プリテキスティング ぷりてきすてぃんぐ
ソーシャルエンジニアリングなりすまし詐欺フィッシング情報漏洩信頼構築
プリテキスティングについて教えて
簡単に言うとこんな感じ!
「IT部門の者ですが、緊急対応でパスワードが必要です」みたいに、嘘のシナリオ(口実)を作って人を信用させ、情報を引き出す手口だよ。技術じゃなくて「話術」で騙すやつなんだ!
プリテキスティングとは
プリテキスティング(Pretexting) とは、攻撃者が架空の人物・役職・状況などの「プリテキスト(口実・でたらめな前提)」を作り上げ、ターゲットに信頼させることで機密情報やアクセス権を騙し取るソーシャルエンジニアリングの手法です。「pretex(口実)」+「-ing(行為)」が語源で、直訳すると「口実を作ること」になります。
技術的な脆弱性を突くのではなく、人間の心理(親切心・権威への服従・焦り・信頼感)を悪用する点が最大の特徴です。たとえば、攻撃者が「社長室の秘書」「銀行の調査担当」「ITヘルプデスクのスタッフ」などを演じ、それらしいシナリオを用意したうえでターゲットに接触します。
フィッシングメールのように「怪しいリンクを踏ませる」のとは異なり、プリテキスティングは電話・対面・メール・SNSなど多様な手段で行われ、事前に綿密な調査(OSINT)を組み合わせることで非常に説得力の高い攻撃になります。
プリテキスティングの構造と手口
攻撃の流れ
| ステップ | 内容 | 具体例 |
|---|---|---|
| ① 情報収集 | LinkedInや会社HPなどで社員名・部署・業務内容を調査 | 「営業部長の田中さんが担当」という情報を事前に把握 |
| ② シナリオ設計 | 信用させるための役割・口実を構築 | 「監査法人の担当者」「本社IT部門」などになりすます設定を作る |
| ③ 接触・信頼獲得 | 用意したシナリオで話しかけ、親近感や権威感を演出 | 「先ほど田中部長からご連絡をいただいて…」と言って信憑性を高める |
| ④ 情報引き出し | 自然な流れで機密情報・パスワード・送金先などを聞き出す | 「確認のため社員番号と一時パスワードを教えてください」 |
| ⑤ 痕跡消去 | 被害者が気づかないよう会話を自然に終わらせる | 「ありがとうございます、問題解決しました!」と去る |
よく使われる「なりすましキャラクター」
- IT部門のヘルプデスク担当:「システム障害対応のためパスワードリセットが必要」
- 銀行・金融機関の調査担当:「不正利用の疑いがあるので口座情報を確認させてください」
- 経営幹部(BEC詐欺):「社長の〇〇です。今すぐ振込処理をお願いします」
- 監査・コンプライアンス担当:「内部調査のため取引記録を提供してください」
- 採用担当・ヘッドハンター:「詳しい職歴や現職情報を教えていただけますか」
覚え方
「プリ(事前)にテキスト(台本)を書く詐欺師」 と覚えよう! 攻撃者は事前に役割と台本をしっかり用意してから騙しにくる。即興じゃなくて準備された演技がプリテキスティングの本質だよ。
歴史と背景
- 1970年代〜: 電話を使ったなりすまし詐欺(ビッシング)が社会問題化。「振り込め詐欺」の原型もこの時代に存在
- 2000年代初頭: インターネットの普及でOSINT(公開情報収集)が容易になり、精度の高い口実作りが可能に
- 2006年: HP社(ヒューレット・パッカード)の「スパイゲート事件」でプリテキスティングが広く知られる。役員・記者の通話記録を探偵が電話会社になりすまして入手。米国でプリテキスティング規制法(Telephone Records and Privacy Protection Act)が成立
- 2010年代: LinkedInやFacebookの普及で、社員の詳細な経歴・人間関係が公開情報となり攻撃精度が飛躍的に向上
- 2019〜現在: BEC(ビジネスメール詐欺) との組み合わせで被害が急増。FBI報告によると年間被害額は数十億ドル規模に。AIを使った声のなりすまし(ディープフェイク音声)との組み合わせも登場
関連する攻撃手法との比較
プリテキスティングは単体で使われるだけでなく、他の攻撃手法と組み合わされます。
フィッシングとの違い
| 比較項目 | フィッシング | プリテキスティング |
|---|---|---|
| 主な手段 | 偽メール・偽サイト | 電話・対面・メール・SNS |
| 接触スタイル | 一方向(リンクを踏ませる) | 双方向(会話・やりとり) |
| 準備コスト | 比較的低い(テンプレ流用) | 高い(事前調査・シナリオ設計) |
| 標的 | 不特定多数が多い | 特定個人・組織が多い |
| 対策の難しさ | URLチェックで防ぎやすい | 「本物らしさ」があり気づきにくい |
実務での対策ポイント
プリテキスティングへの対策は「技術」より「人と組織」の問題です。
① 確認ルールを徹底する
- 電話・メールでパスワードや口座情報を求められたら、一度切って公式番号に折り返す
- 「急いでいる」「特別な事情がある」という言葉は詐欺のサインとして疑う
② 権限の分離と承認フロー
- 送金・情報開示などの重要操作は複数人の承認を必須にする(一人では実行できない仕組み)
③ 社員教育とシミュレーション訓練
- 定期的になりすまし電話のロールプレイ訓練を実施
- 「不審に思ったら迷わず上司・情シスに相談してよい」という心理的安全性を作る
④ 公開情報のコントロール
- 社員の役職・連絡先・業務詳細をSNSやHPに必要以上に公開しない(攻撃者の情報収集を難しくする)
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-50 | セキュリティ意識向上・訓練プログラムのガイドライン |
| NIST SP 800-61 | インシデント対応ガイド(ソーシャルエンジニアリング被害を含む) |
| Telephone Records and Privacy Protection Act (2006) | 米国でプリテキスティングによる通話記録詐取を連邦犯罪と規定 |
| ISO/IEC 27001 | 情報セキュリティ管理の国際規格(人的管理策としてソーシャルエンジニアリング対策を含む) |
関連用語
- ソーシャルエンジニアリング — 技術ではなく人間の心理を利用してセキュリティを突破する攻撃手法の総称
- フィッシング — 偽サイト・偽メールでID・パスワードを騙し取る攻撃
- ビッシング — 電話(Voice)を使ったなりすまし詐欺
- BEC(ビジネスメール詐欺) — 経営者や取引先になりすまし、不正送金を指示するメール詐欺
- OSINT — 公開情報を収集・分析する手法。プリテキスティングの事前調査に悪用される
- スピアフィッシング — 特定の個人・組織を狙い打ちにした精度の高いフィッシング攻撃