プリテキスティングとは

プリテキスティングとは、捏造されたストーリー、または口実を使用することによって被害者の信頼を獲得し、マルウェアのダウンロード、機密情報の共有、またはサイバー犯罪者への送金を行うように、または被害者自身や被害者の仕事先である組織に損害を与えるようにだます、または誘導することをいいます。

プリテキスティングは、スピアフィッシング、ホエーリング、ビジネス・メール詐欺（BEC）のような、ターゲットを絞ったソーシャル・エンジニアリング攻撃の中心的な戦術となっています（以下をご参照ください）。ただし、サイバー犯罪者（および地上波のみによる犯罪者）が、個人または組織から有益な情報や資産を盗むために、自らのプレテキスティングを使用する場合もあります。

プリテキスティングの仕組み：登場人物と状況

「ソーシャル・エンジニアリング・ペネトレーション・テスト」（ibm.com外部のリンク）において、セキュリティー専門家であるGavin Watson氏、Andrew Mason氏、およびRichard Ackroyd氏は、プリテキストのほとんどが登場人物および状況という、主に2つの要素から構成されていると述べています。

登場人物とは、ストーリーの中で詐欺師が演じる役割のことです。被害者になり得る相手との信頼関係を構築するために、詐欺師は通常、被害者に対して権限を持つ上司や幹部など、または被害者が信じやすい相手である、同僚やITスタッフ、サービス提供者などを装います。ターゲットにされた被害者の友人や大切な人を装って攻撃をしかける場合もあります。

状況とは、詐欺師による偽りのストーリーについての構想、つまり登場人物が被害者に何かをしてもらえるように依頼をする理由を意味します。状況は、内容がたとえば、「アカウント情報の更新が必要です。」などと一般的である場合と、詐欺師が特定の被害者をターゲットとしている場合に、とても具体的である場合もあります。

登場人物へのなりすましと状況に関する信ぴょう性を高めるために、脅威アクターは通常、登場人物とそのターゲットについて、オンラインでリサーチを行います。それほど難しいことではありません。 Omdia社のレポート（ibm.com外部のリンク）によると、ハッカーは一般的なGoogle検索を100分間行うだけで、ソーシャル・メディアおよびその他の公共の情報源に基づいた、説得力のあるストーリーを作成できます。

その他に、各登場人物に信ぴょう性を与えるための技法として、登場人物のメールアドレスまたは電話番号のなりすまし行為、または登場人物の実際のメールアカウントや電話番号へのアクセス権を、無許可で公然と獲得する行為などがあります。今後のプリテキスティングを垣間見ることのできる出来事ですが、2019年に詐欺師が英国のエネルギー会社から24万3,000米ドルを詐取しました。詐欺師は人工知能（AI）を使用して、同社の親会社におけるCEOの音声になりすまして不正の電話をかけ、同社の複数のサプライヤーに対する支払いを要求しました。

プリテキスティングの事例

ビジネス・メール詐欺（BEC）

ビジネス・メール詐欺（BEC）は、ターゲットを絞ったソーシャル・エンジニアリングの中でも特に悪質な種類の詐欺であり、プリテキスティングに大きく依存しています。 BECにおける登場人物は、ターゲットに対する権限や影響力のある、実際の会社役員またはビジネスの上層部に位置する関係者となります。状況としては、登場人物に緊急を要するタスクがあり、そのための支援が必要となっている、次のような例が挙げられます。「 今空港で立ち往生しているのですが、パスワードを忘れてしまいました。支払いシステムにパスワードを送信できますか （または 添付の請求書に支払いをするために、銀行の口座番号#YYYYYY にXXX,XXX.XX米ドルを送金できますか）。」

BECは毎年のように、最も高額なコストを伴うサイバー犯罪にランクインしています。 IBMの「データ侵害のコストに関する調査」レポート（2022年）によると、データ侵害の中でもBECによる被害額は、平均で489万米ドルになりました。また、2021年のBECによる被害者の損失額は、 FBIのインターネット犯罪苦情センター（PDF、1.3 MB（ibm.com外部のリンク））のデータによると、合計で約24憶米ドルになりました。

アカウント・アップデート詐欺

この詐欺では詐欺師がある会社の担当者を装い、請求先情報の期限切れや疑わしい購入など、被害者に対してアカウントに問題があるという通報を行います。詐欺師は通報内容にリンクを記載し、そのリンクが被害者を偽りのWebサイトに誘導することで、被害者の認証情報、クレジット・カード情報、銀行口座番号または社会保障番号を盗みます。

「祖父母」詐欺

この詐欺は、多くのソーシャル・エンジニアリング詐欺と同様に、高齢者をターゲットにしています。サイバー犯罪者は、被害者の孫になりすまして、交通事故や逮捕などの何らかのトラブルに巻き込まれているという理由で、病院費用や保釈金の支払いのために祖父母に送金してもらう必要があると装います。

ロマンス詐欺

デート・プレテキスティング詐欺では、詐欺師は、被害者との恋愛関係を望んでいるふりをします。詐欺師は通常、被害者の心を掴んだ後に、2人で一緒にいることに対して最終的に障害となること（巨額の債務、法律上の義務、または被害者のところへ行くための飛行機のチケット費用など）を取り除くことを理由に、金銭を要求します。

仮想通貨詐欺

詐欺師は、確実なオポチュニティーを得て成功している投資家を装い、被害者を偽りの暗号通貨取引所に誘導することで、被害者の財務情報または金銭を盗みます。連邦取引委員会（FTC）（ ibm.com外部へのリンク）によると、2021年1月から2022年3月までの間に米国の消費者は、仮想通貨詐欺によって10憶米ドル以上の損害を被りました。

