その電話、本当に社内の人ですか?プリテキスティングは、もっともらしい口実で会話から情報を盗む巧妙な手口。
忙しいときほど見抜きづらく、MFAコードや支払先変更が狙われます。
本記事では、見抜くサインと断り方の定型文、個人と組織の即効対策、さらにDMARCなど技術の優先順位まで、実務に直結する手順でわかりやすく解説します。
この記事は以下のような人におすすめ!
- プリテキスティングとは何か知りたい人
- プリテキスティングの攻撃の流れを具体的に知りたい人
- どのようにプリテキスティングを対策すればよいか知りたい人
プリテキスティングの基本
1-1. プリテキスティングとは何か?定義と位置づけ
1-1-1. プリテキスティングの定義
プリテキスティングとは、もっともらしい「口実(プリテクスト)」を作り、相手に信じ込ませて情報を引き出すソーシャルエンジニアリング手法です。
つまり、攻撃者は「権限のある担当者」「取引先」「公的機関」「同僚」などに成りすまし、事前に集めた断片情報を混ぜて説得力を高め、パスワード、本人確認コード、顧客データ、社内手順といった重要情報を聞き出します。
ポイントは、メールやSMSのリンクを踏ませることが主目的のフィッシングと異なり、「会話そのもの」で信頼を作って情報を入手する点です。
したがって、電話・対面・チャット・メールなど、どのチャネルでも成立します。
1-1-2. プリテキスティングの位置づけ(ソーシャルエンジニアリングの一種)
プリテキスティングは、心理的なバイアスを突くソーシャルエンジニアリングの代表格です。
なぜなら、人は「肩書・権威に弱い」「緊急事態に反射的に対応する」「親切にされたら返したくなる」といった傾向を持つからです。
攻撃者はこれらを緻密な口実に織り込み、通常の本人確認プロセスをすり抜けます。
| 観点 | プリテキスティングの特徴 | ユーザーへの影響 |
|---|---|---|
| ゴール | 会話・やり取りを通じた情報入手 | 認証情報・個人情報・業務情報の漏えい |
| カギ | 信頼の獲得(もっともらしい口実) | つい答えてしまう、確認を省いてしまう |
| チャネル | 電話、チャット、対面、メール | どこでも起こり得るため発見が難しい |
1-1-3. プリテキスティング攻撃の流れ(ライフサイクル)
プリテキスティングは準備八割です。以下の流れを押さえると、どこで防げるかが見えてきます。
- 下準備(情報収集)
SNS、会社HP、採用情報、ニュース、漏えいデータなどから相手の「内部っぽい話題」を拾う。 - 口実の設計
例)社内IT、配送業者、銀行、税務関連、重要取引先などの「もっともらしい役」を決める。 - 最初の接触
電話・チャット・メール・来訪。挨拶と同時に「権威」「緊急性」「内部用語」で信頼を演出。 - 説得と検証回避
「システム障害で至急確認が必要」「監査対応で本日中」などの理由で通常の確認手順を飛ばさせる。 - 目的達成
認証コード、一次パス、顧客一覧、役職者の予定など具体的な情報を入手。 - 痕跡隠し
通話終了、メール削除、別口実で二次被害へ展開。だから、早期通報ルールが重要になります。
1-2. フィッシングや他のソーシャルエンジニアリングとの違い
1-2-1. プリテキスティングとフィッシングの違い(狙いと技術)
まず、両者の核心は次の通りです。フィッシングは「偽サイトへ誘導して入力させる」のが中心。
一方、プリテキスティングは「会話・やり取り自体で情報を聞き出す」点が異なります。
したがって、URLの不審さに頼れない分、受け手の判断スキルと社内手順の徹底が決定的に重要です。
| 項目 | プリテキスティング | フィッシング |
|---|---|---|
| 主な手口 | もっともらしい口実で質問し情報を取得 | 偽装メールやSMSで偽サイトへ誘導 |
| 主要チャネル | 電話、対面、チャット、メール | メール、SMS、SNS、広告 |
| 見抜き方の軸 | 発信者の真正性、口実の検証 | 送信元ドメイン、リンク先URL、ページ改ざん |
| 有効な対策 | 発信者再確認、コード共有禁止、合言葉・内線折返し | メール認証、URL展開・リンク無効化、ブラウザ保護 |
