ワンクリック詐欺から身を守るためには、どんなに不安を
プリテキスティング攻撃とは、ソーシャルエンジニアリング攻撃の一種で、犯罪者がストーリーをでっちあげ、ターゲットに機密情報を漏洩させたり、金銭を送信させたりするように説得することから、「プリテキスト(もっともらしい理屈)」と呼ばれます。プリテキスティング攻撃には、電話、テキストメッセージ、メール、さらには対面など、さまざまな形態があります。犯罪者は、プリテキスティング攻撃を実行する前に、ターゲットについてできる限り多くの情報を収集し、自分が知っている人物である信じ込ませます。
ここでは、プリテキスティング攻撃の詳細と、この種のサイバー攻撃から身を守るためにできることを説明します。
プリテキスティングとフィッシング:その違いとは?
プリテキスティングとフィッシングは、どちらもソーシャルエンジニアリング攻撃の一種で、2 つは非常に似ています。どちらも、犯罪者が潜在的なターゲットについての情報を収集し、心理的な操作によって機密情報を公開するよう説得したり、金銭を送らせたりするものです。
ただし、プリテキスティングとフィッシングには、1 つの大きな違いがあります。プリテキスティングは、サイバー犯罪者を信頼させるために構築した嘘の物語を利用します。例えば、建物に物理的にアクセスしようとする場合、IT チームのメンバーなど重要な人物のふりをしてプリテキスティング攻撃を開始します。逆に、フィッシング攻撃は、緊急性と恐怖感を利用します。例えば、フィッシングメール詐欺は、「今すぐ行動をとれ」とのメッセージが一般的で、従わなければ「銀行口座が永久にロックされる」といった重大な結果を提示します。切迫感を持たせて、ゆっくり考慮せずに素早く行動を起こすよう被害者を駆り立てます。
フィッシング詐欺でプリテキスティングを活用することはよくあり、逆もまた同様だということを知っておくことが重要です。例えば、フィッシングメールやテキストメッセージは、同僚や友人など、あなたがよく知っている人をかたります。
プリテキスティング攻撃の仕組み
プリテキスティングは、多くのソーシャルエンジニアリング攻撃と同様に、サイバー犯罪者が調査を行うことから始まります。被害者になりそうな人の雇用先、SNS のプロフィールなどを調べ、人物を理解します。攻撃に必要な情報を得た後、なりすます相手と、被害者を説得するために使うストーリーを考えます。
最も一般的なプリテキスティング攻撃
ここでは、一般的なプリテキスティング攻撃を紹介します。
振り込め詐欺
振り込め詐欺は、技術の進歩に伴い、より巧妙になっています。この種の詐欺では、かけ子が被害者の孫や近親者になりすまして、彼らがトラブルに巻き込まれたことを信じ込ませようとします。例えば、彼らは刑務所にいて、保釈金が必要だと主張します。犯罪者は電話をかける人物を詐称し、知り合いの誰かが電話しているのように見せかけます。被害者がだまされた場合、犯罪者は金銭を送るように指示を出します。
振り込め詐欺は、人工知能(AI)の高度な機能のために、より巧妙になっています。AI を使用し、犯罪者が愛する人の声を真似て、詐欺をより真に迫らせることもあります。
ロマンス詐欺
ロマンス詐欺は、犯罪者がオンライン上で恋愛対象を装い、被害者の信頼を勝ち取ることで起こります。この種のプリテキスティング詐欺は、数週間、数ヶ月、数年をかけて行う事もあります。詐欺の過程で、犯罪者は一時的なローンを求めたり高価な贈り物を求めたりします。
2022 年、FBI のインターネット犯罪苦情センター(IC3)は、ロマンス詐欺に関し 1 万 9,000 件以上の苦情を受け取り、被害額はほぼ 7 億 4,000 万ドルに達しました。
CEO詐欺
CEO詐欺とは、サイバー犯罪者がターゲットの人物の会社の CEOになりすまして、ギフトカードなどの形で送金させたり、機密情報を共有させたりしようとする行為です。この攻撃を実行するために、犯罪者はフィッシングの手法を活用して緊急事態を装います。
CEO詐欺の場合、悪意のある犯罪者は頼み事をする前に、ターゲットに何回もメッセージを送ったり、メールを送ったりすることがあります。これは、ターゲットとの信頼関係を構築し、ターゲットからの信頼を得るのに役立ちます。
プリテキスティング攻撃で使用される手法
サイバー犯罪者がプリテキスティング攻撃に使用する手法をいくつかご紹介します。
なりすまし
なりすましとは、まさにその名の通り、被害者が知っている人になりすまします。友人や同僚などになりすますことで、犯罪者はターゲットの信頼を得ることができます。ターゲットの信頼を得て、指示に従うように説得し、攻撃を成功させるためには、信頼が鍵となります。
フィッシング
