CORPORATE SEARCH検索

なりすましとは?代表的な手口や被害事例、効果的な対策方法を解説

なりすましによる被害が深刻化する中、効果的な対策が求められています。なりすましとは、他人や組織を詐称する行為のことです。

フィッシング攻撃やリスト攻撃、総当たり攻撃など、巧妙な手口によって個人情報や金銭が狙われ、プライバシーの侵害やブランド価値の毀損といった被害が生じる恐れがあります。

企業や組織の安全性を高めるためには、多要素認証や不正検知システムの導入など、適切なセキュリティ対策の実施が不可欠です。

この記事では、なりすましの代表的な手口や被害リスク、効果的な対策方法について解説します。

目次

[ 開く ] [ 閉じる ]
  1. なりすましとは?
  2. なりすましの代表的な手口
  3. フィッシング攻撃
  4. リスト攻撃
  5. 総当たり攻撃(ブルートフォースアタック)
  6. ソーシャルエンジニアリング
  7. なりすましによる被害リスク
  8. なりすましによる被害事例
  9. 海洋研究開発機構の職員になりすましての不正アクセス
  10. マイナビ転職の管理サーバーに外部から不正ログイン
  11. 東南アジアのグループ企業に対するM&Aの協力依頼
  12. なりすまし被害に効果的な対策方法
  13. IDとパスワードの使い回しを避ける
  14. 怪しいメールやURLを開かない
  15. ソフトウェアを常に最新の状態に保つ
  16. 多要素認証を導入する
  17. 不正検知システムを導入する
  18. GMOブランドセキュリティがなりすまし被害を効果的に防止
  19. まとめ

なりすましとは?

なりすましとは、他人や組織を詐称してコミュニケーションを取る行為のことです。

例えば、悪意のある攻撃者が本人や企業になりすまし、個人情報の窃取や金銭的被害、風評被害などを引き起こします。

オンライン上でのなりすましの手口としては、偽のメールやWebサイトを使用して、ユーザーの個人情報を不正に入手するフィッシング攻撃が挙げられます。

こうした巧妙ななりすましは、世界中で深刻な問題として扱われており、多くの個人や企業が被害に遭っているのが現状です。

なりすましによる被害を防ぐためには、セキュリティ意識の向上と適切な対策が不可欠です。

なりすましの代表的な手口

なりすましの手口はさまざまですが、代表的な手口としては以下の4つが挙げられます。

フィッシング攻撃、リスト攻撃、総当たり攻撃、ソーシャルエンジニアリングについてそれぞれ解説します。

フィッシング攻撃

フィッシング攻撃は、偽のメールアドレスや偽のWebサイトを使用して、ユーザーの個人情報や銀行口座などの情報を不正に入手する手口です。

この偽のメールはフィッシングメール、偽のウェブサイトはフィッシングサイトと呼ばれます。

攻撃者は金融機関や有名企業を装ってフィッシングメールを送り、そこからフィッシングサイトにアクセスさせてログイン情報の入力を求めるケースがほとんどです。

メールに記載されたリンクをクリックすると、本物そっくりの偽のWebサイトに誘導され、IDやパスワードなどの重要な情報を入力させられてしまうのです。

かつてのフィッシングメールは、たどたどしい日本語で書かれていたものが多かったため、すぐに偽のメールと判断できました。

しかし、近年では、AIや機械翻訳の技術が発展したことにより本物と見分けるのが困難なフィッシング攻撃が行われています。フィッシング攻撃の詳細については以下の記事をご覧ください。

【関連記事】フィッシング詐欺とは?具体的な手口や被害に遭わないための対策

リスト攻撃

リスト攻撃は、流出したIDとパスワードのリストを使用して不正ログインを試みる手口です。

攻撃者は、他のサービスから流出したIDとパスワードのリストを入手し、そのリストを使って別のサービスへのログインを試みます。

ユーザーが複数のサービスで同じIDとパスワードを使い回している場合、リスト攻撃により不正アクセスされるリスクが高くなります。

リスト攻撃は自動化されており、短時間で大量のアカウントに対して不正ログインが試行されるため、特に脆弱なウェブサービスでは被害が発生しやすい点が特徴です。

総当たり攻撃(ブルートフォースアタック)

