更新日: 2024年9月6日
寄稿者: Jim Holdsworth、Matthew Kosinski

プリテキスティングとは

プリテキスティングとは、捏造されたストーリー、または口実(プリテクスト)を用いて被害者の信頼を獲得し、マルウェアのダウンロード、機密情報の共有、またはサイバー犯罪者への送金を行うように、または被害者自身や被害者の勤務先である組織に損害を与えるようにだます、または誘導することをいいます。

「Confidence(信用)」は「con man(詐欺師)」の「con(詐欺)」に由来します。プリテキストストーリーとは、スピア・フィッシングホエール・フィッシング ビジネスメール詐欺(BEC)などの標的型ソーシャルエンジニアリング攻撃で被害者の信頼を得る方法です。ただし、サイバー犯罪者 (および単なる地上の犯罪者) も、独自に口実(プリテクスト)を用いて、個人や組織から貴重な情報や資産を盗む可能性があります。

プリテキスティングの仕組み: 登場人物と状況

脅威アクターは多くの場合、被害者に対して偽の状況を作り出し、それを解決できる信頼できる人物を装います。書籍『ソーシャル・エンジニアリング・ペネトレーション・テスト』の中で、著者は、口実(プリテキスト)のほとんどが、登場人物状況という主に2つの要素から構成されていることを発見しています。1

登場人物とは、ストーリーの中で詐欺師が演じる役割のことです。詐欺師は、潜在的な被害者との信頼関係を構築するために、被害者に対して権威を持つ上司や幹部など、または被害者が信じやすい相手になりすますことが多いです。その(偽の)人物は、同僚、ITスタッフ、サービス・プロバイダーかもしれません。攻撃者の中には、被害者の友人や恋人になりすまそうとする人もいます。

その状況とは、詐欺師のフェイク・ストーリーの筋書きであり、その状況こそ、登場人物(詐欺師)が被害者に何らかの行動を求める理由です。たとえば「アカウント情報を更新する必要がある」といった一般的な状況や、または、特に詐欺師が特定の被害者をターゲットにしている場合は、「おばあちゃんの助けが必要なんだ。」のように具体的なストーリーかもしれません。

登場人物へのなりすましと状況に関する信ぴょう性を高めるために、脅威アクターはよく登場人物とそのターゲットについて、オンラインで調査をします。それほど難しいことではありません。ある試算によると、ハッカーは、ソーシャルメディアのフィードや、Google、LinkedInなどの他の公開リソースからの情報に基づくたった100分のオンライン検索で、説得力のあるストーリーを作り上げることができます。

スプーフィング(Eメール・アドレスや電話番号を偽装して、メッセージが別の送信元から送信されているかのように見せかけること)により、プリテキスティング・シナリオがより信憑性の高いものになる可能性があります。あるいは、脅威アクターはさらに上を行き、本物の人物のEメール・アカウントや電話番号を乗っ取ってプリテキスティング・メッセージを送信する可能性があります。人工知能を使って人間の声をコピーした犯罪者の話もあります。

プリテキスティング手法とソーシャル・エンジニアリング

プリテキスティングは、次のような多くのソーシャル・エンジニアリング戦略の主要な要素です。

  • フィッシング
  • ベイティング
  • テールゲーティング
フィッシング

プリテキスティングは、特定の個人をターゲットとするスピア・フィッシングやホエーリング(機密情報または機密システムへの特権アクセスを持つ会社幹部または従業員を狙った)などの、ターゲットを絞ったフィッシング攻撃でよく見られます。

ただしプリテキスティングは、ターゲットを絞らない「スプレー・アンド・プレイ」のEメール・フィッシング、ボイス・フィッシング(ビッシング)、またはSMSテキスト・フィッシング(スミッシング)詐欺にも関わっています。

たとえば、詐欺師は 「[ここにグローバル銀行の名前が記入されている]:お客様の口座の残金がマイナスになっています」というようなテキストメッセージを数百万人もの人々に送信する場合があります。受信者の中にその銀行の顧客が数パーセントいることや、その内のさらに数パーセントの人々がメッセージに返信することを期待して送信されています。被害者の割合がごく一部であっても、詐欺師にとっては大きな成果となる可能性があります。

