Pretexting - Fabricated Scenarios for Data Theft
About 2 min read
プリテキスティングとは、架空のシナリオ (プリテキスト) を作り上げ、標的の信頼を得て 機密情報やアクセス権限を引き出すソーシャルエンジニアリング手法です。フィッシングが 技術的な偽装 (偽サイト、偽メール) を主な武器とするのに対し、プリテキスティングは 人間関係の構築と心理操作を核とします。攻撃者は IT サポート担当者、人事部門、 取引先の営業担当など信頼される役割を演じ、標的が自発的に情報を提供するよう誘導します。
フィッシングとの違い
| 観点 | プリテキスティング | フィッシング |
|---|---|---|
| 主な武器 | 人間関係の構築・心理操作 | 技術的偽装 (偽サイト・偽メール) |
| 接触方法 | 電話、対面、メール (複数回のやり取り) | メール、 SMS が中心 (単発) |
| 準備期間 | 長い (標的の調査に数日 - 数週間) | 短い (テンプレートの大量送信) |
| 標的の数 | 少数の特定個人 | 不特定多数 - 特定個人まで幅広い |
| 成功率 | 高い (信頼関係を構築するため) | 低い (大量送信で確率を稼ぐ) |
典型的なシナリオ
「セキュリティアップデートのため、パスワードを確認させてください」と電話し、認証情報を聞き出す。社内の IT 部門の名前や内線番号を事前に調べ、信憑性を高める。
「給与システムの移行に伴い、銀行口座情報の再登録が必要です」と従業員に連絡し、個人情報を収集する。年末調整や人事異動の時期に合わせて実行される。
「請求書の振込先口座が変更になりました」と経理担当者に連絡する。実在する取引先の担当者名を使い、過去の取引内容にも言及して信頼を得る。
「極秘の M&A 案件で至急送金が必要」と財務担当者に指示する。CEO や CFO の出張中を狙い、直接確認しにくいタイミングで実行される。
プリテキスティング攻撃のフロー
統計データ - 増加するプリテキスティング
Verizon の DBIR (Data Breach Investigations Report) によれば、プリテキスティングは ソーシャルエンジニアリング攻撃の中で急速に増加しています。 2023 年版 DBIR では、 ソーシャルエンジニアリングによるインシデントの約 50% がプリテキスティングに分類され、 フィッシングとほぼ同等の割合に達しました。特にビジネスメール詐欺 (BEC) の 多くがプリテキスティングの手法を用いており、 BEC の被害額増加と連動して プリテキスティングの脅威も拡大しています。
防御策
電話やメールで機密情報を求められた場合、事前に登録された連絡先に折り返して本人確認する。相手が名乗った番号には架電しない。
送金指示や口座変更の依頼を受けた場合、別の通信手段 (社内チャット、対面) で依頼者本人に確認する。
定期的な訓練でプリテキスティングの手口を従業員に周知する。実際のシナリオを模した演習が効果的。
SNS や企業サイトで公開する組織図、担当者名、内線番号などの情報を必要最小限に抑える。
よくある誤解
「自分は騙されない」という自信こそが、プリテキスティングの最大の味方です。 攻撃者は標的の心理を巧みに操り、「助けてあげたい」「上司の指示に従わなければ」 という自然な感情を利用します。セキュリティ意識の高い人でも、巧妙なシナリオの前では 判断力が鈍ることがあります。
プリテキスティングはビッシング (電話詐欺) やホエーリングと 組み合わせて使われることが多く、これらの手法を横断的に理解することが防御の鍵です。social engineering books on Amazonで攻撃者の心理操作テクニックを学ぶことを推奨します。ソーシャルエンジニアリング防御、実際のソーシャルエンジニアリング事例、内部脅威対策も あわせて参照してください。
Was this article helpful?