攻撃と脅威
クイド・プロ・クオ攻撃
別称: サービス交換型詐欺
定義
サービスや利益の提供と引き換えに、被害者から情報やアクセス権を引き出そうとするソーシャルエンジニアリング攻撃。
クイド・プロ・クオ攻撃は「返報性」の心理を悪用します。攻撃者は助けや贈り物、サービスを提供すると申し出る代わりに、対象に協力を求めます。典型例は IT サポートを装って従業員に電話をかけ、存在しない問題を直してあげると持ち掛けながら、認証情報の開示、ウイルス対策の無効化、実はマルウェアである「診断ツール」のインストールを誘導するものです。偽のアンケート報酬、無料ソフト、ログイン情報と引き換えに有料コンテンツを提供すると装うパターンもあります。対策としては、サポート依頼を既知の経路で検証すること、管理操作を信頼できるヘルプデスク ID に限定すること、意識向上トレーニング、突然の連絡を社員が容易に検証できる仕組みの整備などが有効です。
例
- 攻撃者が無作為に従業員へ電話し、ドメイン認証情報と引き換えに「遅い Wi-Fi を直す」と申し出る。
- ポップアップが「会社のメールとパスワードを入力すれば無料ギフトカードを進呈」と謳う。
関連用語
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
ベイティング
魅力的な物理メディアやデジタルコンテンツを餌として被害者を誘い、マルウェアの実行や認証情報の窃取を狙うソーシャルエンジニアリング攻撃。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
ビッシング
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
テクニカルサポート詐欺
著名ベンダーのテクニカルサポートを装い、リモートアクセスツールの導入、認証情報の提供、虚偽サービスへの支払いをさせる詐欺。