
2024/06/28
ソーシャルリスク対策
「なりすまし」被害の例や手法とは?企業に有効な対策方法を解説
近年、インターネットを活用したSNSやメールをはじめとするコミュニケーションツールにおいて「なりすまし」による被害が増加しています。
そこでこの記事では、なりすましの被害事例や実際に使われている手口を紹介するとともに、被害を防ぐための具体的な対策方法について解説します。
企業においては、なりすましにより世間からの信頼性が低下し、炎上につながる恐れもあるため、放置できる問題ではありません。自社が抱える潜在的なリスクを早期に発見して対策を打てるよう、ぜひご一読いただきお役立てください。
- なりすましの被害は個人・組織を問わず、SNS、メール、Webサイト、メタバースなど身近なところで起きている。
- なりすましの手口は複数あり、防ぐには手口に関する知識を持って対策を講じる必要がある。
- なりすましへの対策はシンプルなものからシステム導入が必要なものまで多岐に渡る。
- マーケティングに効果的なソーシャルリスニングツールの導入は、なりすまし対策にも役立つ。
「なりすまし」とは?内容を簡単に紹介
まずはなりすましについて、その概要や現状を紹介します。ここ数年で明らかに件数が増えていますが、その被害を被っているのは個人だけではなく組織も含まれており、注意が必要です。
なりすましとは「他人を詐称してコミュニケーションを取る行為」
なりすましとは、他人を詐称してコミュニケーションを取る行為を指します。より具体的に言うと、個人や企業になりすまし、フィッシング詐欺やスパム行為などを行うことです。また、なりすましたアカウントを使って嫌がらせを行ったり、個人情報を盗むためのストーキングを行ったりなども、なりすまし行為に含まれます。
また、そのターゲットは個人から企業などの組織にまで広範囲に及んでいます。企業がなりすましの被害に合い、適切な対応を取らなかった場合、誤情報の拡散による炎上や、ステークホルダーからの信頼を失うなどのリスクがあります。
「なりすまし」につながる不正アクセスの現状
なりすましにつながる不正アクセスの被害は、近年では年々増加しています。2024年に総務省が公表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」における「不正アクセス行為の認知件数の推移」によると、2023年における不正アクセス行為の認知件数は6,312件であり、前年と比べて4,112件(約186.9%)増加しています。
また、2023年にフィッシング対策協議会が公表した「フィッシング報告件数」によれば、2023年1月には3万8,269件だったのが約半年後の2023年6月には、4倍近い14万9,714件にまで増加しています。
なりすましによる被害事例
なりすましには主にSNS、Webサイト、メールなどのコミュニケーションツールが利用されますが、中にはメタバース(仮想空間)が利用されたケースもあります。下記に各ツールの具体的な被害事例について紹介します。
SNSでの被害
現在では多くの企業がSNSを利用しています。誰もが手軽に使えるツールであるだけに、なりすましの被害も大きくなりやすいので注意が必要です。
企業アカウントになりすまして金銭をだまし取る
なりすましを行う攻撃者は、特定の企業を装うSNSアカウントを作成し、消費者に登録を促して、セール情報や新商品情報を発信するなど、正規のサイトと偽って取り引きをもくろみます。その結果、金銭をだまし取られたという事例が発生しています。攻撃者は偽物、粗悪品を送付することもあれば、商品を送付しない場合もあるため注意が必要です。
虚偽の情報で個人情報の入力を促す
上記の事例は金銭目的のなりすましでしたが、個人情報の抜き取りと不正利用を目的にしているケースもあります。
企業やインフルエンサーになりすまし、例えば「抽選に当選しました」「モニターに選ばれました」などと案内し、巧みな誘導で顧客に個人情報を入力させます。そしてその情報を抜き取り利用して、不正にログインしたり、あるいは個人情報自体を不正に販売したりするのです。
顧客が被るこうした被害は、企業活動にもダメージを与えるため、放置できる問題ではありません。
Webサイトでの被害
Webサイトにおけるなりすましの手口は巧妙化しており、さまざまな被害が発生しています。主には模倣サイトによる個人情報の抜き取りと、それを利用した不正ログインによる金銭的被害です。
模倣サイトで個人情報の入力を促す
企業が運営する通販サイトや各種サイトと同じデザイン、ロゴ、商標などを無断で利用して模倣サイトを作成し、利用者に正規のサイトだと思わせます。そして、個人情報の入力を促し、情報を抜き取ります。
