プリテキスティングはいつでもどこでも発生する可能性があるため、プリテキスティングとは何なのか、またプリテキスティングから従業員を守る方法を理解することが重要です。 よくわからないリンクをクリックしないこと、個人情報をオンラインで共有しないこと、プリテキスティングの手法について従業員を教育することにより、その攻撃から企業を守ることができます。
プリテキスティングについて、そして、被害者に機密情報を暴露させるためにサイバー犯罪者が使用するテクニックを詳しく学びましょう。
プリテキスティングとは?
プリテキスティングはソーシャル エンジニアリング 攻撃の一種であり、サイバー犯罪者が作り話をでっちあげて被害者を説得し、機密情報を暴露させることでシステムへの不正なアクセス権をサイバー犯罪者に与えます。
プリテキスティングは、対面、電話、テキストメッセージなどさまざまな形式で行われます。サイバー犯罪者は、より説得力を持たせるために自分自身と被害者との間に関係を構築しようとします。 彼らは多くの場合、オンラインで見つけた被害者に関する情報を利用して、自分たちの存在が本物であると信じ込ませます。 彼らは被害者の以前の職歴や現在の雇用情報などを利用して、信頼できるものであると説得します。
プリテキスティング手法の種類
サイバー犯罪者が被害者の機密情報を漏らしたり、システムへの不正アクセス権を付与させるために使用するプリテキスティング手法には、さまざまなタイプがあります。 ここでは、サイバー犯罪者が使用する多くのプリテキスティング手法のうちのいくつかを紹介します。
ピギーバッキング
ピギーバッキングとは、サイバー犯罪者がネットワーク、システム、または物理的な建物にアクセスすることを試みる、プリテキスティング手法のひとつです。 サイバー犯罪者は、使用されている WiFi が安全なものではない場合、ネットワークやシステムにアクセスすることができます。 サイバー犯罪者は、従業員の親切心を利用し、開いたままのドアを通過することで、建物にアクセスできます。
従業員の多くがログインしたままデバイスから離れることが多い建物にサイバー犯罪者が侵入した場合は特に危険です。 サイバー犯罪者は、簡単に侵入し、数回のクリックで機密情報を盗むことができてしまいます。
サイバー犯罪者がピギーバック技術を使用する目的は、ネットワークや物理的な建物にアクセスし、悪意のあるアクティビティを実行することです。
テールゲーティング
テールゲーティングはピギーバッキングと似ていますが、両者を区別する上で大きな違いがあります。 テールゲーティングは、ピギーバッキングと同様に、サイバー犯罪者がアクセス権のない物理的な建物にアクセスしようとするものですが、テールゲーティングが異なるのは、サイバー犯罪者が他の人に知られずに建物にアクセスする点です。 サイバー犯罪者は、ドアが閉まる瞬間に開いているドアをすり抜け、あたかも自分が建物に合法的にアクセスしたかのように見せかけることができます。 テールゲーティング技術を使うことで、従業員は誰が建物に入ったのかわからなくなり、すべての企業データが侵害されるリスクにさらされることになります。
フィッシング
フィッシングは、最もよく使われるプリテキスティング手法のひとつです。 2022 年第 3 四半期、フィッシング対策協議会(APWG)は、合計 1,270,883 件のフィッシング攻撃があったと報告しており、新記録であると主張しています。
フィッシング攻撃は、標的の個人を説得し、クレデンシャル、クレジットカード番号などの機密情報を開示させることを目的としています。 フィッシングは、通常、信頼できるソースから来たと主張する緊急メールの形で偽装されることが多くなっています。 フィッシング攻撃の目的は、ターゲットとなる個人が考え直すことなく添付ファイルやリンクを開いて、即座に行動を起こすように仕向けることです。 よくわからないリンクや添付ファイルをクリックすると、マルウェアに感染し、自分の情報が危険にさらされる可能性があります。
ビッシング