| よく狙われる情報 | 一時コード、内部手順、担当者名、人事情報 | ID・パスワード、カード情報、個人情報 |
1-2-2. 他のソーシャルエンジニアリング手法との比較
プリテキスティングは「質問して取る」スタイルで、他の手口とは狙い所が微妙に異なります。従って、対策も少しずつ変わります。
| 手口 | 概要 | プリテキスティングとの違い | 典型シナリオ |
|---|---|---|---|
| ベイティング | 魅力的な“餌”で釣る | 会話より“餌”が主役 | 無料USB/景品でマルウェア感染 |
| クォイド・プロ・クォー | 見返りと交換で情報入手 | 取引前提で心理誘導 | 「技術サポート提供するので認証情報を」 |
| テイルゲーティング | 後ろについて無断入室 | 物理侵入が主目的 | 社員の後を追ってオフィス入館 |
| スピアフィッシング | 個別最適化メール | メール誘導が中心 | 役員宛の精巧な請求書メール |
要するに、プリテキスティングは「人に質問して本物っぽさで突破する」設計です。
だからこそ、口頭やチャットでも成立し、URLチェックだけでは防げません。
1-2-3. どの場面でプリテキスティングが使われやすいか
実務でよく狙われるのは、次のような「忙しさ」や「権威」が絡む瞬間です。
- 情シス・総務・人事・経理への“至急確認”の電話
- MFAの一次コードを「障害対応」で聞き出すチャット
- 新入社員・派遣社員の配属直後(内規に不慣れ)
- 決算期や監査前後の混乱時期
- 取引先変更や配送トラブルを装った問い合わせ
このため、組織では「折り返し連絡の原則」「本人確認の合言葉」「一次コードは絶対共有しない」といった“会話のガードレール”を業務フローに組み込むことが重要です。
したがって、プリテキスティング対策は技術対策だけでなく、手順と習慣の設計が肝になります。
プリテキスティングが成立する仕組み
2-1. プリテクスト(口実)の構成:登場人物と状況
2-1-1. 口実を支える三要素(役割・目的・状況)
プリテキスティングが成功するかどうかは、作り込まれた「口実(プリテクスト)」の質に左右されます。
つまり、登場人物の役割、達成したい目的、そしてそれを正当化する状況が矛盾なくつながっているかが鍵です。
| 要素 | ねらい | 例(ありがちな設定) | 防御の観点 |
|---|---|---|---|
| 役割(誰が言っているか) | 権威・所属の信頼を借りる | 社内IT、経理、取引先の担当者 | 名乗りの裏取り(代表番号への折り返しなど) |
| 目的(何を求めるか) | 情報や操作を引き出す | 認証コード、担当者一覧、支払先変更 | 項目ごとの開示可否ルールを明文化 |
| 状況(なぜ今か) | 緊急性・必然性を演出 | 障害対応、監査対応、締切直前 | 「緊急時こそ手順厳守」の運用徹底 |
したがって、口実の三要素が揃って説得力を帯びるほど、プリテキスティングは見抜きにくくなります。
逆に言えば、どれか一つでも検証できれば崩れやすいのです。
2-1-2. 心理トリガーが“もっともらしさ”を生む
プリテキスティングは人の心理のクセを突きます。
なぜなら、私たちは忙しいほど直感に頼り、確認を省きがちだからです。代表的なトリガーは次のとおりです。
- 権威性:肩書や専門用語で「本物らしさ」を演出
- 緊急性:今すぐ対応しないと「不利益が出る」と示す
- 互恵性:先に助け船を出して「協力の返礼」を期待させる
- 一貫性:最初の軽い同意から一歩ずつ要求を拡大
- 社会的証明:社内の他部署や上層部の名前を“さりげなく”引用
防御のポイントは、トリガーに反応したと感じた瞬間に「標準手順へ戻る」ことです。
だから、折り返し確認・二者承認・情報開示の段階化といった“手順に戻るためのレール”を用意しておきましょう。
2-1-3. 物語の構造と“ほころび”の見つけ方
プリテキスティングの口実は、概ね次の流れを踏みます。冒頭(挨拶と所属)→理由(なぜ今なのか)→要請(何をしてほしいか)→締め(感謝・次の約束)。
