プレテキスティング - 種類と防止手法

プレテキスティングとは？

「長い期間利用されていない貴社の銀行口座を、今すぐ有効化するために銀行情報を教えてください」というメッセージをご存知でしょうか？ 

もしそうなら、誰かがプレテキスティングという社会工学手法で貴社を狙っているということを理解していただきたい。この手法はインターネット以前から存在していましたが、インターネットの普及によりより頻繁になりました。イギリスでは、このような行為を「blagging」と呼んでおり、タブロイド紙が有名人に対する悪評を流すために利用していました。

具体的に解説いたします。

この手法では、詐欺師が緊急性や重要性を感じさせる文面を送り、受け手に必要な情報を提供させるよう仕向けます。攻撃者が被害者を誘い込む口実やストーリーを作るため、「プレテキスティング攻撃」と呼ばれます。 

つまり、犯罪者は自らを信頼できる存在に見せかけ、被害者のために行動しているかのように装いますが、実際はそうではありません。

プレテキスティングの種類

詐欺師は人を騙す方法がいくつもあるため、プレテキスティングにも多様な手法が存在します。次に代表的な手法を紹介します。

• Tailgating
  

しばしば piggybacking とも呼ばれるこの手法は、被害者や資源のセキュリティを狙います。映画などで、宅配業者、電気技師、配管工、あるいは社員などの信頼できる人物に扮して建物や企業へ不正侵入するシーンを何度も見たことがあるでしょう。これが tailgating のプレテキスティングです。 

つまり、不正な者が認証された資源を監視し、制限付きの施設や資源に侵入できる好機を狙うのです。その目的は、アクセス制御を破り安全な資源や敷地に侵入することにあります。 

ソフトやアプリの場合も同様に、信頼できるものに見せかけた悪意あるソフトやアプリが登場します。

• Impersonation
  

この手法は、他人の行動や言動を真似るという意味です。手軽で効果的なため、多くの詐欺で利用されます。 

この方法では、詐欺師が被害者が最も信頼する人物に成りすまし、システムへのアクセスを試みます。状況により、詐欺師は被害者の社員、親族、上司、友人などとして、メールアドレスや銀行のパスワードなど重要な情報を求めます。

この手法は非常に一般的で、多くの悪名高い攻撃の原因となってきました。たとえば、Ubiquiti Networks は 2015 年にこのなりすまし型のプレテキスティング攻撃により 4670 万ドルの損失を被りました。しかし、なりすましだけでなく、メールのなりすましも利用され、SIM スワップもこの手法に該当します。 

• Piggybacking
  

この種類のプレテキスティングはネットワークを狙います。この手法では、正当な利用者が開始した既存のセッションに乗る形で、不正に制御されたチャネルへアクセスを試みます。被害者のセッションに乗るため、ハッカーは本来アクセスできない信頼された資源に侵入します。無線ネットワークの場合、piggybacking は違法です。 

この手法は無料のネットワークアクセスを利用し、認証済みユーザーのデータの流れを制限することもあります。IT ネットワークと Wi-Fi ネットワークでの piggybacking が最も一般的です。

• Baiting
  

トロイの木馬に最も類似している baiting は、メディアの力を借り、対象の好奇心や貪欲さを利用します。見た目はフィッシングに似ていますが、場合によっては被害者に利益をもたらすこともあり、常に悪影響を与えるフィッシングとは異なります。 

例えば、baiting では、対象に無料の音楽や映画を提供する代わりに、情報を引き出すケースがあります。これはデジタルと実世界の双方で見られます。

• Vishing and Smishing
  

音声や電話を利用したフィッシングは、Vishing 攻撃と呼ばれます。この手法では、攻撃者が電話で重要な情報を引き出そうと試み、音声認証技術の欠陥を突きます。 

信頼性を装うため、高度な VoIP 機能（IVR、AI の音声、発信者番号表示など）を巧みに利用します。 

テキストのみを使った詐欺は smishing と呼ばれます - smishing の定義。

• Scareware
  

名前の通り、scareware は被害者に恐怖を与えるマルウェアであり、不正なソフトがダウンロードまたは購入されたと主張します。攻撃者は多数の偽ポップアップを用いて対象の判断を狂わせ、システムのパフォーマンス低下や頻繁なフリーズによって存在が明らかになります。

• Pretexting vs phishing 
  

どちらも社会工学の一種なため同一と思われがちですが、phishing はメールを利用し、pretexting は電話やテキストを利用する点で異なります。

phishing は緊急性を煽り被害者に即座の行動を促します。一方、pretexting はなりすましにより、人の不注意や恐怖、誤認の隙を突き、適切な対策が取られないと大きな被害をもたらします。 