ベイティング

これらの種類の攻撃では、犯罪者は、魅力的ながら不正アクセスされる罠で誘い込むことで、マルウェアをダウンロードするようにだまします。その罠は、公共の場所に意図的に放置された、悪意のあるコードが入ったUSBフラッシュ・ドライブのように物理的なものである場合があります。あるいは、映画の無料ダウンロード広告が実はマルウェアだった、というように罠がデジタルである場合もあります。

詐欺師は、罠を魅力的に見せるためにプリテキスティングをよく使用します。たとえば詐欺師は、不正アクセスをされるUSBフラッシュドライブにラベルを付けることで、そのドライブが特定の会社に属し、重要なファイルを保存していることを示唆する場合があります。

テールゲーティング

プリテキスティングは、テールゲーティングなどの対面詐欺にも使用できます。また、「ピギーバッキング」と呼ばれることもあるテールゲーティングとは、権限を持たない人が、安全なオフィス・ビルのように許可が必要な物理的な場所に入る際に権限を持った人に付いていくことをいいます。詐欺師は、テールゲーティングの成功率を高めるために、たとえば、何も知らない従業員に対して、配達員としてドアを開けてもらえるように依頼するというプレテキスティングを利用します。

プリテキスティングの例

米連邦取引委員会によると、プリテキスティングなどのなりすまし詐欺は最も一般的な詐欺タイプで、昨年は27億米ドルの被害が報告されています。2最も一般的なプリテキスティング詐欺には、次のようなものがあります。

  • アカウント更新詐欺
  • ビジネス・メール詐欺(BEC)
  • 仮想通貨詐欺
  • 「祖父母」詐欺
  • 請求書詐欺
  • IRSおよび政府機関詐欺
  • 求人詐欺
  • ロマンス詐欺とソーシャル詐欺
  • スケアウェア詐欺
アカウント更新詐欺

このサイバー攻撃では、詐欺師がある会社の担当者を装い、請求先情報の期限切れや疑わしい購入など、被害者に対してアカウントに問題があるという通報を行います。詐欺師は通報内容にリンクを記載し、そのリンクが被害者を偽りのWebサイトに誘導することで、被害者の認証情報、クレジットカード情報、銀行口座番号または社会保障番号を盗みます。

ビジネス・メール詐欺(BEC)

ビジネスメール詐欺 (BEC) は、ターゲットを絞ったソーシャルエンジニアリング攻撃の中でもプリテキスティングに大きく依存している種類の詐欺です。現在、すべてのBEC攻撃の25%(リンクは ibm.com 外部にあります)は、プリテキスティングから始まります。

BECにおける登場人物は、ターゲットに対する権限や影響力のある、実際の会社役員や事業の上層部に位置する関係者となります。詐欺師は強力な立場にある人物になりすますため、多くのターゲットはその人物の言いなりになってしまいます。

状況としては、登場人物に緊急を要するタスクがあり、そのための支援を必要としている状況がほとんどです。
たとえば、「空港で立ち往生しているのですが、支払いシステムのパスワードを忘れてしまいました。思い出させてくれませんか?」と言われたり、「添付の請求書に支払いをするため、銀行口座#YYYYYにXXX USD、XXX USDを送金できますか?サービスがキャンセルされる前に、今すぐ」などと言われる場合です。

詐欺師は、テキスト、Eメール、電話、さらにはAIが生成したビデオを通じて上司になりすますことで、従業員をだまして機密情報を漏洩させたり、犯罪を犯させたりすることがよくあります。

ある有名なケースでは、事前に録画された(そしてAIで生成された)Web会議が、偽の経営幹部による指示で終了し、従業員に2億香港ドルを攻撃者に送金させたケースがありました。4

BECは毎年のように、サイバー犯罪およびソーシャル・エンジニアリング技術の中で最も高額なコストを伴う手法にランクインしています。IBMのデータ侵害のコストに関する調査によると、BECによるデータ漏洩により被害組織は平均488万ドルの損害を被っています。

