プレテクシングとは？攻撃手法、事例、テクニック

技術の進化に伴い、サイバー犯罪はサイバー世界でますます洗練されてきており、特に技術開発に関連する手法の使用において顕著です。実際、プレテクスティングと呼ばれる手法が存在します。これはソーシャルエンジニアリングの一種であり、偽の情報を提供して相手を誘導し、機密情報を漏洩させるものです。技術的な脆弱性を悪用する従来のハッキング手法とは異なり、プレテクスティングは人間の心理、信頼、権威的な立場を悪用します。

業務のデジタル化が進むにつれ、組織は様々な形態のサイバー攻撃最も悪質な手法の一つがプレテクスティングです。多くの場合、犯人はソーシャルメディアやその他のオンライン媒体から被害者に関する情報を入手します。同僚、ITサポート、ベンダーなどの信頼できる人物になりすますことで、攻撃者は個人と接触し、パスワードや財務情報などの重要なデータの開示を説得することができます。

この顕著な例としては、2015年にUbiquiti Networksが受けた攻撃が挙げられます。このケースでは、最高幹部を装って偽の支払いを要求し、驚異的な4,670万ドルもの金額を銀行口座に振り込ませるという手口が用いられました。

本記事では、プレテクスティングとは何か、フィッシングとの違い、組織への影響、手法、詐欺の種類、検知戦略、実例などを解説し、プレテクスティングについて深く掘り下げます。また、組織がプレテクスト攻撃から身を守るための実践的なアドバイスも提供します。

プレテクスティングの概要

プレテクスティングとは、攻撃者が精巧な偽のシナリオ（プレテクスト）を考案し、標的の関与を引き出し機密情報の開示を促す手法である。信頼、権威、社会的規範に依存し、標的が機密情報を開示するよう説得する。攻撃者が精巧な偽のシナリオ（口実）を考案し、標的の関与を引き出し、機密情報の開示を促す手法です。信頼、権威、社会的規範を利用し、銀行担当者、ITサポートスタッフ、政府職員など、正当な組織を装って状況を悪用します。

プレテクスティングとフィッシングの違い

プレテクスティングとフィッシングはどちらも、ユーザーを騙して機密情報を引き出すことを目的としたソーシャルエンジニアリングの一種ですが、その手法は異なります。

フィッシング詐欺は主に、ユーザーを悪意のあるリンクのクリックや悪質な添付ファイルのダウンロードに誘導する詐欺メールやメッセージです。銀行サイトやオンラインサービスなどの信頼できるサイトを装い、被害者を偽のウェブサイトに誘導し、ログイン認証情報や金融情報などの個人情報を搾取します。他の悪意のある活動と同様に、フィッシングにも多くの形態があり、特定の人物や組織を標的とするスピアフィッシングなどが挙げられます。また、ボイスフィッシング（vishing）と呼ばれる手法では、不意を突く電話で情報を要求します。

これに対し、プレテクスティング は、被害者から直接情報を引き出すために、信憑性のあるストーリーを作り上げる試みです。通常、攻撃者は標的に対して入念な準備を行い、個人情報や職業上の詳細情報を基に、信憑性のあるストーリーを構築します。例えば、攻撃者は企業の幹部やITサポート担当者を装い、正当な要求を装って会話に巻き込み、被害者に機密情報を開示させるよう説得することで情報を入手します。デジタル戦術に依存するフィッシングとは異なり、プレテクシングは直接的なコミュニケーションを伴うことが多く、より個人的で潜在的に大きな影響力を持つ可能性があります。

組織レベルにおけるプレテクシングの影響

プレテクスティングが成功すると、組織は様々な面で深刻な被害を受ける可能性があります。従業員記録や顧客データから機密情報が漏洩する恐れがあり、データ侵害を引き起こす可能性があります。また、盗難による損失や、対策実施に伴うその他の費用が発生する可能性があります。

さらに、組織は評判の毀損に苦しむ可能性があります。顧客が収集された情報を企業が適切に管理しないと感じた場合、そのような企業は収益や市場シェアの損失にも直面する可能性があります。法的観点からも、プレテクスティング攻撃は危険です。特に個人識別情報（PII）を含む機密情報が漏洩した場合、GDPRやCCPAの規定に基づき、組織は数千ドルから数万ドルの罰金や規制当局の審査を受ける可能性があります。結局のところ、プレテクシングの影響は金銭的損失にとどまらず、長期的に組織の評判と安定性にまで及びます。つまり組織は、こうしたリスクに対するセキュリティ対策を実施するとともに、あらゆる機密情報を保護しなければならないのです。

