Pretextingとは?

ブログ

サイバーセキュリティの分野で、個人を騙して機密情報を漏らすように仕向けるソーシャルエンジニアリングの手法。

byアホナ・ルドラ

最終更新日:
読書時間 5
Pretextingとは?
目次-

Pretexting(口実工作)とは、サイバーセキュリティにおいて、個人を騙して機密情報を漏らしたり、通常では行わないような行動を取らせたりするために使用されるソーシャルエンジニアリングの手法です。攻撃者は通常、被害者の信頼を獲得し、目的の行動を取るよう説得するために、偽の口実、つまりでっち上げのストーリーを作ります。

口実攻撃は、信頼できる権威者(銀行の担当者など)、技術サポート担当者、注文を完了するために機密情報を必要とするベンダーなどを装うなど、さまざまな形で行われることがあります。攻撃者は、緊急性を装ったり、重要性を強調したり、被害者が知っている人物や信頼する人物になりすましたりするなど、さまざまな方法で被害者を説得することがあります。

いったん説得された被害者は、パスワードや口座番号などの機密情報を開示したり、コンピュータにマルウェアをダウンロードしてインストールしたり、悪意のあるメールの添付ファイルを開いたり、フィッシングサイトにアクセスしたりするなどの行動をとることがあります。

主なポイント

  1. プリテクスティングとは、人間の信頼を悪用して被害者から機密情報を引き出すソーシャル・エンジニアリングの手法である。
  2. 攻撃者は、権威者やサポートエージェントなど、さまざまなペルソナを採用して被害者を操り、コンプライアンスを守らせることができる。
  3. フィッシング、ビッシング、スミッシングは、個人情報を欺く一般的な口実作りの手法である。
  4. 組織は、機密情報を共有する前に、口実作りの企てを認識し、適切な検証手順を踏むよう従業員を教育しなければならない。
  5. ネットワーク・アクティビティを監視することで、疑わしい行動を検出し、プレテクティング攻撃に関連するリスクを軽減することができます。

毎年7100万人以上がサイバー犯罪の被害を受けています。コンパイルテック.

口実攻撃は、ソフトウェアやハードウェアの技術的な脆弱性ではなく、信頼や社会的規範といった人間の脆弱性を利用することが多いため、検知が困難な場合があります。そのため、個人および組織は、予期せぬ要求や異常な状況に応じて機密情報を共有したり、行動を起こしたりする際には、警戒心を持ち、慎重に行動することが重要です。

サイバーセキュリティにおけるPretexting -定義と概要

 

プリテクスティングとは、口実を使って他人の個人情報にアクセスする詐欺の一種です。なりすまし、なりすまし詐欺、なりすまし詐欺とも呼ばれることがある。

攻撃者は口実作りを採用する。 ソーシャルエンジニアリングを使い、正当な理由があると信じ込ませることで、あなたから欲しいものを手に入れようとします。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

犯罪者は、なりすましやフィッシングなどのソーシャルエンジニアリングと、もっともらしく聞こえる口実や作り話を組み合わせて、犯罪を行うことがあります。

口実とは、攻撃者が機密情報へのアクセス権を取得したり、金銭を提供させたりするために用いる手口のことです。テキストメッセージ、電子メール、電話、直接の面談など、電子的または口頭によるあらゆるコミュニケーションが、口実作りに利用される可能性があります。

口実攻撃者は、信頼できる人物からのメッセージだと思わせるような説得力のあるストーリーを作り上げなければなりません。

プリテクスチャーの攻撃手法

ハッカーは、お客様から財務情報や個人情報を取得しようとする際に、一般的に口実をつけて使用します。彼らは次のような手口を使います。

フィッシング攻撃

フィッシングとは、電子メールを利用して被害者を誘い出し、パスワードやクレジットカード情報などの個人情報を開示させる詐欺の手法のことです。電子メールは、銀行やオンラインショップなど、正規の企業から送信されたように見せかけることができます。その目的は、被害者にメール内のリンクをクリックさせ、詐欺師が設定した偽のウェブサイトへ誘導することです。

関連記事 フィッシングとスパム

テールゲーティング

テイルゲート は、攻撃者が他人の認証情報を使用して建物や施設に不正にアクセスするソーシャルエンジニアリング攻撃です。これを行うには、攻撃者は、正規のアクセス権を持つ人の後ろをぴったりとついていき、その人のIDバッジを使って同じドアから入室するのです。