FBIのインターネット犯罪苦情センターのデータによると、BECによる被害総額は2023年には約29億米ドルに上りました。3

 

仮想通貨詐欺

詐欺師は、確実な暗号通貨のチャンスがある成功している投資家を装い、被害者を偽りの暗号通貨取引所に誘導することで、被害者の財務情報や金銭を盗みます。 

この詐欺の長期的な亜種の1つである「ピグ・ブッチャリング」と呼ばれる詐欺では、詐欺師は被害者と知り合いになり、ソーシャル・メディアを通じて被害者の信頼を得ます。次に、詐欺師は被害者に「ビジネス・チャンス」を紹介し、被害者は暗号通貨サイトに誘導され、入金をします。このサイトは投資価値が上がっているように見えるものの、その通貨を引き出すことはできません。5

「祖父母」詐欺

多くのソーシャル・エンジニアリング詐欺と同様に、これはしばしば高齢者をターゲットにしています。サイバー犯罪者は、被害者の孫になりすまして、交通事故や逮捕などの何らかのトラブルに巻き込まれているという理由で、病院費用や保釈金の支払いのために祖父母に送金してもらう必要があると装います。 

請求書詐欺

標的の被害者は、注文または使用しなかったサービスまたは製品の請求書を受け取ります。詐欺師は多くの場合、被害者にEメール内のリンクをクリックして、詳細な情報を要求したり、料金について苦情を伝えたりしようとします。次に、被害者はアカウントを確認するために個人情報(PII)の提供を求められます。その個人情報こそ、詐欺師の狙いです。

IRSおよび政府機関詐欺

詐欺師は、内国歳入庁(IRS)職員、法執行機関、またはその他の政府代表者を装い、ターゲットが何らかのトラブルに巻き込まれていると主張します。税金を納付していない、逮捕状があるなどのトラブルの可能性もあります。通常、詐欺師は、逮捕、住宅ローンの担保権、または賃金の差し押さえを口実に、対象とするターゲットに支払いを行うよう指示します。もちろん、支払いは詐欺師の口座に送られます。

求人詐欺

一般的に、求職者は機密性の高い情報を潜在的な雇用主に伝えても構わないと思っているかもしれません。しかし、職務内容が詐欺師によって投稿された偽の情報である場合、応募者は個人情報の盗難の被害者になる可能性があります。

ロマンス詐欺とソーシャル詐欺

詐欺師は、被害者との恋愛関係を望んでいるふりをします。詐欺師は通常、被害者の心を掴んだ後に、2人で一緒にいることに対する最終的な障害を取り除く手段として金銭を要求します。その障害の例としては、巨額の債務、法律上の義務、または被害者のところへ行くための飛行機のチケット費用などが挙げられます。

スケアウェア詐欺

スケアウェアはソーシャル・エンジニアリング詐欺の一種であり、恐怖心を利用して人を騙し、マルウェアをダウンロードさせたり、金銭を失わせたり、個人データを渡させたりするものです。

その恐ろしいプリテキストは、偽のウイルスアラート、偽の技術サポートの提供、または法執行詐欺である可能性があります。被害者のデジタル・デバイス上にポップアップ・ウィンドウを出し「違法なコンテンツ」が見つかったと警告したり、オンラインの「診断テスト」で、デバイスが侵害されているため修復するには(偽の)ウイルス対策ソフトウェアをダウンロードする必要があると被害者に伝えたりします。

プリテキスティングを阻止するためのサイバーセキュリティー対策

他のソーシャル・エンジニアリングと同じく、プリテキスティングは修正できる技術的な脆弱性ではなく人間の心理を悪用しているため、阻止するのは困難な場合があります。ただし、組織が実行できるいくつかの手段があります。

  • DMARC
  • セキュリティー意識向上トレーニング
  • 他のサイバーセキュリティー技術
ドメイン・ベースのメッセージ認証報告と準拠(DMARC)