総当たり攻撃は、考えられる全ての組み合わせを試してパスワードを破る手口です。

一般的によく使われるパスワードを片っ端から試したり、文字や数字を組み合わせたパスワードを総当たりで入力したりする攻撃手法となります。

リスト攻撃と似ていますが、流出したパスワードリストではなく、統計的に使用頻度の高いパスワードからしらみつぶし(=ブルートフォース)に試行する点で異なります。

単純なパスワードほど、総当たり攻撃に対して脆弱であり、不正アクセスのリスクが高くなります。

例えば、パスワードの長さが極端に短かったり、一般的な単語や数字の組み合わせを使用していたりするケースは注意が必要です。

【関連記事】ブルートフォース攻撃(総当たり攻撃)とは?被害事例や対策方法を紹介

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、情報通信機器を使わずに、ターゲットの人物自身や物理的な場所から機密情報を盗み取る手口です。

具体的には、攻撃者が親しい人物を装って電話やメールで接触し、機密情報を聞き出そうとするケースが多くみられます。

その際にはソーシャルメディアを使用してターゲットの下調べをしたうえで、その情報を利用してコンタクトを取るケースも多いです。

また、オフィスに侵入してデバイスの画面を背後から覗き見たり、ゴミ箱を漁ったりして情報を盗み取る手口もソーシャルエンジニアリングの一種です。

人間の心理的な隙を突いて機密情報を入手するソーシャルエンジニアリングは、技術的な対策だけでは防ぎきれない点がポイントといえます。

なりすましによる被害リスク

なりすましによる被害リスクは深刻であり、個人や組織に大きな影響を与える可能性があります。

悪意のある攻撃者になりすまされることで、以下のようにさまざまな問題が生じる恐れがあるのです。

▼なりすましによる主な被害リスク

  • プライバシーが侵害される
  • 金銭的被害が生じる
  • 機密情報が漏洩する
  • 風評被害を受ける
  • 人物に対する信用や、企業等のブランド価値を毀損する
  • 法的責任を問われる可能性がある

なりすましによって機密情報が外部に流出すれば、企業の信用失墜や取引先との関係悪化など、深刻な事態を招きかねません。

また、セキュリティ対策の不備が問われ、法的責任を追及される可能性もあるでしょう。

これらのリスクを防ぐため、個人や組織はなりすましの脅威を認識し、適切な対策を講じることが求められています。

なりすましによる被害事例

ここでは、過去に発生したなりすましの被害事例について、以下3つの内容をそれぞれ解説します。

海洋研究開発機構の職員になりすましての不正アクセス

2021年3月16日、海洋研究開発機構の職員へのなりすましにより、VPN接続による基幹ネットワークシステムへの不正アクセスがあったことが判明しました。

2020年3月27日から2021年3月16日までの間、機構内ネットワークに対して不正アクセスが継続的に行われていたとのことです。

同機構は、機構役職員等のアカウント情報1,949件、セミナー原稿など219ファイル、複数の電子メール・電子ファイル、機構外へ送信された電子メールの一覧が窃取されたと発表しています。

この件を受け、従来の基幹ネットワークシステムにセキュリティ対策を行うと同時に、ログイン認証上の安全性強化を実施しています。

マイナビ転職の管理サーバーに外部から不正ログイン

2021年2月9日、マイナビ転職のWebサーバーに対して不正ログインが確認されました。

不正ログインの原因は、外部で不正に取得されたと思われるパスワードを使ったなりすましでした。

不正ログインが確認された期間は、2021年1月17日から同年2月9日までであり、2000年から2021年2月9日までにマイナビ転職へ登録した方のうち、21万2,816名分のWeb履歴書が窃取されています。

今後の対策として、不正ログインを試行していたIPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を実施しています。