従って、各パートで矛盾を探すと見抜きやすくなります。
- 所属の検証:内線表・公式Webの代表番号に“自分で”折り返す
- 理由の妥当性:社内の障害・監査スケジュールと一致するか
- 要請の適切性:一次コードやパスワードなど“会話で共有禁止”の項目を求めていないか
- 締めの不自然さ:記録を嫌がる、急に連絡手段を変えたがる など
すぐに使えるチェックリスト(最小限)
- 依頼に“会話で共有禁止情報”が含まれていないか
- 発信元の裏取りを、依頼された連絡先ではなく自分のルートで実施したか
- 例外処理は上長承認か二者承認に切り替えたか
2-2. なりすましの手法と情報収集のプロセス
2-2-1. なりすましチャネル別の特徴と見抜き方
プリテキスティングは特定のチャネルに限定されません。つまり、電話・メール・チャット・対面・SNSのどこでも成立します。各チャネルの“違和感ポイント”を押さえましょう。
| チャネル | ありがちなサイン | まず取る行動 |
|---|---|---|
| 電話 | 発番号非通知、急かす口調、内規に不慣れ | 一旦切り、公式番号へ折り返し。会話ログを記録 |
| メール | 送信ドメインが微妙に違う、署名に不整合 | ドメイン確認、別経路で本人確認、添付は保留 |
| チャット/メッセ | 新規アカウント、上長の急な依頼 | 連絡先の二経路確認、承認フローへ移行 |
| 対面 | 来訪目的が曖昧、身分証の提示を渋る | 受付台帳・来訪者管理、同伴必須・エリア制限 |
| SNS/掲示板 | 内部用語を混ぜた接触、DMで情報要求 | 連絡は社内公式経路へ誘導、スクショ保存 |
要するに、チャネルごとに“最初の一手”を決めておくと、焦らずに手順へ戻せます。
2-2-2. 情報収集(OSINT)のプロセスと露出を減らす工夫
プリテキスティングは準備段階の情報収集(OSINT)が八割と言われます。従って、防御側は「露出を減らす」「偽情報に惑わされない」二つの観点が重要です。
主な収集源(攻撃者視点を理解するための高レベル解説)
- 公式Web:組織図、直通番号、導入製品、採用情報
- SNS/ブログ:担当者名、略称、内輪の呼び方、イベント予定
- 公的資料:入札情報、登記情報、IR資料、決算期
- 漏えい情報:過去インシデントのメール・名簿など
露出を減らすための実務チェック
- 代表番号・代表窓口を前面に出し、直通・個人連絡先は限定公開
- 組織図・役職者リストの公開粒度を見直す(苗字だけ、部署のみ等)
- 採用記事やSNSでの“内部略語・手順”の記載を控える
- 退職者のアカウント・プロフィールの放置を防ぐ(運用で定期確認)
その結果、攻撃者が“本物らしく見せるための材料”が取りづらくなります。
2-2-3. 内部手順の悪用を防ぐためのガードレール
プリテキスティングは、手順の“例外”を突きます。だからこそ、例外時の安全策を前もって設計しておきましょう。
- 折り返しの原則:依頼元が提示した番号やリンクは使わず、名簿・公式サイトから自分で探す
- 二者承認:緊急依頼は担当者+上長のセットで決裁
- 合言葉方式:本人確認は“事前共有の合言葉”のみ(生年月日や社員番号は使用禁止)
- コード共有禁止:MFAコード・一次パスは“会話で共有しない”を徹底
- 記録と通報:違和感があった時点でチケット発行し、再発見をチームで共有
よくある手口と具体的な事例
3-1. 企業や組織を狙ったビジネスケース(例:セキュリティ業者になりすまし)
3-1-1. 典型シナリオ:セキュリティ業者になりすまし
プリテキスティングでは、外部のセキュリティ会社やベンダーを名乗って「緊急対応」を装う手口がよく使われます。つ
まり、「貴社のメールゲートウェイに異常」「御社ドメインから不審送信」など、もっともらしい口実で一次コードや内部手順を聞き出します。
例によくある会話の流れ
- 挨拶と権威付け:「セキュリティモニタリング担当です。御社を保護する契約先からの依頼です」
- 緊急性の提示:「数分以内に止めないと取引先へ拡散します」
- 具体要請:「検証のため管理者用ワンタイムコードを読み上げてください」
見抜くポイント