ビッシングとは、フィッシング詐欺と似ていますが、より巧妙で効果的な攻撃です。 ビッシングとは、実在の人物があなたに電話をかけてきて、本人ではない誰かを名乗ることです。 その目的はフィッシングと同じで、ターゲットとなる人物に機密情報を開示させ、それを自身の悪意ある目的に利用することです。
自分自身と組織をプリテキスティングから守る方法
以下のヒントに従って、自分自身と組織をプリテキスティングの被害者となることから守りましょう。
よくわからないリンクや添付ファイルをクリックしないようにしましょう
予期しないメールやテキストメッセージを受け取った場合は、リンクや添付ファイルをクリックしないようにしましょう。 クリックすると、マルウェアに感染し、サイバー犯罪者があなたのすべての情報にアクセスできるようになってしまう可能性があります。
個人情報をオンラインで共有しない
現代では、多くのソーシャルメディアプラットフォームがあり、そこで自分の経験や自分の人生を共有したくなることがありますが、慎重に行うようにしてください。 サイバー犯罪者があなたにとって不利になるように使用できる個人情報は、対面でもオンラインでも共有しないようにしましょう。
個人情報の要求には応じない
オンライン上で共有する情報に注意することと同様に、個人情報の開示を求める人に注意することも重要です。 個人情報や機密情報の提供を求められたら、なぜ知る必要があるのか質問しましょう。
知らない人に機密情報や個人情報を明かす義務はないので、決してプレッシャーを感じる必要はありません。
プリテキスティング手法を特定できるように従業員をトレーニングする
ピギーバックやテールゲーティングなどのプレテクシングのテクニックは、リアルタイムで起こる可能性があります。 従業員がオフィスビルに入るときは常に後ろを見ることを徹底させ、許可なく人が入らないようにしましょう。 許可されていない人の通行を防ぐために、建物のロビーに人員を追加することも考えられます。
直接発生するプリテキスティング手法とは別に、フィッシングやビッシングなどの他のすべてのプリテキスティング手法を従業員が認識していることも重要です。 これを行う 1 つの方法として、組織にフィッシング トレーニングを実施することがあります。 フィッシングトレーニングは、従業員がフィッシングメールを識別するのに役立ち、何を注意すべきなのかを知ることができます。 セキュリティ意識向上トレーニングのひとつに、KnowBe4 があります。 KnowBe4 は、組織で導入できるトレーニングプログラムで、従業員向けにさまざまな学習モジュールが用意されているほか、シミュレーションとしてのフィッシングメールを送信することで、従業員がフィッシングメールの識別能力に自信を持てるようにすることができます。
ビジネス向けパスワードマネージャーを入手する
プリテキスティングに関して言えば、会社のデータを安全に保つために導入できる最も重要なサイバーセキュリティソリューションの 1 つは、ビジネス向けパスワードマネージャーです。 ビジネス向けパスワードマネージャーは、従業員のパスワード要件を強制しつつ、安全に保管することができるツールです。 パスワードマネージャーは、機密情報やクレデンシャルを漏洩の危険にさらすことなく、安全に共有することを可能にします。
もし、自分の組織がプリテキスティングの犠牲になることがあったとしても、パスワードマネージャーを使えば、それ以上の被害が出ないように、それぞれのアカウントで新しい強力な独自のパスワードを生成することができ、簡単にアカウントを保護することができます。
まとめ:プリテキスティングから保護された状態を保つ
プリテキスティング手法は、ソーシャルエンジニアリングの一形態であり、その巧妙な手口により、従業員が被害を受けるリスクが高まります。しかし、従業員がこれらの手法の危険性や典型的なサインを認識することで、被害を未然に防ぐことが可能です。
従業員に個人情報のオンライン共有に伴うリスクを理解させることは、企業全体のセキュリティを強化する上で重要です。Keeperのようなサイバーセキュリティソリューションへの投資は、機密データの安全を確保するために不可欠です。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。