プレテキスティングの事例 

プレテキスティングは想像以上に多く発生しています。よく観察すると、実際の例が数多く確認できます。

• 友人が助けを求めている 
  

スピアフィッシングの一例となりすまし手法では、大切な人物が危機に陥っていると伝えて緊急性や混乱を煽ります。 

また、CEO 詐欺もこの手法の一種であり、ハッカーが上層部に成りすまし、従業員に即座の行動を迫ります。

• サプライズが待っている 
  

このプレテキスティングでは、無料の贈り物やサプライズを装い、対象の好奇心を刺激します。興味を引かれると、ハッカーは贈り物の受け取りや開封のために少額の手数料やクレジットカード情報を要求し、問題が始まります。 

• クレジットカードの有効期限が近づいています！ 更新はこちら 
  

これは非常に一般的なプレテキスティングの例です。クレジットカードが広く利用される決済手段であるため、詐欺師はその情報を狙います。

プレテキスティングと米国法

詐欺、データ窃盗、金銭の不正取得に関わるため、米国ではプレテキスティングは違法です。どの分野においてもプレテキスティングを試みる行為は不法行為とみなされ、米国には多くの法律があります。1999年の Gramm-Leach-Bliley 法は、いかなる形でも罰せられる違法行為であると定め、この法律に基づく組織は従業員にプレテキスティングについて教育し、適切な防御策を講じる義務があります。この法律は金融機関にも適用されます。 

米国にはプレテキスティングに特化した法律がひとつ存在します。2006年に制定され、「電話記録およびプライバシー保護法」として知られ、通信事業者とその保持するデータが対象となります。 

プレテキスティングを防ぐには

プレテキスティングは想像を超える被害を引き起こす恐れがあります。注意を怠ると、貴重な資産や評判に大きな損失をもたらす可能性があります。多様な手法があるため、早期発見と効果的な対策が難しい場合もありますが、適切なアプローチと意識向上により十分に防ぐことが可能です。 

以下に、プレテキスティングに対抗するための有効な防御策をいくつか紹介します。

DMARC

DMARC は、SPF と DKIM を活用し、メールを使った攻撃、スプーフィング、フィッシングを防ぐための無料技術仕様です。効果的ではありますが、その適用範囲は限られており、管理が複雑になる場合もあります。 

AIを用いたメール解析

DMARC の弱点は、AI を用いたメール解析で巧みに補えます。最新の技術により、プレテキスティング攻撃を狙った怪しい行動を検知可能です。先進的なシステムは、メールトラフィック、関連ドメインの異常、なりすましを容易に識別し、NLP の導入によって精度が向上し、失敗率が低減されます。 

利用者の教育 

教育はあらゆる問題や危険に対抗する最良の手段です。この理念に基づき、組織は従業員やクライアントにプレテキスティングについて教育することを推奨します。 

事例や実際の例を用い、プレテキスティングの手口やそれに伴う被害について伝えてください。メールなりすましや関連ドメインについても多く説明すると良いでしょう。 

また、Wallarm のプレテキスティング対策もご活用いただけます。 

API Security - Wallarm は高度に自動化された API セキュリティ戦略を提供し、包括的な守りを実現します。API の公開初期から保護が始まるため、脆弱性への対応がしやすくなっています。Wallarm の API セキュリティは API の種類に依存せず、SOAP、REST など主要な形式すべてに対応可能です。

Bot Protection - Wallarm の最新の Bot 保護戦略により、API やモバイルアプリなどへの不正アクセスやボットのリスクが大幅に低減されます。ボットのトラフィックを綿密に監視し、アカウント乗っ取りなどのリスクを防ぎます。

DDoS Protection - Wallarm の高度な DDoS 保護戦略により、DDoS 攻撃を含むプレテキスティング事例に対応します。不正な攻撃を継続的にブロックし、システムの稼働率を高め、パフォーマンスへの影響を最小限に抑えます。 

Wallarm のDDoS保護 - 非常に高い能力を有し、クラウドネイティブやオンプレミスの資源を容易に守ります。クライアント側の保護についても、Wallarm は JavaScript コードの外注に完全な権限を与えることで、クライアント側のプレテキスティングリスクを軽減し、隠れたサプライチェーンリスク、データ漏洩、その他の脆弱性を管理可能とします。

API Threat Prevention - API Discovery、Cloud WAF、Automated Incident Response などの有力な API 脅威防止技術を採用し、Wallarm は各ライフサイクル段階で API を安全に保ちます。 

Wallarmによるプレテキスティング防御 

‍Wallarm のソリューションを利用することで、あらゆる種類のプレテキスティング攻撃に対し、包括的な守りが実現されます。APIセキュリティサービスは、APIやアプリの総合的な守りを提供し、被害を未然に防ぎます。Wallarm のセキュリティ手法は、ウェブアプリ、マイクロサービス、API を網羅しています。