東南アジアのグループ企業に対するM&Aの協力依頼

2022年8月、国内企業の社長になりすました攻撃者から、東南アジアのグループ企業に対してM&Aの協力依頼がありました。

攻撃者とメールでのやり取りを重ねる中で、質問に対して適切な回答がなかったため、不審に思い電話確認を行ったところ、詐欺であることが発覚しました。

その後、攻撃者から金銭を要求するメールを受信しましたが、詐欺であることを認識していたため、要求には応じず金銭的な被害は発生しませんでした。

なりすまし被害に効果的な対策方法

なりすまし被害を防ぐには、適切な対策を講じることが不可欠です。以下、なりすまし被害に効果的な5つの対策方法について解説します。

IDとパスワードの使い回しを避ける

複数のサービスでIDとパスワードを使い回すことは、リスト攻撃のリスクを高めてしまいます。

万が一、1つのサービスからIDとパスワードが流出すれば、そのリストが悪用され、他のサービスでも不正アクセスの被害に遭う恐れがあるのです。

そのため、サービスごとに異なるIDとパスワードを設定し、定期的にパスワードを変更することが求められます。

また、複雑で推測困難なIDとパスワードを用いる対策も効果的です。

【関連記事】パスワードの強度を確かめる方法|危険なパスワードと安全性を高める方法

怪しいメールやURLを開かない

フィッシング攻撃に遭わないためには、怪しいメールやURLを開かないことが肝心です。

特に、送信元が不明なメールに記載されたURLは、クリックせずにメールごと削除することが望ましいといえるでしょう。

また、メール内容に金銭や個人情報を要求する記述がある場合も、フィッシング攻撃を疑う必要があります。

不審なメールは即座に削除し、添付ファイルを開いたり、URLをクリックしたりしない注意が大切です。

ソフトウェアを常に最新の状態に保つ

ソフトウェアの脆弱性を突く攻撃に対しては、常に最新のバージョンにアップデートする対策が有効です。

古いバージョンのソフトウェアには、既知の脆弱性が存在している可能性が高く、攻撃者に狙われやすい傾向にあります。

標的になるリスクを下げるため、そしてセキュリティ強度を高めるためにも、OSやソフトウェアは常に最新の状態に保つようにしましょう。

更新を忘れてしまう場合は、OSやソフトウェアの自動更新機能を有効にするのも1つの手です。

多要素認証を導入する

多要素認証を導入することで、たとえIDとパスワードが漏洩しても不正ログインを防止できます。

IDとパスワードに加えて、SMSや専用アプリによる認証コードの入力を求めるようにすれば、セキュリティ強度を高めることができるのです。

▼多要素認証の要素

  • 知識情報:パスワードやID、秘密の質問など
  • 所持情報:端末情報やワンタイムパスワードなど
  • 生体情報:指紋や顔、虹彩など

例えば、認証コードが本人のスマートフォンに送信されるようにすれば、攻撃者は多要素認証を突破できず、不正ログインを未然に防ぐことができます。

重要なサービスやアカウントには、多要素認証の設定を行うことが推奨されています。多要素認証の詳細は以下の記事をご確認ください。

【関連記事】多要素認証(MFA)とは?二要素認証・二段階認証との違いやメリットを解説

不正検知システムを導入する

不正検知システムを導入することにより、異常なアクセスを検知し、速やかに対処することが可能となります。

通常とは異なるログインパターンや大量アクセスなど、不審な動きを察知してアラートを発することで、被害の拡大を防げます。

従来のルールベース型の検知では発見が難しかった巧妙ななりすましも、AIなどの最新技術による不正検知システムなら見抜ける可能性が高まるでしょう。

また、不正検知システムの導入はなりすましによる被害を防げるほか、セキュリティ管理者の負担軽減にも繋がります。

GMOブランドセキュリティがなりすまし被害を効果的に防止

画像引用元:GMOブランドセキュリティ

GMOブランドセキュリティ」は、『なりすまし対策ならGMOブランドセキュリティ』と言われるように、なりすましの対象となる企業側の対策として、第三者によるブランドのフリーライド・模倣品販売、なりすまし・偽サイトに対して、そのリスクを効果的に防止するサービスを提供しています。

同社は、GMOブランドサーベランスというサービスを提供し、Webサイト(ドメインネーム含む)、SNS、マーケットプレイスにおけるブランド侵害の監視を行い、ブランドの不正利用や偽サイトの早期発見に努めています。

また、発見された侵害に対しては、GMOエンフォース1により、エンフォースメント支援を行い、速やかなウェブサイトや出品の削除や是正措置を促すことで、被害の拡大を防ぐことが可能です。

ブランドを安心・安全な状態に維持しつづけるために、同社のサービス導入を検討することをおすすめします。

まとめ

この記事では、なりすましの代表的な手口や被害リスク、効果的な対策方法について解説しました。

フィッシング攻撃やリスト攻撃など、巧妙ななりすましの手口に注意し、IDとパスワードの使い回しを避け、怪しいメールやURLには十分に注意することが重要です。

また、多要素認証の導入やソフトウェアの更新など、基本的なセキュリティ対策を講じることでもなりすまし被害のリスクを軽減できます。

さらに「GMOブランドセキュリティ」が提供するサービスを活用すれば、なりすましによるブランド侵害を効果的に防止することが可能です。

なりすましの脅威から個人情報やブランドを守るために、適切な対策の実施をぜひご検討ください。

文責:GMOインターネットグループ株式会社