IRS/政府機関詐欺

詐欺師はIRS職員、法執行官、またはその他の政府機関の代表者を装い、ターゲットとする人物が何かのトラブルを抱えている（税金の納付していない、逮捕令状があるなど）と主張して、住宅ローンの担保権、賃金差し押さえ、懲役を避けるために支払いを行うように仕向けます。その支払いは、当然ながら詐欺師の口座に送られます。

プリテキスティングおよびその他の種類のソーシャル・エンジニアリング

プリテキスティングは、次のような多くのソーシャル・エンジニアリングの主要なコンポーネントです。

フィッシング： プレテキスティングは、前述したようにスピア・フィッシング（特定の個人をターゲットとするフィッシング攻撃）、およびホエーリング（機密情報またはシステムへの特権アクセスを持つ会社幹部または従業員を狙ったスピア・フィッシング）などの、ターゲットを絞ったフィッシング攻撃の中で特に多く見られます。

ただしプリテキスティングは、ターゲットを絞らない「スプレー・アンド・プレイ」のEメール・フィッシング、ボイス・フィッシング（ビッシング）、またはSMSテキスト・フィッシング（スミッシング）詐欺にも関わっています。たとえば、詐欺師は 「[ここにグローバル銀行の名前を記入]：お客様の口座の残金がマイナスになっています」というようなテキスト・メッセージを数百万人もの人々に送信する場合があります。そこでは受信者の中にその銀行の顧客が数パーセントいること、そしてその内のさらに数パーセントの人々がメッセージに返信することを期待して送信されます。

テールゲーティング： 「ピギーバッキング」と呼ばれることもあるテールゲーティングとは、権限を保持しない者が、セキュアなオフィス・ビルのようなクリアランスを必要とする場所に入る際に、権限保持者に付いて行く場合をいいます。詐欺師は、テールゲーティングの成功率を高めるために、たとえば、疑いを持っていない従業員に対して、配達人としてドアを開けてもらえるように依頼するという、プレテキスティングを使用します。

ベイティング： これらの種類の攻撃では、犯罪者は、魅力的ながら不正アクセスされる罠で誘い込むことで、マルウェアをダウンロードするようにだまします。その罠は、物理的（公共の場所に意図的に放置している、悪意のあるコードがロードされているUSBスティックなど）である場合、またはデジタル（実はマルウェアである映画の、無料ダウンロードの広告など）である場合があります。詐欺師は、罠をより魅力的にするためにプリテキスティングをよく使用します。たとえば詐欺師は、不正アクセスをされるUSBドライブにラベルを付けることにより、そのドライブが特定の会社に属し、重要なファイルを保存していることを示唆する場合があります。

プリテキスティングに対する各法律

業界に特化した法律の中には、プリテキスティングの明示を対象としているものがあります。 1999年のグラム・リーチ・ブライリー法では、金融機関に関するプリテキスティングを犯罪行為とし、顧客の財務情報を虚偽表示によって入手することを違法とすると共に、金融機関に従業員がプレテキスティングを検知し、防止するためのトレーニングを行うことも要求しています。 2006年の電話記録およびプライバシー保護法では、電気通信プロバイダーが保持する顧客情報にアクセスするためにプレテキスティングを使用することを、明確に不法行為としています。

2021年12月にFTCは、いかなる政府機関又は企業になりすますことも正式に禁止とする、新しい規則（ibm.com外部のリンク）を提案しました。この規則によってFTCには、許可のないビジネスによるロゴ使用や、正当なビジネスを模倣する偽りのWebサイトの作成などの一般的なプレテキスティング行為の禁止を施行する、権限が与えられることになります。

プレテキスティングに対するサイバーセキュリティ対策

ソーシャル・エンジニアリングのその他のあらゆる形態を使用しているため、修復可能な技術的な脆弱性ではなく、人間の心理を悪用するプリテキスティングに対抗することは、困難である場合があります。ただし、組織として効果的な措置を取ることもできます。

ドメイン・ベースのメッセージ認証・報告（DMARC）： DMARCとは、Eメール認証に関するプロトコルであり、スプーフィングを防止できます。 DMARCは、Eメールが示すドメインから実際に送信されているのかについて検証します。 Eメールがなりすましによるものと判明した場合は、そのEメールをスパムのフォルダーに自動的に移動または削除することができます。
その他のサイバーセキュリティー技術：企業は、DMARCに加えてAI搭載のEメール・フィルターを実装することにより、既知のプレテキスティング攻撃で使用されたフレーズおよび件名を検出できます。セキュアなWebゲートウェイは、ユーザーが、フィッシングEメールに掲載されたリンクに従って不審なウェブサイトにアクセスすることを防止できます。攻撃者がプレテキスティングによってネットワークへのアクセス権を獲得した場合は、エンドポイントでの検知と対応（EDR）、ネットワークでの検知と対応（NDR）、および拡張された検知と対応（XDR）という各プラットフォームなどのサイバーセキュリティー技術が、悪意のある活動を阻止できます。
セキュリティーに関する啓発トレーニング：プリテキスティングは、人々を操作し、自らのセキュリティーを危険にさらさせるため、従業員にトレーニングを行い、彼らがプレテキスティング詐欺を検知および適切に対応できるようにすることは、組織を保護することにつながります。専門家は、従業員がプリテキスティングと同僚からの正当な要求の違いを認識できるようにするために、実際のプレテキスティング事例に基づいてシミュレーションを実行することを推奨しています。トレーニングには、準拠に必要であると想定される情報源が使用され、貴重な情報の取り扱い、支払いの承認、および要求の検証を行うための、明確なプロトコルも含まれています。