攻撃と脅威
プリテキスティング
別称: なりすまし詐欺
定義
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
プリテキスティングは、多くのソーシャルエンジニアリング攻撃の土台となる手法です。攻撃者は事前に対象を調査し、監査担当・IT 技術者・採用担当・宅配業者・役員などになりすました信頼性のある「口実」を組み立て、要求の正当性を装います。機会型のフィッシングと異なり、ターゲットを絞り、LinkedIn・流出データ・OSINT から得た本名・社内用語・組織図情報を活用します。口実によって相手の警戒心が下がり、パスワードリセット・送金・施設入退室などの不審な依頼が通りやすくなります。対策には、信頼できる連絡先リストでの折り返し確認、重要操作の二重承認、意識向上トレーニング、公開する組織情報の最小化などがあります。
例
- 「IT サポート」を名乗る人物から電話があり、「セキュリティ警告を確認するため」MFA コードを尋ねられる。
- ベンダーを装った攻撃者が、経理部門に支払先口座情報の更新を依頼する。
関連用語
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
ビッシング
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
CEO 詐欺
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。
クイド・プロ・クオ攻撃
サービスや利益の提供と引き換えに、被害者から情報やアクセス権を引き出そうとするソーシャルエンジニアリング攻撃。