「なりすましとは、そもそもなんだろう」
「手口や被害に遭わない方法を知りたい」
このような悩みを抱えている方もいるのではないでしょうか。
なりすましは年々、手口が巧妙化しています。個人だけでなく企業側も、なりすましによる不正利用を防ぐための対策が必要です。そこで本記事では、以下について解説します。
- なりすましをする側の目的や心理
- なりすましの事例
- なりすましの手口
- なりすましの対策方法
なりすまし被害に遭うと、不正利用されたクレジットカードで支払いが行われ、チャージバックが発生するリスクがあります。チャージバックが発生すると、費用は事業者側の負担となります。よってサービスを提供する事業者は、なりすまし対策が必須です。
なりすましについて詳しく知りたい方は、ぜひ本記事をご一読ください。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
目次
なりすましとは?定義や心理、リスクを解説
なりすましとは、ある人が別の人を詐称してコミュニケーションを行うことです。インターネット上におけるなりすまし行為としては、不正な手段で個人情報を盗んだり、資金を不正送金したりするなどの行為が挙げられます。
なりすましは世界中で問題となっています。年を追うごとに巧妙化しており、被害も増加傾向です。実際、なりすましによる不正アクセスの被害件数は増加していることが、経済産業省の資料からも分かります。
引用:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 | 経済産業省
では、そもそもなぜ人はなりすましをするのでしょうか?なりすましを行う人の目的について、次の項目で解説します。
なりすましをする側の目的
なりすましを行う側の目的は様々です。「注目されたい」「目立ちたい」といった、承認欲求を満たす目的でなりすましを行う人もいます。
一方、金銭を得るためにインターネット上で、なりすましを行う人がいます。
たとえばクレジットカード情報を不正入手した、本来の所有者とは別の人がいます。この人はクレジットカードの所有者になりすまし、ショッピングサイトで買い物を行い、購入したモノを転売して利益を得る。なりすまし犯の中には、このような目的の人もいます。
なお上記ケースの場合、ショッピングサイトはクレジットカードを不正利用された本来の所有者に、不正利用された額を返金する必要があるケースが多いです。ショッピングサイトは、商品が手元に戻らずお金も出ていくという、深刻な事態となります。
よってショッピングサイトを始めとしたEC事業者は、なりすまし対策を行う必要性があります。サイト上でのなりすまし対策について、詳しくは以下記事をご一読ください。
次は、なりすましの事例を5つご紹介します。
なりすましの事例5選
なりすましの手口は年々、巧妙化しています。気を付けている人であってもいつのまにか被害を受けている可能性があるものです。そこで、なりすましの事例を5つ紹介していきます。
- SNSにおけるなりすまし
- ECサイトにおけるなりすまし
- メタバースにおけるなりすまし
- Netflixを利用したアカウント乗っ取り
- 警察官になりすました詐欺
順番に見ていきましょう。
【事例1】SNSにおけるなりすまし
なりすましの事例でよく耳にするのが、SNSアカウントの乗っ取りです。他人のIDやパスワードを不正に入手します。
なかには未成年者のSNSアカウントを乗っ取り、飲酒しているかのような合成画像を投稿し、本来のアカウントの持ち主に迷惑をかけるケースもあります。
【事例2】ECサイトにおけるなりすまし
サイトの構成を模倣して、本物のサイトであるかのように訪問者に認識させる「ECサイトのなりすまし」が事例としてあります。
サイトの構成や画像を公式サイトとほぼ同じように制作し、サイトを利用しているユーザーを誘導。IDやパスワード、クレジットカード情報などを入力させ、個人情報を抜き取ります。
ECサイトにおけるなりすましについては、以下の記事で詳細を解説しています。ぜひご一読ください。
【事例3】メタバースにおけるなりすまし
メタバース(仮想空間)においても、なりすましが発生した事例があります。
他人のアバターになりすまして、取引先や友人との信頼関係が悪化するようなやり取りを行ったり、個人情報を流出させたりといった恐れがあります。会議をメタバース内で行う企業が増えてきているため、メタバースにおいてのなりすまし対策は急務です。
以下の記事で、メタバースのなりすましについて詳しく解説しています。ぜひご一読ください。
【事例4】Netflixを利用したアカウント乗っ取り
Netflixを狙ったアカウント乗っ取り被害も発生しています。
Netflixの登録利用者数は、2022年3月の時点で2億2164万人です。Netflixのアカウントにはクレジットカード情報など、課金情報が紐付いています。会員数も多くクレジットカード情報も記載されているため、不正者はNetflixのアカウントを乗っ取ろうと攻撃を仕掛けています。
よって不正者は、Netflixのアカウントを乗っ取ろうと攻撃を仕掛けています。Netflixのユーザー情報は闇ウェブ(ダークウェブ)と呼ばれる場所で、売買されているという報告があります。
Netflixのアカウント乗っ取りについては、以下の記事で詳細をまとめているので、ぜひご一読ください。
【事例5】警察官になりすました詐欺
警察官になりすました詐欺被害も多いです。
突然、警察官の格好をした人物が自宅を訪れて「あなたの銀行口座が犯罪に使われています」と言い、キャッシュカードを渡すよう命じたり暗証番号を教えるよう指示してきたりします。
警察手帳も本物と似ている作りのため、信じてしまいそうになります。
ですが、特殊詐欺の疑いがあるため、一人で考えず誰かに相談するようにしましょう。
特殊詐欺を防止できた人の約6割は、家族・親族への相談が詐欺に気付くきっかけとなっています。少しでも怪しいと思ったら一人で考えず、警察や家族または親族に相談することが1番の対策です。
