なりすましとは？代表的な手口や被害事例、効果的な対策方法を解説

フィッシング攻撃

フィッシング攻撃は、偽のメールアドレスや偽のWebサイトを使用して、ユーザーの個人情報や銀行口座などの情報を不正に入手する手口です。

この偽のメールはフィッシングメール、偽のウェブサイトはフィッシングサイトと呼ばれます。

攻撃者は金融機関や有名企業を装ってフィッシングメールを送り、そこからフィッシングサイトにアクセスさせてログイン情報の入力を求めるケースがほとんどです。

メールに記載されたリンクをクリックすると、本物そっくりの偽のWebサイトに誘導され、IDやパスワードなどの重要な情報を入力させられてしまうのです。

かつてのフィッシングメールは、たどたどしい日本語で書かれていたものが多かったため、すぐに偽のメールと判断できました。

しかし、近年では、AIや機械翻訳の技術が発展したことにより本物と見分けるのが困難なフィッシング攻撃が行われています。フィッシング攻撃の詳細については以下の記事をご覧ください。

【関連記事】フィッシング詐欺とは？具体的な手口や被害に遭わないための対策

リスト攻撃

リスト攻撃は、流出したIDとパスワードのリストを使用して不正ログインを試みる手口です。

攻撃者は、他のサービスから流出したIDとパスワードのリストを入手し、そのリストを使って別のサービスへのログインを試みます。

ユーザーが複数のサービスで同じIDとパスワードを使い回している場合、リスト攻撃により不正アクセスされるリスクが高くなります。

リスト攻撃は自動化されており、短時間で大量のアカウントに対して不正ログインが試行されるため、特に脆弱なウェブサービスでは被害が発生しやすい点が特徴です。

総当たり攻撃（ブルートフォースアタック）

総当たり攻撃は、考えられる全ての組み合わせを試してパスワードを破る手口です。

一般的によく使われるパスワードを片っ端から試したり、文字や数字を組み合わせたパスワードを総当たりで入力したりする攻撃手法となります。

リスト攻撃と似ていますが、流出したパスワードリストではなく、統計的に使用頻度の高いパスワードからしらみつぶし（＝ブルートフォース）に試行する点で異なります。

単純なパスワードほど、総当たり攻撃に対して脆弱であり、不正アクセスのリスクが高くなります。

例えば、パスワードの長さが極端に短かったり、一般的な単語や数字の組み合わせを使用していたりするケースは注意が必要です。

【関連記事】ブルートフォース攻撃（総当たり攻撃）とは？被害事例や対策方法を紹介

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、情報通信機器を使わずに、ターゲットの人物自身や物理的な場所から機密情報を盗み取る手口です。

具体的には、攻撃者が親しい人物を装って電話やメールで接触し、機密情報を聞き出そうとするケースが多くみられます。

その際にはソーシャルメディアを使用してターゲットの下調べをしたうえで、その情報を利用してコンタクトを取るケースも多いです。

また、オフィスに侵入してデバイスの画面を背後から覗き見たり、ゴミ箱を漁ったりして情報を盗み取る手口もソーシャルエンジニアリングの一種です。

人間の心理的な隙を突いて機密情報を入手するソーシャルエンジニアリングは、技術的な対策だけでは防ぎきれない点がポイントといえます。

海洋研究開発機構の職員になりすましての不正アクセス

2021年3月16日、海洋研究開発機構の職員へのなりすましにより、VPN接続による基幹ネットワークシステムへの不正アクセスがあったことが判明しました。

2020年3月27日から2021年3月16日までの間、機構内ネットワークに対して不正アクセスが継続的に行われていたとのことです。

同機構は、機構役職員等のアカウント情報1,949件、セミナー原稿など219ファイル、複数の電子メール・電子ファイル、機構外へ送信された電子メールの一覧が窃取されたと発表しています。