- 公式の契約情報・担当者名を自社側で確認すると矛盾が出やすい
- 緊急性を理由に「折り返し」を避けたがる
- 監査番号やチケット番号の提示を求めると曖昧になる
即時の対処
- いったん保留し、代表番号から契約先の実在担当へ折り返す
- 「一次コード・パスワードは会話で共有しない」ルールに戻す
- 話した内容と番号を記録し、社内にアラート共有
3-1-2. 請求書差し替え・支払先変更(BEC系)
ビジネスメール詐欺の一種でも、プリテキスティングの口実が効きます。たとえば「銀行システム更新のため支払先口座が一時変更」など。
したがって、メール本文が完璧でも、電話での“裏取り”がないと突破されます。
最小限の防御フロー
- 支払先変更は必ず二者承認
- 連絡元の提示番号ではなく、既存名簿から独立ルートで確認
- 新旧口座情報の書面比較と保留期間の設定
3-1-3. 監査・障害を口実にした権限昇格リクエスト
「監査対応で一時的にログ閲覧権限が必要」「障害復旧で特権IDの貸与を」など、内部語を織り交ぜるのが特徴です。つまり、専門用語の多さは本物の証拠ではありません。
| 口実 | 狙う情報・操作 | その場で刺さる質問 |
|---|---|---|
| 監査対応 | ログ、一覧、従業員データ | 監査ID・担当・日付・命令書の確認 |
| 障害復旧 | 一時コード、特権ID | 障害番号・影響範囲・公式告知の有無 |
| ベンダー検証 | 設定値、構成図 | 契約番号・SLA・担当者の所属と直通 |
3-2. 個人を狙った手口(例:振り込め詐欺、ロマンス詐欺、CEO詐欺)
3-2-1. 振り込め詐欺:家族・公的機関を名乗る口実
プリテキスティングでは、家族や自治体、警察、金融機関などを名乗り「至急」を演出します。なぜなら、家族や生活に関わる不安は判断を鈍らせるからです。
よくある口実
- 事故やトラブルの肩代わり金が今すぐ必要
- 給付金や税金の還付で口座情報の確認が必要
- キャッシュカードの不正利用で暗証番号の再設定が必要
見抜くコツ
- こちらから家族の既知番号に折り返す
- 自治体・金融機関は電話で暗証番号を聞かない前提に立つ
- 「今すぐ」は一旦切る、が最善
3-2-2. ロマンス詐欺:長期の信頼構築後に資金要請
ここでもプリテキスティングの物語設計が鍵です。つまり、長期間のやり取りで共感や計画を共有し、最後に「投資口座の解凍」「渡航費用」「関税」などの名目で送金を促します。
注意する点
- オンラインだけで繋がる関係で資金・暗号資産の要請
- 収益や口座画面の“証拠”はスクショのみで検証不能
- 会話が外部アプリへ誘導され、証跡が分断される
初動対応
- 第三者(家族・友人・公的機関)へ相談して視点を増やす
- 送金前に契約書・本人確認をオフラインで実施
- 画像・口座・ウォレットアドレスを記録保存
3-2-3. CEO詐欺:個人が巻き込まれるパターン
CEO詐欺は企業向けで知られますが、個人事業主やフリーランス、家庭の口座を“緊急の立替”に利用する形で狙われることがあります。
したがって、肩書の圧力に屈しないフローが必要です。
典型パターン
- 役職者になりすまし、深夜・出張中を理由に即時送金を要求
- ギフトカードの購入を依頼し、コード画像の送付を求める
- 「守秘義務」を強調し、確認連絡を禁じる
防御ポイント
- 大きな金額やギフトカードは“絶対に単独判断しない”
- 依頼者本人へ独立ルートで折り返す
- 守秘を強調する依頼ほど上長・家族に相談する
3-3. 電話、対面、メールなど手段別のバリエーション
3-3-1. 電話:番号と口調に頼らない
プリテキスティングは電話が王道です。発信番号や肩書ではなく、検証手順に戻ることが重要です。
要点
- 非通知・使い捨て番号・国外番号の利用
- 合言葉やチケット番号の提示を渋る
- 切断を恐れず、公式番号へ折り返す
最初の一手
- 名乗りと要件をメモ → いったん切る → 公式名簿から折り返す
3-3-2. 対面:来訪者・宅配・点検業者
対面のプリテキスティングは、制服やIDカードで“本物らしさ”を演出します。だからこそ、受付フローで機械的に弾く仕組みが効きます。
チェックポイント