プレテクスティングの手口とは？

プレテクスティングでは、攻撃者が被害者の信頼を得るために意図的な行動を段階的に実行します。個人情報の入手、信憑性のある物語の構築、対面接触による直接的な要求などにより、防御を崩し要求を正当化させることが可能です。プレテクスティングの具体的な手法を段階的に解説します：

• 情報収集：攻撃者は被害者を調査し、氏名、職業、連絡先などの個人情報を収集します。LinkedIn などのソーシャルメディアプラットフォームや公開データベースを悪用し、被害者の包括的なプロフィールを作成します。攻撃者は、こうした情報をもとに、ターゲットに信じ込ませるようなストーリーを作り上げるのです。
• 口実の作成：攻撃者は、ターゲットの環境に合わせて、信じ込ませるようなシナリオを作成します。通常、知っていて信頼されている関係者や権威者を装います。偽の身分を構築し、受け入れられる声やボディランゲージを装うことで、ターゲットがその正体を疑うことをはるかに困難にします。
• ターゲットとの接触:攻撃者は、電話やメールを通じて直接ターゲットと接触することでこれを行います。攻撃者がターゲットを掌握すると、共通の関心事に関連付け、被害者の警戒心を緩めることで会話を深めます。
• 機密情報の要求: 信頼関係が築かれると、攻撃者は「物語を維持するために必要な情報」という偽装で機密情報を要求します。多くの場合、攻撃者は被害者に時間的制約を課すことに成功し、被害者は熟考せずに要求に応じる行動を取ります。
• 情報の悪用: 攻撃者は情報を入手後、身分盗用や金融詐欺などの悪意ある活動に悪用します。こうした盗まれた情報はさらなる攻撃に利用され得るため、プレテクスティングは個人・組織双方に重大な危険をもたらすことが実証されています。

プレテクスティング詐欺の種類

プレテクスティング詐欺には様々な形態がありますが、全てに共通する点は、信頼を得て機密情報を操作しようとする点です。これらの手口の多くは、社会的規範や、権威ある人物や親しい知人との関係から既に存在する信頼関係に依存しています。

以下に、組織および個人が警戒すべき最も一般的なプレテクスティング詐欺の2種類を示します：

1. なりすまし：なりすましとは、組織内の攻撃者が信頼される身分を装う攻撃です。攻撃者は、IT 担当者や会社の幹部などの身元を装います。彼らは、身近な身元を巧みに利用して、相手に個人情報を提供させるように仕向けます。例えば、攻撃者はIT部門を名乗って従業員に電話をかけ、定期的なセキュリティチェックを口実に機密性の高いログイン認証情報を要求することがあります。
2. ビジネスメール詐欺（BEC）:BECを利用するサイバー攻撃者は、従業員や経営幹部宛てに「送金が必要」「機密情報が必要」などと記載したメールを送信し、巧妙にアクセス権を騙し取ります。多くの場合、これらのメッセージは緊急性を装っており、今すぐ対応しなければならないように見せかけます。典型的な例として、攻撃者がCEOを装い、財務部門に「機密プロジェクト」への送金を要求するメールを送信するケースが挙げられます。この場合、被害者は要求の正当性を確認せずに盲目的に行動してしまいます。この場合、被害者は要求の正当性を確認せずに盲目的に行動します。
3. テクニカルサポート詐欺: ここでは、詐欺師がテクニカルサポート担当者を装い、大企業の担当者であると名乗ります。ほとんどの場合、詐欺師は電話をかけたり、ポップアップメッセージを表示して、お使いのコンピュータに修正が必要な大きな問題がある、あるいは彼によって除去しなければならない感染がある、と告げます。その後、詐欺師は個人情報を要求したり、被害者に悪意のあるソフトウェアをダウンロードさせたりして、コンピュータに保存されているすべての機密データへの完全なアクセス権を取得しようとします。
4. アンケート詐欺:ここでは、詐欺師は市場調査を装った偽のアンケートを実施します。彼らは賞品の約束で被害者を誘い込み、名前、住所、時には金融情報を要求します。一見無害な活動に対する被害者の脆弱性を利用することで、攻撃者は個人情報の盗難やその他の違法活動に利用される機密情報を盗み取ることができます。

   プレテクスティングの手法

   プレテクスティング攻撃で用いられる多様な手法の多くは、心理学やソーシャルエンジニアリングの原理を応用し、正当で信頼できるもの（例えば善意に基づくもの）に見せかけます。プレテクシング攻撃で最も一般的に使用される手法には以下が含まれます：