攻撃者は、利用者の「まさかこんな大手のサイトが偽物のわけがない」というような信頼感や安心感を逆手に取るので注意が必要です。通販サイトや銀行、通信会社など誰もが知っている大手企業のサイトを堂々と模倣することで、なりすましを行っています。
風評被害対策の意味とは?有効な対策や被害を抑える対処法を解説
利用者になりすまして不正にログインする
企業やインフルエンサーなどになりすまして入手した情報を使って、さまざまなWebサイトへ不正にログインし、クレジットカード決済を行ったり、さらなる個人情報の抜き取りを行ったりします。
企業の場合、Webサイト内部の顧客情報を抜き取られる恐れもあり、注意が必要です。顧客情報が流出すれば、当然ながら企業の信頼性は低下し、そのダメージは広範囲に及びます。一度失った信頼を取り戻すのは難しいため、なりすましの被害を事前に防ぐ必要があります。
メールでの被害
メールにおけるなりすましの被害も後を絶ちません。企業になりすまし、重要もしくは急を要するメッセージが書かれているように思わせることが主な手口となっています。
カード会社や金融機関になりすます
主にクレジットカード会社や金融機関になりすまし、「ATMのご利用停止のお知らせ」「お客様の直近の取り引きにおける確認」など、重要に見える件名を付けてメールを送りつけてきます。メール内にはリンクが貼られており、クリックすると偽のサイトに飛び、クレジットカードや銀行口座の情報の入力が促されます。
こうしたなりすましメールの文面は、助詞や敬語の使い方が不自然で拙い印象を与える場合も多いので、いったん開封してしまった場合はよく注意して目を通しましょう。
ウイルスに感染させる
メールに添付したファイルやリンクを受信者にクリックさせることで、端末にウイルスを感染させます。なかには、メールを開封するだけで感染するウイルス「ボットウイルス」が仕掛けられているケースもあるので、メールが届いた時点で注意深くチェックする必要があります。
こうしたなりすましメールによって企業に対する信頼やイメージが低下し、最悪のケースでは、ステークホルダーから損害賠償を請求されることも想定され、甚大なダメージを被る恐れがあります。
メタバースでの被害
近年、企業による活用も増えているメタバース。匿名性の高い仮想空間であることから、SNSやメールに比べるとなりすましのイメージは薄いかもしれませんが、実際に被害が生じているので油断できません。
アカウントを乗っ取り個人情報を抜き取る
メタバースにおけるなりすましでは、メタバースのIDやパスワードを不正に入手し、アカウントを乗っ取るという手口が取られています。アカウントが乗っ取られると、不正な商品購入のほか個人情報の抜き取りなどの被害が生じます。
企業の場合、機密情報の漏えいや、メタバース内で偽のキャンペーンや偽イベントなどが開催され、顧客が金銭を騙し取られる恐れもあります。
人権・著作権を侵害する
アカウントの乗っ取りやアバターのなりすましが生じると、情報の抜き取りだけではなく、メタバース内で他のユーザーを攻撃する、著作権や肖像権を侵害したNFTやアイテムの販売を行うなど、さまざまな権利の侵害が実行される恐れがあります。
あるいは、自社の製品が勝手に模倣されてメタバース内で販売されるというケースも想定されます。
なりすましの具体的な手法
なりすましは企業へ大きなダメージを与える可能性があるため、早急な対策が求められます。効果的な対策を行うためには、事前になりすましの手法を把握することが大切です。ここでは、なりすましの具体的な手法について解説します。
リスト型攻撃
リスト型攻撃は、攻撃者があらかじめ入手した大量のユーザー名とパスワードの組み合わせ(リスト)を用いて、多数のアカウントに対してログインを試みる手法です。多くのユーザーが異なるサービス間で同じパスワードを使い回していることを前提としており、データ漏洩や情報流出事件などから得たユーザー名とパスワードのリストを利用して行われています。
1つのサービスから漏洩した認証情報が他のサービスでも有効である可能性が高く、攻撃者にとっては効率的な手法となります。対策としては適切なパスワード管理と多要素認証の導入などが有効です。
フィッシング
フィッシングとは、攻撃者が銀行や企業など正規の機関になりすましてユーザーを欺き、個人情報や認証情報を盗み取る手法です。
例えば、銀行からの重要なお知らせやオンラインショップからの特別割引のお知らせなどを装ったメールを送る、ソーシャルメディアでフォロワーになりますましてメッセージを送るといった事例があります。