DMARCは、なりすましの防止に役立つ電子メール認証プロトコルです。DMARCは、メッセージのテキストとメタデータの両方を分析して、一般的な侵害インジケーターを検出することで、Eメールが示すドメインから送信されたかどうかを検証します。なりすましメールの場合、自動的に迷惑メールフォルダに振り分けられたり、削除されたりします。

セキュリティー意識向上トレーニング

プリテキティングは人々を操作し自身のセキュリティーを危険にさらすため、プリテキスティング詐欺を検知し、適切に対応するよう従業員をトレーニングすることで、組織を保護できます。専門家は、従業員がプリテキスティングと同僚からの正当な要求とを区別できるように、プリテキスティングの事例に基づいてシミュレーションを行うことを推奨しています。 

トレーニングには、多要素認証(MFA)、貴重な情報の取り扱い、決済の承認、要求に応じる前に想定される情報源との照会など、厳格な認証手段に関する明確な手順も含まれる場合があります。

送り主に「これを私に送ったのですか?」とメッセージを送ったり、サービスデスクに「これがハッカーに見えますか?」と確認するだけで、本物のメッセージかどうか簡単に確認できるかもしれません。金融取引の際には、対面や個人的な連絡を直接行い、受信したリクエストの確認を求める場合があります。

プリテキスティングを禁止する法令

業界固有の法律にはプリテキスティングを明確に対象とした法律もいくつかあります。 1999年のグラム・リーチ・ブライリー法は、金融機関に関するふりをすることを犯罪とし、偽装して顧客の財務情報を入手することを犯罪としています。さらに、この法律では金融機関に対し、プリテキスティング表現の発見と防止について従業員を訓練するよう義務付けています。

2006年電話記録およびプライバシー保護法(Telephone Records and Privacy Protection Act)では、電気通信プロバイダーが保持する顧客情報にアクセスするための口実(プリテキスト)の使用を明確に禁止しています。

連邦取引委員会(FTC)は最近、政府機関や企業へのなりすましを正式に禁止する規則を採択しました。5 この規則によってFTCには、企業ロゴの無断使用や、正規サイトを模倣した偽Webサイト作成、ビジネメールのなりすましなど、一般的なプレテキスティング行為を禁止する権限が与えられることになります。

関連ソリューション
IBM X-Force

ハッカー主導の攻撃研究主導の防御。インテリジェンス主導の保護。

 

IBM X-Forceの詳細はこちら
脅威管理サービス

最新の脅威に対して予測、防御、対応を行うことで、ビジネス・レジリエンスを高めます。

 

脅威管理サービスはこちら
ランサムウェア対策ソリューション

ランサムウェア対策ソフトウェアを使用してサイバーセキュリティー・リスクをほぼリアルタイムでプロアクティブに管理し、ランサムウェア攻撃の影響を最小限に抑えます。

ランサムウェア・ソリューションの詳細はこちら
次のステップ

IBM X-Force Red のグローバル・チームは、侵入テスト、脆弱性管理、敵対者のシミュレーションなど、あらゆるオフェンシブセキュリティーサービスを提供し、デジタルおよび物理的なエコシステム全体をカバーするセキュリティ上の欠陥の特定、優先順位付け、修復を支援します。

X-Force Redサービスの詳細はこちら
脚注

すべてのリンク先は、ibm.comの外部です。

1  ソーシャル・エンジニアリング・ペネトレーション・テスト(リンクはibm.com外部にあります)、Syngress、2014年。 

2 2023年の詐欺の上位は何だったと思いますか?推測してください(リンクはibm.comの外部にあります)、 連邦取引委員会、2024年2月9日   

3 Internet Crime Report 2023(リンクはibm.com外部にあります)、米国連邦捜査局、2024年。

4 セキュリティチーフの証言「香港では昨年以降、3件のディープフェイクビデオ詐欺が発生している」(リンクは ibm.com 外にあります)。The Standard、2024年6月26日。

5 FTC、なりすましルールの適用を発表(ibm.com外部リンク)、連邦取引委員会、2024年4月1日。