   • 信頼関係の構築: 攻撃者はしばしば、友好的な会話調で議論を始め、標的との信頼関係を構築します。あるいは、単なる世間話や共通の興味を理由に親近感を示したり、オープンエンドの質問でわずかな親しみを装ったりします。こうして築かれた信頼関係は標的の警戒心を緩め、機密情報の要求に応じやすくします。
   • 緊急性と恐怖: プレテクスティング攻撃者の一部は、緊急性や損失への恐怖を利用して応答を引き出す。攻撃者は、セキュリティ侵害の回避やサービス中断を防ぐための即時対応を要請するなど、要求を緊急事態として演出する。パニック状態を作り出すことで、被害者は慌てて不注意な対応を迫られ、要求に応じる可能性が高まります。
   • 権威: プレテクスティング攻撃の中には、権威の確立や悪用を基盤とするものがあります。信頼できる組織や権威ある人物を装う戦術を用います。攻撃者は、ITスタッフ、会社幹部、信頼できるベンダーの立場を利用し、被害者が権威に対して抱く自然な信頼を悪用します。前述のように、人は権威と見なされる人物からの要求に応じることを名誉と感じる傾向があるため、攻撃者は容易に被害者を操作して機密情報を漏洩させることができます。

   プレテクシング攻撃の識別と検知方法とは？

   プレテクシング攻撃の識別は困難ですが、多くの場合、個人や組織が潜在的な脅威を事前に察知できる警告サインが複数存在します。主な指標は以下の通りです：

   • 機密情報に関する異常な要求:プレテクシング攻撃の兆候は、特に電話やメールを通じて、事前通知なしに突然行われる機密情報の要求です。個人情報や機密データの提供を求めるこのような電話を受けた場合、発信者の身元を確実に確認しない限り、情報を共有すべきではないことを覚えておいてください。
   • 明確な理由のない緊急性: 攻撃者が被害者に迅速な行動を迫るため、緊急性を演出する攻撃手法です。明白かつ正当な理由なく即時対応を要求する要請を受けた場合、警戒すべきです。正当な組織は迅速な対応を要求しません。したがって、状況を評価する時間を確保することが極めて重要です。
   • 発信者の説明に矛盾がある場合: 発信者が提供する情報に矛盾がないか注意深く確認してください。話に違和感や矛盾がある場合は、相手が本人ではない可能性を示している。本人確認、電話の目的、または代表する組織に関する詳細に矛盾がないか確認してください。
   • 異常な情報要求: パスワード、社会保障番号、銀行口座情報など、正当な組織が通常要求しない情報の提供を求める要求は避けてください。確立された組織は機密情報を扱う標準的な手順を整備しており、通常は一方的な連絡でそのような情報を要求することはありません。この種の要求には十分注意し、応答する前に公式ルートで確認してください。

     組織はプレテクスティング攻撃という絶え間ない脅威に直面しており、これを真剣に受け止めなければ深刻なデータ侵害や金銭的損失を招く可能性があります。さらに、機密情報を保護し、ソーシャルエンジニアリングに伴うリスクについて従業員の意識を高めるための予防策を講じる必要があります。プレテクスティング攻撃に対するセキュリティ強化のために実施すべき主な対策は以下の通りです：

     1. 教育と意識向上: 組織は、プレテクスティングを含むソーシャルエンジニアリングの手口について従業員を教育するため、定期的な研修と啓発プログラムを優先すべきです。なりすましや緊急性を装うなど、攻撃者が使用する様々なプレテクスティング手法についてスタッフに周知することで、従業員は不審な行動をより的確に認識できるようになります。機密情報を共有する前に身元を確認することの重要性を強調し、慎重さと注意深さを重視する文化を醸成すべきである。
     2. 確認手順：機密データを要求する人物が実際に本人であることを確認するため、正当な確認手順を遵守すべきである。組織は個人認証のための標準化された手順を策定すべきです。例えば、要求を検証する担当者が確立された通信手段を通じて要求元と直接会話するコールバックプロセスなどです。これによりシステムのセキュリティが強化され、機密データへの不正アクセスを防止すると同時に、プレテクスト攻撃の被害を防ぐ可能性が高まります。
     3. インシデント対応計画: プレテクシング攻撃発生時に迅速に対処する唯一の解決策の一つは、インシデント対応計画。この計画には、不審なインシデントの報告手順、攻撃による被害の評価、被害抑制策の策定が含まれます。対応計画により、従業員は侵害の疑いがある場合に迅速に行動する方法を理解し、攻撃による悪影響を最小限に抑えることができます。
     4. データ保護ポリシー: 機密データの漏洩リスクを低減するため、データ保護ポリシーを実施する必要があります。これには、どのような形式のデータに、どのような条件下で、誰がアクセスを許可されるかを具体的に明記しなければなりません。データへのアクセスを制限することで、組織は業務上必要な者だけにデータを開示することが可能になります。これにより、適切な許可なく情報が漏洩する機会は最小限に抑えられます。