また、フィッシングは海外から送信されることが多い傾向にあります。そのため、日本語の文章に違和感があるケースが多かったのですが、近年ではAIの進化により見分けることが難しくなっています。企業としては積極的な注意喚起を行うことが大切です。
ブルートフォースアタック
ブルートフォースアタックは、攻撃者があらゆる可能な組み合わせを試して正しいパスワードや暗号キーを見つけ出そうとする手法です。一定期間続けると必ずパスワードが一致するため、特にユーザーが設定したパスワードの強度が低い場合に成功する確立が高くなってしまいます。
攻撃者は辞書に載っている単語や一般的に使われるパスワードのリストを利用したり、単純に全ての文字の組み合わせを試し、成功するまで繰り返し試行したりします。攻撃者は必ず複数回の入力を繰り返すので、ログイン試行回数を制限したり複雑なパスワード設定を行ったりすれば、ある程度の被害は防止できます。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、攻撃者がユーザーの心理的な脆弱性を利用して機密情報を取得する手法です。技術的な弱点よりも、人の心理や習慣を狙って情報を得ることを目的としています。
その攻撃手法はさまざまで、例えば、ITサポート担当者を装って社員に電話をかけてパスワードなどの情報を要求する、CEOや管理職を装って従業員に緊急の資金移動や機密情報の提供を求めるメールを送る、無料Wi-Fiを提供してユーザーが接続すると通信内容を監視するなど、幅広い形態を取ります。
企業・組織単位で狙われる場合が多く、社内のセキュリティ強化や従業員の危機意識向上が求められます。
SQLインジェクション
SQLインジェクションとは、データベースを操作するためのSQLクエリ(SQLという言語の使用法に従って記述された命令文)に悪意のあるコードをインジェクション(挿入)する手法です。この手法により、攻撃者はデータベースから不正にデータを抽出・取得し、情報漏えいやWebサイト改ざんのリスクにつながります。最悪のケースでは、データベースシステムそのものが完全に破壊されてしまう恐れもある手法です。
SQLインジェクションを防ぐには、OSやアプリのバージョンを最新に保つことや、悪意のあるコードを無効化する「エスケープ処理」などの対策が効果的です。
なりすまし被害の防止に有効な対策
ここからは、なりすまし被害の防止に有効な対策について解説します。被害を防ぐためにできることは多く、対策のレベルに応じて様々存在します。
むやみにメールを開封しない
フィッシングを回避するため、不審なメールはむやみに開封しないようにしましょう。知らないアドレスから届いた場合や、件名に誤字脱字の多い場合は特に要注意です。また、開封してしまった場合にメール文でもフィッシングかどうか判別できない時は、URLや添付ファイルは開かないようにしてください。
URLをブラウザのアドレスバーにコピー&ペーストしてリンク先を確認するほか、電話など別の手段で送り主にメールの真偽を確認するとよいでしょう。
ID・パスワードを使い回さない
複数のサイトでID・パスワードを使い回すと、1つのID・パスワードが盗まれただけで他のサイトへも不正にアクセスされてしまいます。複雑なパスワードを生成してくれるパスワードマネージャーなどを活用して、サイトごとに異なるID・パスワードを設定しましょう。
複雑なパスワードにすることは非常に重要です。できるだけ長く、大文字、小文字、数字、特殊文字などを含む意味を持たない文字列が理想的とされています。
多要素認証を導入する
多要素認証とは、ユーザーがWebサービスなどのアカウントにログインする際に、ID・パスワードに加えて、複数の情報・要素を組み合わせて本人確認を行うセキュリティ手法を指します。通常、以下(表)のいずれかの認証要素のうち、少なくとも2つを組み合わせて使用します。
知識情報 | ユーザー本人しか知りえない知識。PINコード、秘密の質問の回答など。 |
---|---|
所持情報 | ユーザーが所有しているスマートフォンやICカード、セキュリティトークンなどの情報。 |
生体情報 | ユーザー自身の身体的特徴。指紋や顔認証、声認証など。 |
多要素認証を活用することで、仮にIDやパスワードが漏洩しても追加の認証要素が必要となるため、不正アクセス・ログインを防ぐことができます。
不正検知システムを導入する
不正検知システムとは、コンピュータネットワークやシステムに対する不正アクセスや攻撃を検出するためのセキュリティ技術を指します。
ネットワークのトラフィックやシステムの動作を監視し、攻撃の兆候、不正な活動を検知することで異常を早期に発見するため、迅速な対応が可能です。また、なりすましの防止はもちろん、セキュリティ管理の負担軽減にも役立ちます。