フィッシングは、正当な発信者から送信されたと思わせる緊急メールを通じ、ターゲットを説得して機密情報を開示させることを狙います。フィッシングは、人が簡単に騙される傾向があるため、最も一般的なプリテキスティング手法です。フィッシングメールには悪意のあるリンクや添付ファイルが含まれていることが多く、被害者がクリックするとデバイスがマルウェアに感染します。マルウェアとは、犯罪者によるターゲットデバイスの機密情報へのアクセスを可能にする悪質なソフトウェアの一種です。
ピギーバッキング
ピギーバッキングとは、犯罪に気づかずに手をかす人を介して、犯罪者がシステム、ネットワーク、物理的な場所にアクセスしようとするプリテキスティングの手法です。例えば、物理的な建物にアクセスするために、誰かがドアが開くときに犯罪者が背後に近付き、閉まる直前にドアをすり抜けます。
ピギーバッキングの別の例は、誰かがロックやログアウトなどの予防措置を講じずに、デバイスを放置することです。デバイスをロックせずに放置すると、犯罪者がデバイスにアクセスしたり、データ侵害を行ったりすることが容易になります。例えば、カフェでコンピュータのロックを解除したままにしておくと、あなたがいない間に他の客が銀行口座のような機密情報に簡単にアクセスできてしまいます。
プリテキスティング攻撃から身を守る方法
プリテキスティング攻撃から身を守る方法をいくつか紹介します。
アカウントを強化する
フィッシングメールをクリックして、プリテキスティング攻撃に巻き込まれてしまう可能性があれば、アカウントのセキュリティ強化が最も重要な対策のひとつになります。つまり、アカウントごとに強力でユニークなパスワードを設定し、多要素認証(MFA)を有効にします。
パスワードマネージャーは、パスワードを生成、管理、安全に保管するのに役立つため、容易にアカウントを強化できます。また、パスワードマネージャーを使えば、アカウントに二要素認証(2FA)を追加することも容易になります。2FAコードを見つけて手動で入力するために別のアプリケーションやデバイスを使うことなく、2FAコードを自動入力することができます。
オンラインで共有する情報に注意する
プリテキスティング攻撃をするために、サイバー犯罪者はあなたの個人的な生活や仕事を掘り下げます。犯罪者は、見つけた情報から、ターゲットに機密情報を開示させるにはどのような手法が効果的かを特定します。この種の攻撃から身を守るため、オンライン上に投稿する内容に注意し、デジタルフットプリントを整理することを検討する必要があります。デジタルフットプリントを整理すると、悪意のある犯罪者があなたの人生の詳細を見つけにくくなり、パーソナライズされたサイバー攻撃であなたをターゲットにしにくくなります。
フィッシング詐欺に気付く方法を学ぶ
フィッシング詐欺は、年月をかけて高度になってきているため、気付くことは難しい場合がありますが、不可能なわけではありません。メール、テキストメッセージ、電話がフィッシング詐欺であるかどうかを確認するための兆候をいくつか紹介します。
● 突然、個人情報の要求をしてくる
● メールやテキストメッセージの文法ミス、スペルミス
● 急かせるような言葉
● 不審なリンクや添付ファイルが送信される
不審なリンクや添付ファイルをクリックしてはいけません
要求したことのないリンクや添付ファイルをクリックすると、コンピュータがマルウェアに感染する可能性があり、すべてのデータが漏洩または盗難のリスクにさらされます。自分が求めたものではないリンクをクリックする前に、リンクが安全かどうかを確認します。リンクの安全性を確認するには、マウスオーバーして実際のウェブサイトのアドレスを確認するか、Google 透明性レポートのような URL チェッカーにリンクを貼り付けます。
不審な添付ファイルに関しては、予期しない添付ファイルはクリックしないことが最善です。知り合いからのものであると主張する場合は、開く前に別の通信方法を使用して確認します。
マルウェア対策ソフトウェアとウイルス対策ソフトウェアをインストールする
マルウェア対策ソフトウェアは、ウイルス対策ソフトウェアと似ていますが、マルウェア対策はルールをより迅速に更新することができます。つまり、新しいバージョンのマルウェアやウイルスに対する保護が強化されます。最適なセキュリティのために、マルウェア対策とウイルス対策ソフトウェアの両方をコンピュータにインストールし、インターネット上に潜む古い脅威と新しい脅威の両方から保護することをお勧めします。
まとめ:プリテキスティングから対策をしよう
プリテキスティング攻撃は、データ盗難だけでなく金銭的な損失も引き起こす可能性があるため、これらの攻撃から身を守る方法を学ぶことは非常に重要です。まず簡単にできるプリテキスティングの対策としては、アカウントのセキュリティを強化することです。
Keeperのような、パスワードマネージャーを使用することで簡単にログイン情報などのセキュリティを一気に強化できます。
この機会にKeeperパスワードマネージャーの無料30日間トライアル体験を試してみてはいかがでしょうか。