     実際のプレテクスティング事例

     実際のプレテクスティング事例は、攻撃者が信頼を悪用し、被害者を操作して悪意のある目的を達成する方法を示しています。以下に代表的なプレテクシング事例を挙げます：

     • 「エイズ」トロイの木馬（1989年）:ランサムウェアの祖とも呼ばれるAIDSトロイの木馬は、サイバー犯罪におけるプレテクスティングの最も初期の事例の一つである。国際エイズ会議に参加したコンピュータユーザーに対し、「エイズ情報」とラベルされたフロッピーディスクが配布されたが、これにはトロイの木馬ウイルスが仕込まれていた。このウイルスは被害者のコンピュータにインストールされると全てのディレクトリを隠し、ユーザーがファイルを認識できない状態にした。ハードドライブ上の全情報を暗号化し、ファイルへのアクセスを不可能にした。アクセス権回復のため、189ドルの身代金支払いが強要された。身代金はパナマの郵送先住所へ普通郵便で送付する必要があった。これはプレテクスティングの概念だけでなく、攻撃者が時事問題を巧みに利用して被害者を詐欺に陥れる手法を実証した、最も初期のランサムウェア実例の一つである。
     • 求職者向けフィッシングと恐喝 (2023):テクノロジー業界での大量解雇の傾向を利用したこれらの詐欺師は、無害な求職者を標的とし、LinkedInやその他のプラットフォームで採用担当者になりすました。実際の求人情報を複製し、キャリアポータルを作成することで、被害者に機密性の高い個人データを騙し取った。その多くは偽の雇用書類の作成に誘導され、身分証明書や財務情報などの機密文書のアップロードを騙されて多くの人が被害に遭った。この偽装詐欺は転職希望者を狙ったもので、攻撃者が最新事象を悪用する機会主義的な手口を如実に示している。
     • ディープフェイクによるCFOなりすまし詐欺（2024年）：2024年、ある大手企業が、CFOやその他の上級幹部を装った攻撃者による、洗練されたディープフェイク攻撃を受けたと報じられています。攻撃者は、これらの幹部たちの容姿や声に酷似した、非常にリアルなディープフェイク（合成メディア）を作成した。偽の幹部はビデオ通話で従業員に対し、約2500万米ドルという巨額の資金を、重要なビジネス取引と偽って送金するよう要求した。従業員は相手が真の経営陣であると信じ込み、指示通りに送金した。この攻撃は、ディープフェイクがどれほど危険になりつつあるかを示しており、信頼できる人物の超現実的なシミュレーションによって、最も経験豊富な専門家でさえ騙される可能性があるという企業詐欺の脅威を浮き彫りにしている。

     AIを活用したサイバーセキュリティの実現

     リアルタイムの検知、マシンスピードのレスポンス、デジタル環境全体の可視化により、セキュリティ態勢を強化します。

     デモを見る

     Conclusion

     現在、サイバーセキュリティの世界における最大の脅威は、個人や組織内部に潜り込むための操作と欺瞞であるプレテクシングです。プレテクシングの手口を理解してこそ、企業はこれに対抗する準備を整えられるのです。

     意識啓発の文化を醸成することは必須であり、従業員に対してはサイバー犯罪の手口に関する定期的な研修を実施すべきです。機密情報を開示する前に身元確認を行うよう徹底させるべきです。組織レベルでの確認プロセス（折り返し電話プロトコルや多要素認証など）を厳格に実施し、機微情報へのアクセス要求が確実に検証済みであることを保証する必要があります。

     適切な検証チェックと意識向上により、プレテクスト攻撃の影響を最小限に抑えられます。これらの詐欺による最も可能性の高い結果には、金銭的損失、評判の毀損、その他の法的問題が含まれます。したがって、機密情報が公の場に漏洩するのを防ぎ、組織の完全性やステークホルダーに対する評判を維持するためには、組織的な安全対策が不可欠です。