なりすましによる被害は現在でも後を絶ちません。企業がなりすましに遭うと、情報漏えいや金銭の詐取、それに伴う社会的な信用の失墜などさまざまな被害を受けるおそれがあります。本記事では、なりすましの目的や被害事例、対策に必要なポイントなどについて解説します。
よく聞く「なりすまし」とは
「なりすまし」とは、自分を偽り他者になりすますことを指します。一時期、大きな社会問題になっていた「オレオレ詐欺」は、なりすましによる悪事の一例です。ターゲットに電話をかけ、家族のふりをして現金を振り込ませる手口はいまだに存在し、被害を受ける方も後を絶ちません。
情報セキュリティにおけるなりすましとは、悪意をもつ第三者がサービス利用者本人のふりをして、不正にログインしたりサービスを利用したりといった行為を指します。たとえば、入手した他人のIDとパスワードを用いてSNSに不正ログインし、不利益をもたらすような情報を発信する手口などです。
なりすましの目的や手口はさまざまです。個人情報の取得や金銭の詐取、承認欲求を満たすためなどいくつもの目的が考えられます。手口も常に変化しているため、対策はなかなか追いつかないのが実情です。企業がなりすましの被害に遭うと、情報や金銭を奪われるだけでなく社会的な信用を失うリスクもあるため、適切な対応が求められます。
なりすましの目的や被害事例について
なりすましの被害に遭わないよう、まずは目的を理解しておきましょう。なりすましの代表的な目的は、情報の取得や金銭の詐取、承認欲求の充足という3つです。併せて被害事例も把握しておきましょう。
他者の重要な情報を抜き取るため
個人情報や企業が保有している顧客情報、ノウハウなどを抜き取ることを目的になりすましが行われることがあります。企業の従業員になりすまして不正に得た情報を売買する、もしくは自ら犯罪に利用するといったことが考えられます。
たとえば、ターゲットとする企業の従業員になりすまして社内システムやデータベースへ侵入し、取得した新商品、新サービスの情報をライバル企業へ売り渡すといったケースです。また、取得した情報をわざと外部へ公開し、企業の社会的信用を失わせようとする行為も挙げられます。
他者の金銭を盗むため
不正に金銭を得るためになりすましを行うケースも少なくありません。不正に取得したクレジットカード情報を用いて、本人になりすましてカード決済をする、銀行口座の情報を入手して金銭を奪うといった行為です。
このようななりすましのターゲットになると、ある日突然多額の請求書が送られてくるおそれがあります。また、知らず知らずのうちに会社の資金が目減りしているような事態にもなりかねません。
自身の承認欲求を満たすため
自身の承認欲求を満たすために、なりすましを行うケースもあります。よくあるのはSNSでのなりすましです。他者になりすまして情報を発信することで承認欲求を満たしたり、困っている人を見て愉快な気持ちに浸ったりするケースが挙げられます。
たとえば、芸能人など有名人になりすましてSNSでアカウント登録を行い、情報を発信する手口が考えられます。なりすました相手にとって不名誉な情報を発信する、注目を集めて愉悦に浸るといった悪質な手口です。
なりすましの手口について
なりすましの手口としては、企業の真似をしてだまそうとするフィッシング攻撃をはじめ、ブルートフォースアタックやリスト型攻撃、ソーシャルエンジニアリングなどが代表的です。
そっくりに真似してだますフィッシング攻撃
フィッシング攻撃とは、特定の企業になりすましたWebサイトを用意して個人情報の取得や金銭の詐取を行う攻撃です。フィッシングでは、なりすます企業が運営しているWebサイトとそっくりなサイトを作成することが多く、ユーザーがだまされてしまいます。
たとえば、有名企業を名乗って「パスワードを変更してください」といった内容のメールを送り、偽サイトのリンクをクリックさせようとする手口です。また、「支払期日が迫っています」のようなメールを送って、相手を不安にさせたうえで金銭を詐取しようとする手口もあります。
フィッシングサイトは巧妙に作成されたものが多いため、偽物と見抜くのは困難です。それゆえ被害に遭う方が後を絶ちません。
全パターンを試してくるブルートフォースアタック(総当たり攻撃)
ブルートフォースアタックは、総当たり攻撃とも呼ばれるなりすましの手口です。パスワードを突破すべく、考えられるすべてのパターンを総当たりで試していきます。
これは4桁の暗証番号を突破するときによく用いられる手法です。4桁でも番号の組み合わせは数多く存在するものの、片っ端から試せばいずれはクリアできます。
このような被害を受けないためには、3回連続で異なる番号を入力したらロックされるといったパスワードの入力回数制限や、多要素認証の導入などの対策が必要です。
[SMART_CONTENT]
複数サイトで幅広く攻撃するリスト型攻撃
不正に入手したIDとパスワードのリストを用いて、複数サイトへのログインを試みる手口です。サイトごとに異なるIDとパスワードを設定している方はそれほど多くありません。そのため、ひとつのサービスで利用しているIDとパスワードを取得されると、そこから他サイトへの不正ログインを許すおそれがあります。
IDやパスワードを複数サービスで使いまわすのは危険とは、多くの方が理解しているでしょう。ただ、実際には「面倒」「忘れてしまいそう」といった理由から、使い回しをしている方は少なくありません。そうした実情を利用する手口です。
人的ミスにつけこむソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人の心理や人的ミスにつけこみ、不正に情報を入手する手口です。たとえば、銀行やコンビニのATMで画面を覗き見る、電話やメールで言葉巧みにパスワードを聞き出す、といった手法が考えられます。
このような手口は実際に存在し、被害も少なくありません。ATMを利用する際には、画面を覗き見されないよう周りへの警戒を怠らないようにしましょう。企業としては、確実に本人であるかどうかを確認する、従業員への情報セキュリティ教育を徹底するといった対策が求められます。
まずはメールでのなりすましを対策する
メールで他者になりすます手法はいまだに存在します。現在でも、多くの企業がビジネスでメールを使用しており、いつなりすましの被害に遭うかわかりません。まずはメールでのなりすまし被害に遭わないよう、しっかりと対策を行いましょう。
具体的には、送信元がはっきりしない不審なメールは開かない、本文に記載されているURLを安易にクリックしない、添付ファイルを開かないといった対策が考えられます。怪しいメールに添付されているファイルを不用意に開くと、マルウェアに感染するリスクがあるためです。
また、URLをクリックし別のサイトへ移動した際には、そのWebサイトが本物かどうか確認しましょう。正規のURLと同じか、コンテンツに不審な点はないかなどを確認します。
メールソフトのフィルタリング機能を利用し、不審なメールを迷惑フォルダへ格納する設定をするのも有効です。加えて、標的型攻撃やマルウェア対策が可能なメールシステムを利用するのも効果的でしょう。
まとめ
なりすましの目的や手口はさまざまであり、規模や業種にかかわらずどのような企業でも被害に遭うリスクがあります。企業は情報の管理を適切に行うほか、従業員への情報セキュリティ教育も徹底しなくてはなりません。また、ビジネスシーンでの利用頻度が高いメールについては、運用面も含めたセキュリティ対策が求められます。
一方で多様な手口のなりすましメールを防ぐには限界があるのも事実です。「HENNGE One」を利用すれば多要素認証を利用して万が一なりすましにあった場合でも不正アクセスを防ぐことができるほか、攻撃の証跡をメールアーカイブから探ることもできます。その他標的型攻撃対策や漏洩アカウント検知機能もあり、セキュリティ対策を強化できます。ぜひ利用を検討してみてはいかがでしょうか。
