プリテキスティング【pretexting】
概要
英語の “pretext”(口実、作り話)に由来する用語で、攻撃者が事前に用意した架空の設定や背景を利用して相手をだます手法である。サイバー攻撃の手法としては、技術的な脆弱性を直接悪用するのではなく、人間の心理や社会的関係を利用して情報を取得する「ソーシャルエンジニアリング」(social engineering)に分類される。
攻撃者は企業の担当者、ITサポート、銀行職員、取引先、調査員などの立場を装い、電話や電子メール、SNSなどを通じて接触し、本人確認情報や認証情報などを聞き出したり、指定の口座への資金の振り込みなど、何らかの行動を行うよう促す。
この手法の実施には、事前の調査や情報収集が必要となる。攻撃者は公開情報やSNS、企業のWebサイトなどから標的の人物の所属部署、役職、業務内容、人間関係などの情報を収集し、それらをもとに信頼性の高いシナリオを作成する。例えば、「社内システムのメンテナンス担当者」を名乗ってログイン情報を求めたり、「取引先企業の担当者」を装って機密資料の送付を依頼したりするなど、状況に応じて説得力のある口実を用いる。
この手法は単独で行われることもあるが、フィッシングやビジネスメール詐欺など他のソーシャルエンジニアリング手法と組み合わせて利用されることも多い。例えば、攻撃者が電話で担当者を装って信頼関係を築いた後に、偽のログインページへ誘導するメールを送信するといった手法が知られている。このように段階的に信頼を獲得することで、攻撃の成功率を高めることができる。
組織においては、機密情報が不正に取得されたり、攻撃者へ巨額の資金を渡してしまうといった重大な結果に繋がりかねないため、情報セキュリティ対策の一環として、従業員への教育や手続きの整備が重要とされている。具体的には、電話や電子メールで機密情報を求められた場合には正式な手順で確認を行うこと、本人確認を徹底すること、組織外の人物からの不審な依頼に注意することなどが基本的な対策として知られている。人間の心理の隙をつく巧みな攻撃手法であり、技術的対策だけでなく利用者の意識向上や手順の厳格化なども重要な要素となる。
共有ボタンをタップ