【注意】このサイトに記載されていることを他人に試すことは「不正アクセス禁止法」に該当する場合があります。詳しくはこちらから

ハッカーはプリテキスティング攻撃を行い標的の情報やアクセスを入手する

ペネトレーションテスト&バグバウンティ

ペネトレーションテストの攻撃で利用されるプリテキスティング攻撃について深堀してみました。

プリテキスティング攻撃とは

プリテキスティング攻撃(Pretexting attack)とは、サイバーセキュリティで使用される用語で、攻撃者から信頼を得るために虚偽の情報や物語を作り上げ、それを利用して標的の情報やアクセスを入手しようとする手法です。この攻撃は、他人になりすまして、人間の信頼性や好意を悪用して情報を入手することを目的としています。
プリテキスティング攻撃の特徴は以下の通りです。

信頼性の構築

プリテキスティング攻撃における信頼性の組立ては、攻撃者が標的となる個人や組織に対して、自分たちの信頼性や正当性を印象づけ、信じさせるためのプロセスで、ある程度信頼性のある物語やシナリオを作り上げます。攻撃者は信頼を得ることで、犠牲者からの情報開示や特定の行動を引き出しやすくなります。
以下は、信頼性の組立てに関連する手法やプロセスです。
 
1.調査と情報収集
攻撃者は標的となる個人や組織について詳細な情報を収集します。これには、ソーシャルメディア、企業の公開情報、ニュース記事などからの情報が含まれます。収集された情報は、信頼性構築のために利用されます。
 
2.セールストーリーを構築する
「セールストーリー」とは、商品やサービスを販売する際に使用される物語や説明のことで、攻撃者は、信頼を構築するために魅力的なセールストーリーを作り上げます。これは、仕事上の問題、緊急の状況、重要なプロジェクトへの参加など、相手にとって興味深い要素を含むものです。セールストーリーは、攻撃者が標的に接触する際に使用される口実となります。
 
3.信頼できる情報源を模倣する
攻撃者は、信頼性を高めるために信頼できる情報源や組織を模倣することがあります。例えば、企業や組織の名前を使って電子メールを送信する、電話で偽の役職や部署を名乗るなどが含まれます。
 
4.特定を狙ったスパムメール攻撃(スピアフィッシング)
特定の個人、組織、または企業を狙ったスパムメール攻撃です。攻撃者は標的となる個人や組織に対して信頼性を高めるために、正規の組織やサービスを模倣したカスタマイズされた、信じやすい偽装メールや偽のメッセージを送信します。
 
5.時間の選定
攻撃者は標的となる個人や組織の業務スケジュールや状況を考慮し、最も効果的なタイミングで攻撃を仕掛けることがあります。たとえば、忙しい時期やプロジェクトの締め切り直前に緊急性をアピールすることがあります。
 
 

プリテキスト構築の情報の収集

プリテキスティング攻撃において情報の収集は非常に重要であり、攻撃者は標的となる従業員の個人情報、企業の機密情報、システムへのアクセス権などの詳細な情報を集め、それを利用して信頼性のある物語を構築します。
以下は、情報の収集に関連する主な手法やプロセスです
 
1.オープンソースインテリジェンス (OSINT)
攻撃者は、公開されている情報を利用して標的となる組織や個人に関するデータを収集します。これには、ウェブサイト、ソーシャルメディア、ニュース記事、企業の公的な報告書などが含まれます。OSINTは、攻撃者にとって手軽な情報収集手段となります。
 
2.ソーシャルメディア分析
攻撃者は標的となる個人や組織が利用しているソーシャルメディアプロファイルや投稿を分析します。これにより、趣味、興味、関係性、業務上の活動などの情報を得ることができます。得られた情報は、信頼性の高いプリテキストを構築するために利用されます。
 
3.人物照会
攻撃者は、標的となる個人についての情報を得るために、彼らの同僚、友人、家族などとコンタクトを取ることがあります。これは、電話やメールを通じて行われ、攻撃者は自らを正当な理由を持つ者として紹介します。
 
4.ウェブサイトやドメインの調査
攻撃者は、標的組織の公式ウェブサイトや関連するドメインに関する情報を収集します。これには、組織の構造、従業員の役職、連絡先情報などが含まれます。
 
5.従業員リストや組織図の調査
攻撃者は、標的組織の従業員リストや組織図を調査し、特定の役職や部署に所属する人物を把握します。これにより、信頼性の高いプリテキストを作り上げる際に利用できる情報が得られます。
 
 

