自分が「なりすまし」の被害に遭ったり、周りやニュースで「なりすまし」の被害に遭った話を聞いたことがある方も多いと思います。
「なりすまし」の被害は決して他人事ではありません。
「なりすまし」の目的やリスク、手口を理解し、対策をしっかり講じてセキュリティリスクを少しでも軽減するように心がけることが大切です。
なりすましとは
「なりすまし」とは、他人の名を語って自分以外の人物のふりをすることを言います。
「なりすまし」をされると、他人が自分名義で不正アクセスなどの犯罪行為を行ったり、SNSなどで自分のアカウントを乗っ取って投稿しれたりと、自分がやっていないのにあたかも自分がやったかのような行為が行われます。
誰かが自分のふりをして悪さをするなんて、とても恐ろしい話ですよね。
「なりすまし」は年々手口が巧妙化していて被害報告も増えています。
誰もが被害に遭う可能性がある非常に危険な手口で、セキュリティ上の脅威となっています。
また、他人になりすまして犯罪行為をされると、ネット上では本人がやったかのように見られてしまいます。
なりすましの被害者が犯人扱いされてしまう可能性があるということです。
恐ろしい話ですが、このように犯罪行為の実際の犯人が誰であるかをわかりにくくするためになりすましをして詐欺犯罪などを行うケースがあります。
なりすましの目的とは?
「なりすまし」を行う人はなぜ「なりすまし」をするのでしょうか。
大きく3つの目的が考えられますので解説します。
愉快犯
周りに注目されたい、話題になりたいなどの承認欲求を満たすためだったり、被害者を困らせて楽しむことが目的の愉快犯のケースがあります。
たとえば不正に入手したSNSにログインして、勝手に何かを投稿したりしてそれらの欲求を満たします。
金銭的な被害はないですが、周りの信頼を失ったり人間関係に影響が出てしまったりと、ただのイタズラのようなものでも、本人にとっては大打撃になることも多いです。
情報入手
本来のユーザーになりすまして、企業のシステムにログインすることで、その企業の機密情報を入手することが可能です。
また、個人でも何らかのサービスにログインをすることで、住所や電話番号、クレジットカードなどの情報を得ることができます。
何らかの犯罪に利用するために、なりすましをしてそれらの情報を入手するケースがあります。
この場合は、情報を入手するためだけではとどまらず、犯罪に利用することがほとんどです。
入手した情報を犯罪組織などに情報を売買している場合もあります。
金銭目的
「なりすまし」の目的の多くは金銭です。
なりすまして不正にショッピングサイトでショッピングしたり、SNSを乗っ取って友達登録されている人にプリペイドカードの購入を依頼したりして金銭を入手しようとします。
インターネットバンキングのサービスに本人になりすましてログインすることで預金の引き落としをされたりすることもあります。
なりすましの被害例とリスク
なりすましの被害例をいくつか確認していきましょう。
- 従業員になりすました犯人にシステムへ不正アクセスされて、個人情報が流出してしまった
- 企業担当になりすました犯人が取引先と勝手にやりとりをして金銭を払わせる詐欺をした
- ECサイトになりすまして、本物そっくりのサイトを作成して、誘導されたユーザーの個人情報を抜き取った(=フィッシング詐欺)
- 本人になりすましてLINEに不正ログインし、登録されている友達にプリペイドカードなどの金銭を要求した
- 他人になりすまして掲示板に犯罪予告を書き込んだことで、なりすまされた無関係の人が逮捕された
これらはほんの一部で、実際に遭ったなりすましの被害例です。
なりすましがきっかけで大きなトラブルや事件にまで発展する可能性があるので特に企業は対策が求められています。
なりすましをされることで発生しうるリスクは様々です。
- 知らない間に自分が犯罪者にされるリスク
- 機密情報や個人情報が漏洩してしまうリスク
- 金銭的被害に遭うリスク
- 社会的信頼を失うリスク
自分が被害に遭わないためにもまずは被害例とリスクを把握しておくことが大切です。
なりすましの手口とは?