- 来訪目的と事前アポイントの有無
- 写真付き身分証の原本と、発行元への電話確認
- 同伴者必須、入退室ログ、持込機器の申告
3-3-3. メール/チャット:リンク無しでも成立する
プリテキスティングはリンクや添付がなくても成立します。例えば「確認のため社員一覧を返信ください」という“質問”だけで十分です。したがって、内容で見抜く姿勢が必要です。
見るべき点
- 送信ドメインの微妙な違い、署名・書式の癖
- 「今だけの例外」「至急、秘密で」などのフレーズ
- 返信を急かし、別経路確認を嫌がる
3-3-4. SNS/コミュニティ:公開情報を下敷きに接近
SNSの断片情報から“内部っぽさ”を装います。つまり、あなたの投稿が口実の材料になります。
対策
- 個人連絡先や内部略語の公開を控える
- DMでの本人確認情報のやり取りを禁止
- 少しでも違和感があれば公式窓口へ誘導
被害のリスクと影響
4-1. 個人情報漏洩と金銭被害の具体例
4-1-1. どんな情報が狙われるか(優先度と理由)
プリテキスティングでは、攻撃者は会話の力で「答えさせる」ことを狙います。
つまり、リンクを踏ませなくても被害は起きます。
次の情報は特に狙われやすく、漏えいすると金銭被害へ直結します。
| 情報の種類 | なぜ狙われるか | 想定される悪用例 |
|---|---|---|
| ワンタイムコード(MFA) | 即時でアカウント乗っ取りが可能 | 決済アプリやメールの支配、パスワード変更 |
| 本人確認情報(生年月日、住所、電話) | 身元証明の突破材料 | キャリア変更手続き、銀行照会の成り済まし |
| カード情報・口座情報 | 直接的な金銭化が容易 | 不正送金、サブスク契約の追加 |
| 社内用語・担当者名・内線 | “本物らしさ”の材料 | 別部署への二次攻撃の成功率上昇 |
したがって、プリテキスティングでは「会話で共有してはいけない情報」を明確にし、従って日常の問い合わせでも例外を作らないことが重要です。
4-1-2. 典型シナリオ(時系列で理解する)
プリテキスティングの被害は段階的に進みます。だから、どこで止められるかを時系列で把握しましょう。
- 接触
自治体や金融機関、配送業者などを名乗って連絡してくる。 - 信頼の獲得
過去の注文や住所など“正しそうな断片”を先に提示し、信用させる。 - 情報の取得
「確認のため」と称して、ワンタイムコードや口座情報を口頭で聞き出す。 - 乗っ取り・金銭化
メールや決済アカウントを乗っ取り、パスワードを変更。不正決済や送金が行われる。 - 二次被害
連絡先リストを利用して家族・同僚へ拡散し、同じ口実で情報を収集。
つまり、早い段階で「折り返します」と会話を切り上げるだけで、連鎖を断ち切れます。
4-1-3. 金銭被害の発生パターンと注意点
プリテキスティングから発生する金銭被害は次の三つに集約されます。
- 不正送金・不正決済
ワンタイムコードを読み上げてしまい、即時決済を許してしまう。 - 口座・クレジットの“なりすまし手続き”
氏名や住所などの基本情報を組み合わせ、限度額変更や名義確認を突破される。 - ギフトカード・暗号資産の購入指示
追跡されにくい決済手段を選ばされ、コード画像の送付で回収される。
注意点として、被害に気づいた時点でカード会社や金融機関に連絡し、利用停止とチャージバックの可否を確認します。なぜなら、時間が経つほど補償や追跡の難易度が上がるからです。
4-1-4. 個人が今すぐできる最小限の対策
- ワンタイムコードや暗証番号は会話・チャットで共有しない
- 自治体・金融機関を名乗る電話は、一旦切って公式番号へ折り返す
- 家族や同居人と「緊急でもまず確認」の合意を作る(合言葉方式など)
- 被害の疑いがあれば、通話時間・相手の名乗り・要請内容をメモし、関係先へ同日中に連絡する
4-2. 組織におけるセキュリティ混乱と信頼失墜
4-2-1. 業務停止と二次被害の連鎖
プリテキスティングで得た内部情報は、しばしば次の攻撃の踏み台になります。従って、個別の情報漏えいに見えても、実態は“面”での被害です。
| 影響領域 | 短期(数時間〜数日) | 長期(数週間〜) |
