人の同意の有無にかかわらず実行することができる。例えば、攻撃者は他人の車の上に乗り、安全な施設に入ることを許可されているかのように入ることができる。
スケアウェア
スケアウェアとは、偽のメッセージや警告を表示し、コンピューターがウイルスやスパイウェアに感染していると思わせる悪質なソフトウェア(マルウェア)です。これらのメッセージは、ユーザーがシステムにアクセスできるようになる前に、ウイルス対策ソフトウェアの購入やサポートサービスの利用を要求することがよくあります。
なりすまし
なりすましとは、機密情報へのアクセスや他人の信頼を得るために、誰かが他人になりすますことです。なりすましは、ソーシャルメディアサイトで偽のプロフィールを作成したり、電子メールになりすましたりして、機密情報にアクセスするソーシャルエンジニアリングの手口を使うことがあります。
ベイト
例えば、会社の役員を装って、上司の重要な仕事を手伝っているつもりの従業員から個人情報を聞き出すが、自分のデータが流出していることに気づかないなど、人や組織に関する情報を利用して、メールや電話で機密データを取得する手法です。
ビッシングとスミッシング
ビッシング(ボイスフィッシング)やスミッシング(SMSフィッシング)は、ターゲットに電話をかけたり、テキストメッセージを送信したりする他のプレテクシングの形態である。ビッシングは、VOIP(Voice-Over-Internet Protocols)技術を使い、発信者が世界の別の場所にいるにもかかわらず、あたかも正規の企業から電話をかけているように見せかけるものです。
スミッシングでは、携帯電話に送信されるショートメッセージサービス(SMS)メッセージを通じて、テキストコンテンツがスパム送信されます。これらのメッセージには、悪意のあるウェブサイトへのリンクや、被害者のコンピューターにマルウェアをインストールするための添付ファイルが含まれていることがよくあります。
関連する読み物 ソーシャルエンジニアリングの種類
プレクティング攻撃から組織を守るために
もし、あなたの組織がプレテクスト攻撃のターゲットになったと思われる場合、あなた自身を守るためにできることをいくつか紹介します。
DMARCの利用
プリテクスには、なりすましが多く含まれます。そのため、正規のメールに見える偽のメールが不可欠となる。そのため、電子メールによるコミュニケーションには、なりすましが不可欠なのです。電子メールのスプーフィングに対する防御方法として、最も広く用いられている。 ドメインベースのメッセージ認証、報告、適合性(DMARC)は、常に複雑なメンテナンスを必要とするため、制限されています。
さらに、DMARCは正確なドメインスプーフィングを防止しますが、スピアフィッシング攻撃で顕著に見られる名前偽装やいとこドメインを使ったスプーフィングを防止することはできません。DMARCは非常によく機能するため、攻撃者はより高度な手法を用いるようになりました。
自分自身を教育する
多くの人は、口実作りの仕組みを理解する必要があるため、手遅れになってから自分の組織が狙われていることに気づくかもしれません。自分自身と従業員を教育し、口実作りがどのようなものか、口実作りが疑われる場合にどのように対応すればよいかを知ってもらいましょう。
常に識別情報を参照する
従業員に関する情報を求めて誰かがあなたのオフィスを訪ねてきたら、情報を提供する前に必ず身分証明書の提示を求める。他の人に、情報を要求してきた人の身元を確認させる。
口実は慎重に検討する
依頼や指示に従う前に、それが理にかなったものであるかどうかを検討しましょう。例えば、機密データを電子メールやテキストで送るように言われたら、要注意です。これは、あなたの情報を盗むための策略かもしれません。上司がやりそうなことだからといって、自動的に正当性や安全性を信用しないようにしましょう。機密情報や金銭に関わる仕事は、事前に上司に直接確認するようにしましょう。
悪意のある活動を監視する環境
ネットワーク上のすべての活動を監視し、疑わしい活動が発生したときに警告を発するセキュリティソフトウェアを使用する。リアルタイムで活動を監視し、攻撃が始まった場合に対応する時間を確保する。
最後の言葉
口実は、必要なときにあなたの袖を持っている偉大な戦略ですが、それはあなたが注意しなければ裏目に出る可能性もあります。ただ、始めたことは必ず実行し、相手が証明するまで疑いの余地を与えないようにしましょう。
