「プレテキスティング」

プレテクスティングの定義

プレテクスティングは、攻撃者がシナリオや口実を作り、それを利用してターゲットを操作し、機密情報を引き出す社会工学の一形態です。これはしばしば、信頼感を偽って演出し、重要なデータを引き出すことを伴います。

プレテクスティングの仕組み

プレテクスティングには、攻撃者がターゲットを欺き機密情報を収集するためにとるいくつかのステップがあります。以下がそのプロセスの概要です:

  1. 虚偽の物語や口実の作成: 攻撃者はターゲットとの信頼関係を築くために、信頼できる魅力的な背景を作り出します。これは、同僚やITサポート担当者、金融機関の担当者を装うことを含む場合があります。

  2. 信頼を築き、ターゲットの警戒心を下げる: 攻撃者は巧みにラポートを築き、ターゲットの信頼を得るために人間の感情やニーズを利用します。彼らは同情、権威、緊急性を利用して、ターゲットに口実の信頼性を信じさせるように操作します。

  3. ターゲットとの会話に従事する: 信頼が築かれた後、攻撃者はターゲットと会話に入り、望む情報を得ることに集中します。会話は、電話、メール、対面などのさまざまな通信手段を通じて行われることがあります。

  4. 機密情報の引き出し: 偽の安全感と信頼を通じて、攻撃者はターゲットに機密情報を開示させます。これには、ログイン資格情報、財務詳細、個人情報、あるいは企業の機密データなどが含まれる場合があります。

防止のヒント

プレテクスティングには深刻な結果が伴う可能性がありますが、個人や組織は自らを守るための手段を講じることができます。以下は防止のためのヒントです:

  1. 個人情報と機密情報に注意を払う: たとえ要求が正当であるように見えても、個人情報や機密情報を共有することに警戒してください。重要な詳細やデータを提供する前に、よく考えてください。

  2. 要求者の身元確認: 機密情報を求める要求を受け取った場合、特にそれが予期しないものであったり怪しい場合は、相手の身元を確認する時間を取りましょう。確認された連絡先情報など、公式の方法を使用して要求の正当性を確認しましょう。

  3. 従業員に社会工学の手口について教育する: 定期的なトレーニングプログラムを実施し、プレテクスティングを含むさまざまな社会工学の手口について従業員に教育します。懐疑心を育て、従業員が機密情報を求める要求に対して質問を投げかけることや、怪しい行動を報告することを奨励します。

プレテクスティングは常に進化する手法であり、最新の技術について情報を保持することは効果的な防止に不可欠です。

関連用語

  • ソーシャルエンジニアリング:ソーシャルエンジニアリングは、機密情報を開示させたり、セキュリティを損なう行動を取らせるために個人をだます心理的操作を指します。プレテクスティングは、ソーシャルエンジニアリングで用いられる手法の一つです。
  • フィッシング:フィッシングは、攻撃者が信頼できる組織を装って、個人にパスワードやクレジットカードの詳細、個人データなどの機密情報を開示させるサイバー攻撃の一種です。フィッシングはしばしばメールやウェブサイトのスプーフィングに関連し、他の形のソーシャルエンジニアリングとされています。

出典

  1. Wikipedia - Pretexting
  2. TechTarget - プレテクスティング
  3. US-Cert - 社会工学とプレテクスティング
  4. Imperva - What is Pretexting?
  5. DarkReading - プレテクスティングの仕組み

Get VPN Unlimited now!

other platforms