なりすまし被害の実態と企業がすべき対策

特定のIDと本人の紐付けが難しいオンライン空間でありながら、インターネットは情報ソースとしてその地位を向上させており、なりすましがもたらす被害は今後も大きくなることが想定されます。

今回は、そもそもなりすましとはどういう手口で行われるのか、どのように被害を防止すれば良いのかについて、ご紹介します。

なりすましとは？

なりすましとは、第三者が特定の人間の名前などをかたり、嘘の情報をネットで広めたり、不当に情報を別の人間から聞き出し、情報漏洩を引き起こしたりといった犯罪のことを指します。一昔前であれば、見知らぬメールアドレスで有名人をかたるなりすましメールなどが話題となりましたが、今ではなりすましも高度になっており、嘘と見抜くのが難しくなってきています。

また、最近ではSNSのアカウント情報を不正に入手し、特定のアカウントへ不正にアクセスすることで、そのアカウントと友人関係にあるユーザーへフィッシング詐欺やポイント詐欺を敢行するケースも見られます。個人情報だけでなく、直接不特定多数の人間に金銭的被害を被らせているということで、日本でも警戒を呼びかけています。

なりすまし被害の現状

FBIが2018年に発表したデータによると、インターネット上で発生している約半数の犯罪はビジネスメール詐欺をはじめとするなりすましメールを発端に行われているとされています。被害額はおよそ2,900億円(27億ドル)にも達すると言われており、古典的な詐欺であるとは言え決して侮れない犯罪行為であることは間違いありません。

参考： GMOグローバルサインブログ「年々被害が増加する、ビジネスメール詐欺 (BEC) の実態」

種類1：ドメイン名の偽装

2000年代から散見されてきた古典的な手口ですが、本物のアドレスと酷似した偽アドレスで不特定多数の人物にメールを送りつける手法は健在です。リンク先のフィッシングサイトなどに個人情報を記入させ、個人情報漏洩につながるというものです。大文字の「I(アイ)」と小文字の「l(エル)」を差し替えて本物のアドレスのように見せかけるなど、手口は年々高度になってきています。

種類2：Eメールのハッキング

裏ルートなどからメールアドレスのリストを入手し、不正にメールアドレスへログインするという手法も少なからず存在します。アドレスに不正ログインされ、その上勝手にメールを送られてしまうと、受信者はそれを本人のアドレスから送られてきたと思わざるを得ないため、あっさり詐欺被害にあってしまうケースも見られます。

種類3：対象者のモニタリング

なんの脈絡も無いなりすましメール単体であれば、多少のリテラシーを身につけるだけでメールの真贋を見分けられるようになります。しかし、「ありそうな」タイミングで「ありそうな」メールを受け取ってしまうと、ついつい本物かと思ってしまい、なりすまし被害を被ってしまうものです。そこでなりすましを行う不正ユーザーは特定の人物の行動を監視し、いつ、どこの、誰に、どんな要件でメールを送信しているのかを記録します。

その上でなりすましメールを作成し、特定の人物を思わせるタイミングで関連するユーザーへメールを送り、個人情報を抜き取ろうとします。なりすましも高度になると、もはや素人には見分けがつかないレベルになっていることは覚えておきましょう。

なりすまし対策を企業がすべき理由

このようななりすまし被害を防ぐためには、消費者だけでなく、企業側の被害防止に向けた取り組みも必要となります。

ブランドイメージへの悪影響を防止

なりすましメールとしてよく見かけるのが、大手ECサイトや銀行の名前でユーザーにメールを送り、個人情報を不正に入手しようという手口です。なりすまされた側の組織が迅速にこの事件を認知し、対策を講じなければ、悪いイメージが定着し、アクティブユーザーの低下を招いてしまう可能性もあります。こういった不安を抑制するためにも、企業が率先してユーザーに対してなりすましへの注意勧告を行い、防犯に努めることが求められます。

情報漏洩の防止

また、なりすまし被害は必ずしも消費者だけでなく、企業がターゲットとなることもあります。特に行動パターンが定型化されている業務に従事する人は、機械的にメールを開き、その指示に従ってしまいやすいものです。無意識にメールやメッセージを受け取ってしまいやすいだけでなく、膨大な個人情報や企業秘密を抱えている企業の人間は、まさに格好のターゲットというわけです。このような被害を防ぐためにも、企業は内外に向けてなりすまし防止に向けた取り組みに力を入れなければなりません。

なりすましへの対策方法

なりすましの被害を少しでも抑えるため、次のような対策方法が挙げられます。どれも基本的な対策となるため、最低限取り組むようにしましょう。

定期的なパスワードの変更

面倒でも必ず行うべきなのが、定期的なパスワードの変更です。パスワードをどれだけ複雑にしていても、総当たりでパスワードを解析されてしまうと、いつかは正解にたどり着きます。

定期的にパスワードを変更することで、総当たりによる解析や、情報漏洩によるパスワード流出を防げます。メールやSNSなど、日常的に利用するサービスのパスワードは特に頻繁に変更することが大切です。

差出人とURLのチェック

怪しいメールやメッセージがSNSに届いた場合は、まず差出人を確認しましょう。文面では見知った人を装っていても、アドレスが微妙に違っていたり、言葉遣いがおかしいといった場合は、なりすましと考えて間違いありません。また、メールなどに添付されるリンクや添付ファイルなども無闇に開かず、本人確認が取れてから扱うようにしましょう。

不正検知システムの導入

最近では、ユーザーにメールなどが届く前に不正を検知し、怪しいログインやメッセージを弾いたり、警告によって潜在的な脅威を報告してもらったりができます。すでにGoogleや各種SNSはデフォルトでこういったシステムを導入していますが、外部サービスを利用することで、さらに検知精度を高めることもできます。積極的に活用しましょう。

おわりに

なりすまし被害は世界中で報告されており、日本も例外ではありません。特に日本企業はサイバーセキュリティ対策の遅れが指摘されており、潜在的なリスクが高い状況を強いられています。

日頃から高いセキュリティ意識を心がけ、被害に遭わないよう警戒しておきましょう。

▶︎▶︎2021下半期年調査レポートを公開しました◀︎◀︎

Spider Labsの最新アドフラウド調査レポートを公開しました。

今回のSpider AFでの調査では2021年7月から12月までの半年間で解析したウェブ広告の6億9,600万クリックのうち、約4.4％にあたる3,062万クリックがアドフラウドであることが判明。これはおよそ15億3,120万円(1クリックあたり50円で計算)規模のアドフラウド被害があったと推測しております。

他にも新たに検出されたアドフラウド被害事例や、詳細数値が無料でご覧いただけます。

ぜひ以下リンクよりご覧ください。

>>ダウンロードはこちら<<

※ Spider Mediaに掲載されている見解、情報は、あくまでも執筆者のものです。Spider Labsはブログに含まれる情報の正確性について可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。Spider Mediaの目的は読者への有益な情報の提供であり、執筆者以外のいかなる存在を反映するものではありません。見解は変更や修正されることがあります。