ピギーバック

ピギーバッキング は、権限のない人が他の権限のある人(または車両)の上に乗って、安全な施設にアクセスするソーシャルエンジニアリング攻撃です。ピギーバッキングは、本人の同意の有無にかかわらず実行することができる。例えば、攻撃者は他人の車の上に乗り、安全な施設に入ることを許可されているかのように入ることができる。

スケアウェア

スケアウェアとは、偽のメッセージや警告を表示し、コンピュータがウイルスやスパイウェアに感染しているとユーザーに信じ込ませる悪意のあるソフトウェア(マルウェア)のことです。これらのメッセージは、ユーザーがシステムへのアクセスを回復する前に、ウイルス対策ソフトウェアを購入したり、サポートサービスに料金を支払うよう要求することがよくあります。

なりすまし

なりすましとは、機密情報へのアクセスや他人の信頼を得るために、誰かが他人になりすますことです。なりすましは、ソーシャルメディアサイトで偽のプロフィールを作成したり、電子メールになりすましたりして、機密情報にアクセスするソーシャルエンジニアリングの手口を使うことがあります。

ベイト

例えば、会社の重役を装って、上司の重要な仕事を手伝っているつもりの従業員から個人情報を要求する。

ビッシングとスミッシング

ヴィッシング(音声フィッシング)とスミッシング( SMSフィッシング)は、電話をかけたり、テキストメッセージを送信したりするプリテキスティングの一種です。ヴィッシングは、Voice over Internet Protocol(VOIP)技術を用いて、発信者が世界のどこか別の場所にいるにもかかわらず、正規の企業電話番号から電話をかけているように見せかけます。

スミッシングでは、携帯電話に送信されるショートメッセージサービス(SMS)メッセージを通じて、テキストコンテンツがスパム送信されます。これらのメッセージには、悪意のあるウェブサイトへのリンクや、被害者のコンピューターにマルウェアをインストールするための添付ファイルが含まれていることがよくあります。

関連する読み物 ソーシャルエンジニアリングの種類

プレクティング攻撃から組織を守るために

もし、あなたの組織がプレテクスト攻撃のターゲットになったと思われる場合、あなた自身を守るためにできることをいくつか紹介します。

DMARCの利用

口実工作には多くの場合、なりすましが含まれる。そのため、合法的に見える偽の電子メールは不可欠である。そのため、なりすましは電子メールを使ったコミュニケーションには欠かせない手段である。電子メールのなりすましに対する防御方法として、最も広く使われているのが、以下の方法である、 ドメイン・ベースのメッセージ認証、報告、適合性 (DMARC)は、常に複雑なメンテナンスを必要とするため、制限されている。

さらに、DMARCは正確なドメイン・スプーフィングを防ぐが、スピアフィッシング攻撃でかなりよく見られる、名前偽装やいとこドメインを使ったスプーフィングは表示しない。DMARCは非常にうまく機能しているため、攻撃者はより高度な手法を使い始めている。

自分自身を教育する

多くの人は、口実作りの仕組みを理解する必要があるため、手遅れになってから自分の組織が狙われていることに気づくかもしれません。自分自身と従業員を教育し、口実作りがどのようなものか、口実作りが疑われる場合にどのように対応すればよいかを知ってもらいましょう。

常に識別情報を参照する

従業員に関する情報を求めて誰かがあなたのオフィスを訪ねてきたら、情報を提供する前に必ず身分証明書の提示を求める。他の人に、情報を要求してきた人の身元を確認させる。

口実は慎重に検討する

依頼や指示に従う前に、それが理にかなったものであるかどうかを検討しましょう。例えば、機密データを電子メールやテキストで送るように言われたら、要注意です。これは、あなたの情報を盗むための策略かもしれません。上司がやりそうなことだからといって、自動的に正当性や安全性を信用しないようにしましょう。機密情報や金銭に関わる仕事は、事前に上司に直接確認するようにしましょう。

悪意のある活動を監視する環境

ネットワーク上のすべての活動を監視し、疑わしい活動が発生したときに警告を発するセキュリティソフトウェアを使用する。リアルタイムで活動を監視し、攻撃が始まった場合に対応する時間を確保する。

まとめ

口実は、必要なときにあなたの袖を持っている偉大な戦略ですが、それはあなたが注意しなければ裏目に出る可能性もあります。ただ、始めたことは必ず実行し、相手が証明するまで疑いの余地を与えないようにしましょう。

最新記事 by Ahona Rudra(全て見る)
最終更新日:
ROIを最大化する。ビジネスに最適なIT MSPの選び方ROIを最大化する ビジネスに適したIT MSPの選び方メール転送完全ガイドメール転送完全ガイド