この件を受け、従来の基幹ネットワークシステムにセキュリティ対策を行うと同時に、ログイン認証上の安全性強化を実施しています。

マイナビ転職の管理サーバーに外部から不正ログイン

2021年2月9日、マイナビ転職のWebサーバーに対して不正ログインが確認されました。

不正ログインの原因は、外部で不正に取得されたと思われるパスワードを使ったなりすましでした。

不正ログインが確認された期間は、2021年1月17日から同年2月9日までであり、2000年から2021年2月9日までにマイナビ転職へ登録した方のうち、21万2,816名分のWeb履歴書が窃取されています。

今後の対策として、不正ログインを試行していたIPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を実施しています。

東南アジアのグループ企業に対するM&Aの協力依頼

2022年8月、国内企業の社長になりすました攻撃者から、東南アジアのグループ企業に対してM&Aの協力依頼がありました。

攻撃者とメールでのやり取りを重ねる中で、質問に対して適切な回答がなかったため、不審に思い電話確認を行ったところ、詐欺であることが発覚しました。

その後、攻撃者から金銭を要求するメールを受信しましたが、詐欺であることを認識していたため、要求には応じず金銭的な被害は発生しませんでした。

IDとパスワードの使い回しを避ける

複数のサービスでIDとパスワードを使い回すことは、リスト攻撃のリスクを高めてしまいます。

万が一、1つのサービスからIDとパスワードが流出すれば、そのリストが悪用され、他のサービスでも不正アクセスの被害に遭う恐れがあるのです。

そのため、サービスごとに異なるIDとパスワードを設定し、定期的にパスワードを変更することが求められます。

また、複雑で推測困難なIDとパスワードを用いる対策も効果的です。

【関連記事】パスワードの強度を確かめる方法｜危険なパスワードと安全性を高める方法

怪しいメールやURLを開かない

フィッシング攻撃に遭わないためには、怪しいメールやURLを開かないことが肝心です。

特に、送信元が不明なメールに記載されたURLは、クリックせずにメールごと削除することが望ましいといえるでしょう。

また、メール内容に金銭や個人情報を要求する記述がある場合も、フィッシング攻撃を疑う必要があります。

不審なメールは即座に削除し、添付ファイルを開いたり、URLをクリックしたりしない注意が大切です。

ソフトウェアを常に最新の状態に保つ

ソフトウェアの脆弱性を突く攻撃に対しては、常に最新のバージョンにアップデートする対策が有効です。

古いバージョンのソフトウェアには、既知の脆弱性が存在している可能性が高く、攻撃者に狙われやすい傾向にあります。

標的になるリスクを下げるため、そしてセキュリティ強度を高めるためにも、OSやソフトウェアは常に最新の状態に保つようにしましょう。

更新を忘れてしまう場合は、OSやソフトウェアの自動更新機能を有効にするのも1つの手です。

多要素認証を導入する

多要素認証を導入することで、たとえIDとパスワードが漏洩しても不正ログインを防止できます。

IDとパスワードに加えて、SMSや専用アプリによる認証コードの入力を求めるようにすれば、セキュリティ強度を高めることができるのです。

例えば、認証コードが本人のスマートフォンに送信されるようにすれば、攻撃者は多要素認証を突破できず、不正ログインを未然に防ぐことができます。

重要なサービスやアカウントには、多要素認証の設定を行うことが推奨されています。多要素認証の詳細は以下の記事をご確認ください。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

不正検知システムを導入する

不正検知システムを導入することにより、異常なアクセスを検知し、速やかに対処することが可能となります。

通常とは異なるログインパターンや大量アクセスなど、不審な動きを察知してアラートを発することで、被害の拡大を防げます。

従来のルールベース型の検知では発見が難しかった巧妙ななりすましも、AIなどの最新技術による不正検知システムなら見抜ける可能性が高まるでしょう。

また、不正検知システムの導入はなりすましによる被害を防げるほか、セキュリティ管理者の負担軽減にも繋がります。