|---|---|---|
| IT運用 | アカウント凍結、強制リセット、ヘルプデスク逼迫 | 監査・再発防止策の設計、プロセス改修 |
| 事業部門 | 発注・支払の保留、業務停止 | 顧客折衝の遅延、契約見直し |
| セキュリティ | インシデント対応で人員占有 | 検知ルール・教育の全面更新 |
| 法務・広報 | 事実関係の確認、初報の作成 | 公表・謝罪・Q&A運用、問い合わせ増への対応 |
つまり、一人の担当者がプリテキスティングに応じただけでも、その結果として組織全体が止まる可能性があります。
4-2-2. 信頼失墜とレピュテーションコスト
プリテキスティング由来の情報漏えいは、顧客・取引先・採用候補者の信頼に直結します。したがって、売上だけでなく将来の商談機会や採用にも影響します。
具体的なコストの例
- 顧客への個別連絡・補償対応の費用
- 取引先への説明・監査対応にかかる人件費
- メディア・SNS対応の運用増大
- 新規契約で求められるセキュリティ要件の追加コスト
その結果、短期の損失以上に「信用の再獲得」に長い時間と費用が必要になります。
4-2-3. コンプライアンス・法的リスク(高レベルの整理)
プリテキスティングで個人情報や機密が流出した場合、各種規制や契約条項に抵触する可能性があります。ここでは具体的な法解釈には踏み込みませんが、観点として次を押さえます。
- 漏えい範囲と対象データの性質(個人情報か、機密か)
- 影響を受けた当事者への通知の要否と期限
- 委託先やクラウド事業者との責任分界点
- 再発防止策の策定と文書化の要求
従って、初動の段階で法務・個人情報保護の担当と連携し、対外説明を一本化することが重要です。
4-2-4. 経営層への報告観点(簡易テンプレ)
プリテキスティング起因のインシデント報告は、事実とリスク、意思決定の材料を短くまとめます。次の骨子をそのまま使えます。
- 事象の概要:いつ、誰に、どの口実で、何が共有されたか
- 影響評価:アカウント・データ・業務の影響範囲と深刻度
- 取った対策:停止・リセット・周知・対外連絡の進捗
- 追加の意思決定:公表要否、顧客通知の範囲、再発防止策の承認
- タイムライン:発生から現時点までの時系列
つまり、報告は「今わかっている事実」と「今決めるべきこと」を切り分けると、混乱が減ります。
対策と防止方法
5-1. 個人レベルでできる対策(警戒心を持つ、事実確認する習慣)
5-1-1. まず身につけるべき三つの基本動作
プリテキスティングは“口実の巧妙さ”が武器です。だからこそ、次の三つを身体で覚えておくと被害を大きく減らせます。
- 一旦切る
緊急を装われても、会話やチャットをそこで止める。 - 公式に戻る
自分で調べた公式窓口・代表番号・社内名簿に切り替える。 - 記録する
名乗り・要件・時刻をメモし、後で共有・通報しやすくする。
5-1-2. 心理トリガーに気づく練習
プリテキスティングは、権威性・緊急性・互恵性を使います。つまり「上長の依頼だから」「今日中に」と感じた瞬間が注意サインです。
違和感を覚えたら、深呼吸して標準手順に戻りましょう。
5-1-3. 会話で共有しない情報リストを決めておく
以下は、どんな口実でも“会話で共有しない”と決めておくべき項目です。
したがって、家族・同僚とも合意しておくと迷いません。
- ワンタイムコード(MFA)
- パスワード・暗証番号
- 本人確認に使う情報(生年月日、旧住所、初めてのペット名など)
- 顧客一覧や社員名簿、社内手順の詳細
5-1-4. 断るための“定型フレーズ”を用意する
とっさに言葉が出ないと流されます。そこで、次を準備しておくと効果的です。
- 社外向け
「この件は公式窓口から折り返します。番号を教えていただいても、こちらからは使いません。」 - 社内向け
「例外対応は二者承認に切り替えます。上長同席で進めましょう。」
5-1-5. もし応じてしまったときの初動フロー
- すぐにパスワード変更・端末ロック・二要素の再発行
- 金融・決済サービスの利用停止連絡
- 会話・メール・チャットのログを保存し、関係窓口へ通報
