「信頼できる機関からの問い合わせだと思って、つい社内の情報を話してしまった」
「電話口の相手が非常に具体的で自然な状況を説明してきたため、疑う余地がなかった」
企業のコンプライアンス意識が高まり、ITによる防御壁が強固になる中、サイバー犯罪者が最も激しく突いてくるのが「人間の心理的な隙」です。
どれほど高価なセキュリティソフトやファイアウォールを導入していても、従業員が「正しい手続きや正当な相手からの要求だ」と信じ込まされてしまえば、自ら重要な情報を口頭やメールで差し出してしまいます。
このように、精緻に作り込まれた「偽の口実(Pretext)」やストーリーを用意してターゲットを騙し、機密情報を巧みに聞き出す手法を「プリテキスティング」と呼びます。
ハッキング技術を使わずに人間の心理や組織の運用フローの隙を突く「ソーシャルエンジニアリング」の中でも、特に事前の情報収集とシナリオ構築が徹底された脅威度の高い手口です。
本記事では、プリテキスティングの客観的な手口や具体的な被害、そして今すぐ実践すべき実効性の高い防御策についてわかりやすく解説します。
1. プリテキスティング(Pretexting)とは?なじみのある「なりすまし」との違い
プリテキスティング(Pretexting)とは、「あらかじめ作り込んだ偽の状況設定(口実・シナリオ)を用いてターゲットを安心させ、本来なら開示してはいけない機密情報や個人情報を詐取する」サイバー犯罪の手口です。
一般的な「なりすまし」と混同されやすいですが、ソーシャルエンジニアリングの文脈において、プリテキスティングはさらに「綿密なシナリオ構築と事前調査」に重きを置いています。
- 単なるなりすまし:「私はシステム管理者です。パスワードを教えてください」と、身分を偽るだけの直接的なアプローチ。
- プリテキスティング:事前にターゲット企業の組織図や公開情報を調べ上げた上で、「〇〇部門のプロジェクトで発生したシステム遅延の件で、ベンダーの〇〇氏の指示により、緊急でアカウントの権限チェックを行っています。〇〇さん(ターゲットの名前)、お忙しいところ恐縮ですが……」と、反論や確認を躊躇させる具体的な「口実(ストーリー)」を展開するアプローチ。
犯罪者は、ターゲットが「ここまで状況を知っているなら本物に違いない」「早く対応しないとプロジェクトに迷惑がかかる」という焦りや親切心、義務感を抱くように巧みに心理を誘導します。

2. プリテキスティングの具体的な手口と発生シーン
プリテキスティングは、電話(ヴィッシング)やメール、対面など、あらゆるコミュニケーションルートで実行されます。
ビジネスの現場で特に客観的なリスクとして確認されている手口は以下の通りです。
① 人事・労務や総務部門を狙うシナリオ
「税務署の職員」や「社会保険労務士」「労働基準監督署の担当者」などになりすまして電話をかけ、「制度変更に伴う調査の一環として、従業員の氏名、生年月日、現在の所属一覧を突合したい」などと要求します。
公的機関や専門家という高圧的な立場、または公的な義務という口実(プリテキスト)を使うことで、担当者に「拒否してはいけない」と思わせる手口です。
② IT・インフラ部門や新入社員を狙うシナリオ
「社内で利用しているクラウドサービスのサポートデスク」や「委託先の通信事業者」を名乗り、「現在、御社のサーバーに大規模な通信負荷がかかっており、このままだと全社システムがダウンします。
復旧のために、一時的にテスト用のログイン検証にご協力ください」などと迫ります。
システムの専門知識が乏しい従業員や、トラブルに焦る現場の心理を突くシナリオです。
③ 取引先やサプライチェーンを狙うシナリオ
「主要な取引先の経理担当者」になりすまし、「弊社の基幹システム刷新に伴い、今後の入金確認プロセスが変更になります。
つきましては、御社の最新の口座情報と担当者様のご連絡先を、こちらの指定フォーム(偽サイト)へ再登録をお願いします」といった、業務ルーティンに自然に紛れ込む口実が使われます。
とは?企業が知っておくべき手口と対策を解説-160x90.png)
3. プリテキスティングによって企業が受ける深刻な被害
プリテキスティングの罠にかかってしまうと、システムによる自動検知やブロックをすり抜けてしまうため、以下のような致命的なダメージに直結します。
被害①:標的型攻撃や別のサイバー攻撃の「決定的な足がかり」になる
プリテキスティングの第一段階では、いきなりマスターパスワードなどを狙わず、あえて「組織図」「社員の直通電話番号」「使用しているソフトウェアのバージョン」といった、一見無害に見える断片的な情報を狙うことがあります。
犯罪者はここで得た情報を次の口実(プリテキスト)として使い、さらに上位の管理者アカウントを奪取する、あるいは超高精度な標的型メールを送りつけるといった、より深刻な不正アクセスへとステップを進めます。

