プリテキスティングは、攻撃者が詐欺的な手段を通じて情報、システム、またはサービスにアクセスするソーシャルエンジニアリングの一種です。攻撃者は、被害者の信頼を得るために偽のシナリオ、つまり口実(プリテキスト)をでっち上げ、経験豊富な投資家、人事担当者、ITスペシャリスト、またはその他の一見正当な関係者を装う可能性があります。この攻撃はオンラインに限らず、対面を含む他の形式のコミュニケーションを通じて発生する場合もあります。
プリテキスティングの仕組み
攻撃者は、さまざまな方法で、疑いを持たない被害者の信頼を得て、機密情報を引き出します。プリテキスティングでは、被害者の感情につけ込んで、切迫感を利用したり、話がうますぎる取引を申し出たり、同情を得たりして、被害者をだまします。一般的な手法には、ベイティング、フィッシング、ピギーバック、スケアウェア、テイルゲーティング、ビッシング/スミッシングなどがあります。
プリテキスティングの手法
フィッシング:フィッシング攻撃では、情報を盗むためにEメールを介して個人または組織になりすまします。多くのフィッシング攻撃は、プリテキスティングを基盤としています。例えば、組織内の人員になりすまして上級管理者にEメールを送信します。Eメールには、マルウェアの添付ファイルが仕組まれており、開くとシステム全体に影響を与える恐れがあります。
ビッシング/スミッシング:ビッシング(または音声フィッシング)では、電話を利用して被害者をだまして機密情報を引き出します。スミッシングも同様ですが、SMSまたはテキストメッセージを利用して個人を標的にします。一般的なビッシング攻撃では、高齢者を標的とし、個人情報を必要とするIRS職員または社会保障担当者から発信されているかのように見せかけます。
ベイティング:ベイティング試行では、魅力的な約束を利用して、被害者の信頼を獲得し、マルウェアを拡散したり、機密情報を盗んだりします。この手法では、マルウェアが仕組まれた誘惑的な添付ファイルが含まれている場合がありますが、最も一般的には物理メディアを介して実行されます。一般的な手口の1つは、会社のロゴが付いたフラッシュドライブを会社の敷地内に置いておき、従業員がそれを正当なものと考えてコンピューターに接続するように仕向けます。これにより、マルウェアがシステムに展開されます。
ピギーバック:ピギーバック手法は、管理区域への立ち入りが許可されている人物の後について施設に物理的に侵入するのに用いられます。攻撃者がアクセスバッジを紛失したと言い張って建物の入り口に居座るケースもあります。許可された人物が、怪しまれずに攻撃者に施設への侵入を許可する可能性があります。
スケアウェア:スケアウェアは、システム内でウイルスやその他の問題を検知したと主張し、実際にはマルウェアでありながらウイルス対策またはその他の保護機能に見えるソフトを被害者にインストールさせるよう仕向ける手の込んだ口実です。
テイルゲーティング:ピギーバックと同様、テイルゲーティングは、施設に物理的に侵入しようとするものです。ピギーバックとは異なり、攻撃者は許可された人物から気付かれずに侵入します。攻撃者は、許可された人物から離れないように後を追い、ドアが完全に閉じる前に滑り込みます。被害者は、無許可の人物が施設に侵入するために自分が利用されたことにまったく気付きません。
一般的なプリテキスティング攻撃の例
個人が被害者にならないように注意する必要がある一般的なプリテキスティング攻撃がいくつかあります。
暗号通貨詐欺:
この詐欺は、プロフェッショナル向けのネットワーキングプラットフォームでよく見られます。攻撃者は、熟練の投資家を装って、「すぐに金持ちになる」チャンスを記したメッセージを被害者に送ります。攻撃者は、被害者の信頼を得るために、本物に見えるウェブサイトを作成し、偽のレビューを用意することさえあります。被害者が送金した後で出金しようとすると、攻撃者は、税金、追加料金、または最低口座残高が満たされていないためにそれには応じられないと回答してきます。
なりすまし詐欺:
被害者の信頼を得るために、攻撃者は、被害者が知っている人物になりすまそうとします。なりすまし先には、同じ組織の人員、ソーシャルメディア上の友人などが考えられます。例えば、被害者は、「こんにちは、こちらはあなたの組織の技術サポートです。あなたのアカウント情報を確認する必要があります」といった内容のメッセージを受け取ります。特に攻撃者が、「緊急のお願い」といった内容で、CEOなど組織内の正当な人員を装っている場合、被害者はより信じやすくなります。
ロマンス詐欺:
暗号通貨詐欺と同様に、ロマンス詐欺師は、暗号通貨を使用して何かに投資するように被害者を説得しようとします。口実として熟練の投資家が登場するのではなく、詐欺師は、被害者に好意を持っているふりをすることで被害者の信頼を獲得します。攻撃者は投資のチャンスについて語り、被害者に多額の送金を求めてきます。しかし、投資の利益が得られることはもちろんありません。
プリテキスティング攻撃を特定して検知する方法
潜在的なプリテキスティング攻撃と一般的な特性を検知して認識するためのトレーニングを従業員に実施すると、潜在的に異常な要求を特定できるようになります。組織では、金融取引と認証情報の検証に関するポリシーを定めることもできます。例えば、「個人情報や機密情報の検証は対面またはビデオチャットを介して行う必要があり、テキストまたはEメールを介して行ってはいけない」などです。この対策により、会社の個人になりすますプリテキスティング試行を防ぐことができます。
プリテキスティング攻撃を防御する方法
従業員がプリテキスティング詐欺の被害者にならないように、組織で実施できる対策がいくつかあります。
ヒント1. 常に注意を払うこと、および悪意があると考えられるものをすべて(たとえそれが本物であることが判明したとしても)報告するよう従業員を奨励します。
疑わしいコミュニケーションを報告するよう従業員に定期的に注意喚起し、誰もが発言できるよう環境を整えることで、従業員が警戒を怠らず、プリテキスティング攻撃を早期に阻止することができます。フィッシングの可能性を従業員に常に意識させることが非常に重要です。
ヒント2. なりすましドメインなどの疑わしいアクティビティを見つける方法に関する定期的なトレーニングを実施します。
ウェブサイトのリンクまたはEメールのドメインをチェックして、その通信が送信元としてあり得る人物からのものであり、なりすましドメインに転送されていないことを確認するよう従業員を奨励します。その他のヒントとして、URLを調べて本物であることを確認すること、添付ファイルを開いたり不明なソースからのUSBドライブを使用したりしないこと、およびウェブサイトにSSL(セキュアソケットレイヤー)証明書があることを確認することが挙げられます。
ヒント3. 悪意のあるアクティビティがないか環境を監視します。
CrowdStrike® Falcon Insight™エンドポイントでの検知と対応(EDR)は、エンドポイントを継続的に監視し、生イベントをキャプチャして、防御手法だけでは特定できない悪意のあるアクティビティを自動的に検知します。プロアクティブな脅威ハンティングにより、組織は攻撃が発生する前に攻撃を阻止し、企業の機密情報を保護できます。
フィッシングメールを受け取った場合の報告方法
ユーザーはフィッシング試行を防ぐことはできませんが、常に警戒し、フィッシングメールを認識したときに報告することで、自分自身と組織を保護することができます。自分の役割を果たして良きインターネット市民になってください。フィッシングの報告先:phishing-report@us-cert.gov