なりすましの4つの手口
なりすましの手口は巧妙化しているため、企業側はできるだけ手口を把握して対策をする必要があります。なりすましの4つの手口について解説していきます。
- フィッシング攻撃
- リスト型攻撃
- 総当たり攻撃(ブルートフォースアタック)
- ソーシャルエンジニアリング
どういうことか、詳しく見てみましょう。
【手口1】フィッシング攻撃
フィッシング攻撃とは、有名企業や金融機関などを装ったメールで偽サイトに誘導する手口です。
公式サイトのURLにそっくりのため、本物のメールと勘違いさせることを狙います。ケースによっては、「〇日以内に支払いが必要です」といった、ユーザーを心理に動揺させる文言が書かれています。
フィッシング攻撃については、以下で詳しく紹介しているので、ご一読ください。
【手口2】リスト型攻撃
リスト型攻撃とは、アカウントとパスワードが記載された一覧をもとに、様々なウェブサイトでログインを試みる方法です。
たとえばあるサービスから、IDとパスワードが流出したとします。ユーザーの中には、同じIDとパスワードを他社サービスでも使い回しているケースもあるものです。
よって不正者は、一つのサイトから不正入手したIDとパスワードを、別のサイトでも活用できないかと試みます。これがリスト型攻撃です。
リスト型攻撃を防ぐには、企業側の対策はもちろん、利用する個人の対策も必要です。たとえば企業側は、決められた回数以上ログインに失敗したら、一定時間ログイン入力を制限する。個人では、同じIDとパスワードを使い回さない、といった事が挙げられます。
【手口3】総当たり攻撃(ブルートフォースアタック)
総当たり攻撃(ブルートフォースアタック)とは、あり得るパスワードを入力し続けて強引に突破を試みる方法です。たとえばパスワードが0000から9999まで入力できる場合、1万パターンすべて入力して、不正ログインを試みます。
ブルートフォースアタックは人間が手入力すると、膨大な時間が必要です。しかし不正プログラムやツールなどをすれば自動的に作業を進められるため、作業時間も大幅に短縮されています。
ブルートフォースアタックによる被害を防ぐには、ログイン回数の制限や二段階認証を設定する、といった対策が考えられます。
【手口4】ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人間の心理的な隙や行動のミスをついた攻撃方法です。
代表的な事例の1つは、利用者のフリをしてネットワークの管理者に電話をかけパスワードの変更依頼や聞き出しを依頼します。
他にも「肩越しにキーボードの入力を見てパスワードを見る」や「ごみ箱を漁りパスワードやユーザー名の情報を探す」といった行為で情報を盗もうとします。
ソーシャルエンジニアリングによる不正を防ぐには、自社のセキュリティポリシーを見直したり運用を徹底することが大切です。IDとパスワードが記載された紙は必ずシュレッダーにかける、問い合わせがあった場合は合い言葉や個人情報などで本人確認を行う、といった方法が挙げられます。
ここまで、なりすましの手口を4つご紹介しました。なりすましによる不正アクセスの方法は多く存在するものです。情報漏洩を防ぐため、企業側はセキュリティ対策が必要になります。
そこで次は、なりすましを防ぐ方法についてご紹介しています。「なりすましよる情報漏洩リスクを減らしたい」と考えている方は、ぜひご一読ください。
なりすましの対策方法
なりすまし対策には、以下4つの方法が挙げられます。
- ブラックリスト管理(監視)
- 多要素認証
- 人力でのモニタリング
- 不正検知システムの導入
1から3番目の対策は、効果が限定的であったりユーザーへ負担をかけたりするため、導入するときは慎重な検討が必要です。なりすまし対策として特におすすめは、4番目の不正検知システムの導入です。
O-MOTIONは、アクセス権がない人物からの「機械的なアクセス」や「人の手によるアクセス」を検知。明らかに不正なアクセスの場合は自動でブロックしたり、怪しいアクセスの場合は追加認証を求めたりメールで怪しいログインを利用者に通知したりします。
O-MOTIONはリアルタイムで、不正アクセスの検知・対処が可能です。正規のユーザーであれば、追加認証も発生せずスムーズにログインできるため、ユーザーに負担をかけません。
- 怪しいユーザーからのログインをブロックしつつ、正規のユーザーに負担をかけない
- リアルタイムで不正を検知、ブロックできる
これが、O-MOTIONを導入する魅力です。なりすましを含む不正アクセス対策を検討している方は、ぜひ導入を検討してみませんか?「O-MOTION」の資料は以下から無料でダウンロードできるので、ぜひご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
メタバース内でなりすましをされた場合のリスクについては以下の記事で紹介しているため、ご一読ください。
ECサイト事業者向けのなりすまし対策については、以下の記事で紹介しているのでご一読ください。
まとめ:なりすまし対策はO-MOTIONで解決
ここまでは、なりすましについて詳しく説明してきました。
なりすましは、企業だけでなく個人も被害を受けてしまう可能性があり、人生を左右するほどの影響を受ける場合もあります。
今回、ご説明した内容の要点は以下です。
- なりすましとは、第三者と偽りシステムやサービスを利用する行為
- 年々、手口が巧妙化している
- なりすましなどの不正アクセスが急激に増えているため企業は対策が急がれる
なりすまし対策をおこないたい方は、本記事で紹介している不正検知システム「O-MOTION」がおすすめです。正規ユーザーに負担をかけず、リアルタイムで不正アクセスの検知・ブロックができます。
O-MOTIONについて詳しく知りたい方は、以下からお気軽にお問い合わせください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