「なりすまし」を行う手口にはどのようなものがあるでしょうか。
多くの場合、なりすますためには、なりすましたい人のユーザーIDとパスワードが必要で、何らかの手段で入手する必要があります。
なりすましの手口を解説します。
フィッシング
フィッシング詐欺とは、本物そっくりの偽サイトを用意してターゲットを誘導して、重要な個人情報を入力させる手口です。
たとえば、Amazonの名を騙って「パスワード有効期限が切れました。以下のURLからアクセスしてパスワードを変更してください。」とメールを送ります。
受信者がURLをクリックすると本物のAmazonそっくりなサイトにユーザーIDと現在のパスワードと新しいパスワードを入力する画面が表示されます。
入力するとパスワード変更完了の旨が表示されますが、偽サイトなので実際のAmazonのパスワードは変更されるわけではありません。
ただユーザーIDとパスワードを相手に教えてしまっただけになってしまいます。
フィッシングサイトは本物のサイトの画面をコピーして作成されていることが多いので、見た目で見分けることが困難で、本物のサイトだと思い込んで情報を入力してしまう被害が後を絶ちません。
ブルートフォースアタック
ブルートフォースアタックは「総当たり攻撃」とも呼ばれます。
思いつくパスワードを片っ端から試してみる方法です。
南京錠をイメージするとわかりやすいですが、4桁の数字の南京錠の場合、正解がわからなくても「0000」~「9999」の1万通りを試していけばいつかは解除することができます。
ブルートフォースアタックはこれと同じ考え方になります。
南京錠のように人が行うのは大変ですが、コンピュータで自動化することで短時間で大量のログインを試みることができます。
リスト型攻撃
リスト型攻撃は、その名の通りアカウントとパスワードが記載されたリストを元に不正アクセスを試みる手口です。
たとえば、フィッシングなどで入手したアカウントとパスワードをリスト化して、他のサービスに対してもログインできるかどうかを試す場合に利用されます。
複数のサービスでパスワードの使いまわしをすることの危険性がよくわかるかと思います。
ソーシャルエンジニアリング
ソーシャルエンジニアリングと聞くと、何やらハイテクそうな技術のイメージを持つかもしれませんが、その逆になります。
電話で本人や管理者になりすましてパスワードを口頭で聞きだしたり、パスワードやクレジットカードの番号を入力しているところを肩越しに覗き見ることで入手したり、ゴミ箱をあさって重要な資料の情報を収集する手口です。
心理的な隙や人的ミスにつけこんだものが多く、意外かもしれませんが、ソーシャルエンジニアリングによる情報入手も数多くの事例があります。
なりすましの対策方法とは?
実際になりすましの被害を防ぐためには、どのような対策をすれば良いのでしょうか。
少しでもリスクを軽減するためにできるなりすまし対策を解説します。
多要素認証を使用する
多要素認証とは、複数の異なる認証が必要な方式です。
通常のパスワードの入力とは別にSMSやメールで送信されるワンタイムパスワードの入力や認証アプリで発行したワンタイムパスワードを入力します。
面倒というデメリットはありますが、パスワードに加えて本人認証が必要になるため、パスワードを入手しただけではログインできなくなるのでなりすまし対策としてはとても有効です。
安易にメールのリンクや添付ファイルを開かない
メールのリンクをクリックしたり添付ファイルを開くことで、フィッシングサイトに誘導されたり、ウイルスやマルウェアに感染して情報を抜き取られる危険性があります。
確実に大丈夫だと断言できる場合以外は、URLをクリックしたり添付ファイルを開かない事でリスクを軽減することができます。
メールのURLから情報入力しない
フィッシング詐欺の対策にもなりますが、登録しているサービスなどにログインする場合は、メールに記載されたURLからはアクセスしない方が良いです。
本物と偽物の区別がつきにくい偽サイトの可能性があるためです。
ログインしたり、情報入力する必要がある場合は、自分で検索したりブックマークから正規のサイトにアクセスすることでリスクを軽減することができます。
パスワードの複雑化
パスワードを複雑化することでブルートフォースアタックの被害を防ぐことができます。
また、複数サービスで同じパスワードを使いまわさないことでリスト型攻撃を防ぐこともできます。
セキュリティソフトの導入
セキュリティソフトを導入し、リアルタイムで不正を検知できる仕組みを整えることでリスクを軽減することができます。
ただし、セキュリティソフトはただ導入すれば良いわけではなく、常に最新の状態を保つことが重要です。
メールの利用頻度を減らす
フィッシング詐欺はメールによる誘導が多いため、メールの利用頻度を減らすことでフィッシングの被害に遭うリスクを低減させることができます。
ファイルのやりとりをする場合にはオンラインストレージを使用してやりとりをすることでメールの使用回数を減らすことも可能になります。
メールの使用回数を減らすことで受信メール数も減るため、身に覚えのないメールにも気づきやすくなることが期待できます。
なりすまし対策をしてリスクやトラブルを回避しよう
なりすましは、いつでもだれでも被害に遭う可能性があります。
しかし、なりすまし対策をすることでリスクやトラブルが起きる可能性を軽減させることはできます。
なりすましの目的や手口、リスクを理解してしっかりとなりすまし対策をしてリスクやトラブルを回避に努めることが大切です。
オンラインストレージサービスを使用してファイルのやりとりをすることで、メールの利用頻度を下げることは実現可能な対策のひとつです。
オンラインストレージの「セキュアSAMBA」は、シンプルで使いやすく、セキュリティも強固で安心して利用可能ですので、なりすまし対策のひとつであるメールの利用頻度を減らす手段としてご検討ください。