- 家族・同僚に注意喚起(同じ口実で連鎖しやすいため)
5-2. 組織レベルの対策(社員研修、報告ルール、認証強化など)
5-2-1. “例外に強い”業務設計へ
プリテキスティングは例外処理を突きます。
従って、例外時ほど厳しくなるガードレールを設計します。
| 領域 | 最低限のルール | ねらい |
|---|---|---|
| 折り返し | 依頼元の提示番号は使わず、名簿・公式サイトから検索 | なりすまし連絡先の排除 |
| 二者承認 | 緊急依頼・支払変更は担当+上長の承認必須 | 単独判断の抑止 |
| 共有禁止 | コード、パスワード、名簿は会話共有不可 | 情報の口頭流出を遮断 |
| 記録化 | 例外対応はチケット化し、時刻・根拠・承認者を残す | 再発防止と監査対応 |
5-2-2. 研修の設計:知識より“動作”を訓練する
座学だけでは実戦に弱いものです。だから、次の三層で設計します。
- マイクロ学習:5分動画で“サイン”を反復
- ロールプレイ:電話・チャット・対面の模擬プリテキスティング
- 実地演習:月次で抜き打ちテスト、個人フィードバックを即日返却
評価指標の例
- 折り返し実行率
- 二者承認への切替時間
- 誤って情報を開示しそうになったケースの自己申告件数
5-2-3. 早期報告ルールとSLA
早く上げた者が得をする文化にします。つまり、報告しやすいほど被害は小さくなります。
- 目標時間:不審連絡から30分以内に一次報告
- 報告経路:チャットの専用チャンネル+フォーム
- 受付テンプレ:発生時刻、相手の名乗り、要請内容、応答の可否
5-2-4. 外部委託・来訪対応の統制
- 来訪者は事前アポイント・写真付き身分証の原本確認
- ベンダー作業はチケット番号の提示と担当者同伴
- 宅配・点検は受付で身元確認し、入退室ログを必須化
5-2-5. 経営・法務・広報との連携枠組み
プリテキスティング由来のインシデントは対外説明が重要になります。したがって、事前に責任分界・公表判断・通知テンプレを合意しておきます。
5-3. テクロノジー活用(DMARCなどのメール認証技術)
5-3-1. SPF・DKIM・DMARCを“セット”で運用する
プリテキスティングは会話主体ですが、メールを起点に信用を作るケースが多くあります。だからこそ、送信ドメインなりすまし対策を基盤に据えます。
| 技術 | 役割 | 運用の要点 |
|---|---|---|
| SPF | 送信元IPの許可リスト | 包括しすぎず、委託先を都度更新 |
| DKIM | メール本文・ヘッダの改ざん検知 | 鍵長は十分に長く、鍵のローテーションを実施 |
| DMARC | SPF/DKIMの結果とポリシー適用 | p=quarantine から p=reject へ段階移行、レポート監視 |
補足として、DMARCレポートの分析を自動化し、なりすまし送信元の可視化を継続します。
5-3-2. メール・チャットの保護強化
- セキュアメールゲートウェイで、ドメイン類似・表示名偽装・返信先不一致を検知
- 返信時の“外部宛先ラベル”や“警告バナー”を表示し、心理的ブレーキを作る
- チャット/コラボツールは外部ユーザーの招待権限を限定し、初回メッセージに自動注意文を挿入
5-3-3. 電話・対面チャネルの技術ガード
- 代表番号への誘導を自動音声ガイダンスに組み込み、内線直通を減らす
- 来訪者管理システムでQR発行・写真付き身分証の一致確認
- 重要エリアは二要素の物理認証(ICカード+PINなど)
5-3-4. アカウント保護と最小権限
- 条件付きアクセスで未知の端末・場所からのログインをブロック
- 特権IDは都度払い出し(時間制限付き)で、セッション録画を保存
- DLPで名簿・機密文書のメール外送やチャット貼り付けを検知・遮断
5-3-5. テクノロジーの限界と“人・手順”の組み合わせ
技術はプリテキスティングの“兆し”を増幅して見せる役割です。つまり、最後の判断は人と手順です。
したがって、技術アラートが出たら自動で二者承認へ回す、ゲートウェイの警告を読み上げフローに紐づける、といった“運用の橋渡し”が鍵になります。