被害②:個人情報や機密データの流出と社会的信用の失墜
従業員名簿や顧客データ、開発中のプロジェクト情報などが口頭やメールで騙し取られます。
これが発覚した場合、企業は「従業員のリテラシー不足による情報管理の甘さ」を厳しく問われ、取引停止や賠償責任、社会的信用の一期失墜という経営リスクを背負うことになります。
4. 企業が実践すべき4つの「プリテキスティング対策」
プリテキスティングは「言葉の罠」であるため、ITツールを導入するだけで100%防ぐことは不可能です。
以下の「組織運用のルール化(ガバナンス)」と「防衛意識の適合」を組み合わせた多層防御が推奨されます。
1.「折り返し電話確認」の徹底と義務化:アイデンティティの検証。
外部から「情報の提供」や「アカウントの確認」を求められた際は、相手から告げられた電話番号やメールアドレスをそのまま信用してはいけません。必ず一旦電話を切り、「自社の台帳や公式ホームページ等で客観的に確認した、既知の正規の番号」へこちらから掛け直して本人確認を行うルールを徹底します。
2.情報資産の「開示承認フロー」の厳格化:権限のルール化。
例え公的機関や上層部を名乗る相手であっても、「電話口で即座に社員情報やシステム環境を答えてはならない」という原則をプレイブックに定めます。
情報は必ず「書面や暗号化された正式な申請ルート」を通じてのみ開示し、事前に上席の承認を必須とするガバナンスを構築します。
3.SNSやWebサイトでの過剰な露出制限:公開情報の制御。
犯罪者は、プリテキスト(口実)を作るために、企業の公式サイトや社員の個人SNS(LinkedInやXなど)から「誰がどのプロジェクトを担当しているか」「現在どのようなシステムを導入しているか」を事細かに収集します。
業務上の必要性を超えた詳細な社内情報の公開を制限するガイドラインが必要です。
4.情報セキュリティ研修による全社リテラシーの底上げ:心理のアップデート。
「相手が自分の名前や社内の状況を詳しく知っていても、本物とは限らない」という客観的なリスクを全従業員に教育します。巧妙なストーリーテリング(心理誘導)の手法を定期的な研修で模擬体験させ、組織全体の防衛マインドを最新の状態に保つことが最大の盾となります。

まとめ:言葉の罠を見破る組織のガバナンス
ソーシャルエンジニアリングにおける「プリテキスティング」は、綿密な下調べによって作られた「偽の口実」で人を操る、極めて狡猾なインテリジェンス型のサイバー攻撃です。
- 事前の情報収集をベースに、具体的で疑いにくい「ストーリー」を構築してアプローチしてくる。
- 一見無害な情報の断片から詐取され、最終的にはシステム全体の乗っ取りや大規模な情報漏えいにつながる。
- 最大の防御策は、相手の言葉を鵜呑みにせず公式ルートで確認する「折り返しルールの徹底」と、従業員一人ひとりが言葉の裏にあるリスクを察知できる「セキュリティ教育」の継続である。
自社の情報取り扱いマニュアルや、外部からの問い合わせ対応ルーティンを客観的に見直し、どれほど巧妙なシナリオが仕掛けられても動じない強固な組織レジリエンスをデザインしていきましょう。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。