ソーシャルエンジニアリング

プリテキスティング攻撃におけるソーシャルエンジニアリングは、攻撃者が人間の心理や行動に訴えかけ、情報を手に入れる手法です。プリテキスティング攻撃は、特に信頼性の構築に焦点を当てています。
プリテキスティング攻撃においては、信頼性の構築という要素が特に重要であり、攻撃者は慎重に相手を欺くための手法を選択します。セキュリティ教育と適切な対策の実施が、組織の防御を向上させる上で不可欠です。
 
以下は、ソーシャルエンジニアリングにおける主な手法とその詳細です
 
1.人間の心理を利用
ソーシャルエンジニアリングは、攻撃者が人間の心理学的な特性や行動パターンを理解し、それを悪用する手法です。攻撃者は、好奇心、欲望、義務感などの感情を利用して標的となる個人の反応を引き出します。
 
2.信頼性の構築
プリテキスティング攻撃では、信頼性を高めるために魅力的なストーリーを作り上げます。これは、仕事上のトラブル、緊急の状況、特定のプロジェクトへの参加など、相手にとって信じやすい要素を組み合わせたものです。
 
3.嘘や偽りの情報提供
攻撃者は、標的となる個人に対して嘘や偽りの情報を提供し、相手を欺こうとします。これは、役職や組織の所属などを偽ることが含まれます。電子メール、電話、対面でのコミュニケーションなど、様々な手段が使われます。
 
4.緊急性の創出
攻撃者は、緊急性を創出することで相手を急かし、冷静な判断を難しくさせます。例えば、締め切りが迫っているプロジェクトやトラブルが発生しているといった情報を提供し、速やかな対応を促します。
 
5.対話の中で情報の引き出し
攻撃者は、簡単には警戒心を持たせないような自然な会話を通じて情報を引き出そうとします。相手に気軽に情報を提供させるためのテクニックや質問の選定が行われます。
 
6.ヒューマンファクターの悪用
ソーシャルエンジニアリングは、技術的な防御だけでなく、ヒューマンファクターを悪用する手法です。従って、対策としては従業員のセキュリティ教育、組織内での適切なポリシーの実施、不審な行動や情報提供に対する注意喚起が重要です。
 
 

攻撃標的の選定

プリテキスティング攻撃における標的の選定は、攻撃者は標的を選定する際に慎重に調査を行い、特定の個人や組織を攻撃の対象とします。標的の選定は攻撃の成功に大きく影響し、攻撃者は特定の目的に沿った情報やアクセスを得るために標的を選びます。
以下は、標的の選定に関する主な要因です
 
1.組織の役職や権限
攻撃者は、組織内で権限を持つ特定の役職や職種を狙うことがあります。例えば、管理者、エグゼクティブ、システム管理者などが攻撃の対象になることがよくあります。これらの役職を持つ人物が持つ情報や権限は攻撃者にとって非常に有益です。
 
2.特定の業界
攻撃者は特定の業界に焦点を当てることがあります。特定の業界は特有の情報や技術を持っており、攻撃者はそれらを狙って情報を入手しようとします。
 
3.個人の特性
攻撃者は、個人の特定の特性や行動パターンに基づいて標的を選ぶことがあります。例えば、特定の趣味や関心事に基づいて攻撃対象を選ぶことがあります。これにより、プリテキストを構築しやすくなります。
 
4.組織のセキュリティ意識の脆弱性
攻撃者は、組織のセキュリティ意識が低いか、不十分なトレーニングを受けている従業員を狙うことがあります。セキュリティに対する教育やトレーニングが不足している組織は攻撃の標的となりやすいです。
 
5.組織の重要性
攻撃者は、特定の組織が持つ重要なデータや機密情報に焦点を当てることがあります。例えば、大手企業や政府機関は攻撃の標的として魅力的です。
 
 

プリテキスティング攻撃の対策

対策としては、組織内でのセキュリティ意識向上トレーニングや、ポリシーの実施が重要です。従業員には、不審な情報の要求に対して慎重であるよう教育し、情報を開示する前に確認手段を経るように促すことが必要です。また、セキュリティポリシーの強化、二要素認証の導入なども有効な対策となります。
 

ハッカーはプリテキスティング攻撃を行い標的の情報やアクセスを入手するのまとめ

プリテキスティング攻撃は、ソーシャルエンジニアリング攻撃の一つであり、攻撃者は信頼性の構築を重視して標的を欺きます。情報収集はオープンソースインテリジェンスや、ソーシャルメディア分析を通じて行われ、嘘や偽りの情報、緊急性の創出を通じて標的者を欺き、重要な情報やアクセスを得ることを目指します。標的の選定は役職や権限、業界、個人特性などを考慮し、組織のセキュリティ強化と従業員の教育が対策として不可欠です。