デメリットとしては、すべての不正利用を必ず検知できるわけではない、本人の利用でも検知してしまうケースがある、などが挙げられます。
ソフトウェアを常に最新にしておく
ソフトウェアを常に最新にしておくことでセキュリティを強化できます。インストールしたソフトウェアに脆弱性があると、攻撃者がその脆弱性を利用してシステムに侵入する恐れがあります。不正アクセスなどのサイバー攻撃は日々進化しているため、ソフトウェア側を使用する側も常に対応しなければなりません。
ソフトウェアをアップデートすると、既知の脆弱性の修正や安全性とパフォーマンスの向上が実現されます。また、新しい脅威に関する検出パターンが追加されたり、ゼロデイ攻撃(脆弱性の発見から対策実行までの僅かな期間を狙ったサイバー攻撃)の防止につながったります。
サーバーのセキュリティを強化する
サーバー側で管理しているサービスを提供している場合は、サーバーのセキュリティ強化も重要です。対策としては、暗号化プロトコルを使用するという手段があります。
例えば、ファイルの送受信に使用するFTP(File Transfer Protocol)はデータを暗号化せずに送信するため、情報が盗まれてしまうリスクがあります。これを防ぐために、SSH(Secure Shell)やSFTP(SSH File Transfer Protocol)など、暗号化できる安全性の高いサービスを利用する必要があるのです。
適切なアクセス権の設定を行う
企業が持つ情報には、顧客の個人情報や新商品に関する情報、会社の財務情報など、資産として守るべき情報があります。ファイルなどにアクセスできる権利を制限して、不正アクセスやなりすましを防止しましょう。
不特定多数の人が情報資産にアクセスできる環境では、ヒューマンエラーによる情報流失や悪意による情報改ざんなどが生じるリスクが高くなってしまいます。特定の人以外が情報にアクセスできないようにして「機密性」を守ることが重要です。
アクセス権の管理方法や機密情報の保管方法の決定、管理ルールの作成なども行い、適切なアクセス権の設定・保持を実現しましょう。
アクセスログを監視する
アクセスログとは、サーバーやネットワーク機器などに対して行われたアクセスの記録を指します。アクセスログには、誰が・いつ・どのリソースに・どのような方法でアクセスしたかなどの詳細な情報が含まれています。
アクセスログの監視は、不正アクセスの検出や、マルウェア感染の兆候発見・追跡や感染範囲の特定などに役立つ重要な対策です。システムの利用状況を把握することで、通常アクセスのない不審なIPアドレスからのアクセスや、通常のパターンから逸脱したリクエストを識別することができます。
なお、アクセスログを監視する際はセキュリティポリシーを設けて保存期間を定めておくとよいでしょう。
物理セキュリティを強化する
物理セキュリティとはパソコンや部屋のドアなど、実際に触ることができる物理的なものに対して行うセキュリティ対策を指します。
物理セキュリティを強化することは、会社や組織のネットワークで使用されているパスワード、アカウントなどの重要な情報を、インターネットなどの情報通信を介さずに入手する「ソーシャルエンジニアリング」を防ぐために重要な対策です。
具体的には、パソコンなどの端末にワイヤーロックをつける、重要な情報を保管している空間や棚にスマートロック・電子ロックを後付けする、警備員を配置するといった対策があります。
定期的にSNSを監視する(ソーシャルリスニング)
定期的にSNSを監視し、なりすましが行われていないかを確認することも重要です。SNSの投稿を確認することをマーケティング用語でソーシャルリスニングと言います。ソーシャルリスニングを行うことで、SNS上に投稿される消費者のリアルな声を収集・分析し、自社の評価や課題を洗い出すことができます。
この働きを利用して、不自然なコンテンツや異常なアクティビティを検出したり、アカウント間の関係を分析したりできるため、SNSにおけるなりすましの発見に役立ちます。
もちろん、プロモーションの反響を把握できる、インフルエンサーを発見できる、競合他社に関する調査ができるなど、マーケティング関連のメリットもあります。
ソーシャルリスニングとは|意味や分析方法の解説と導入事例を紹介!
なりすまし防止に役立つ「Buzz Finder」
NTTコム オンラインが提供している「Buzz Finder」 は、特定のブランドや話題についてのオンラインでの言及や議論を監視・分析するためのソーシャルリスニングツールです。X(旧Twitter)公式全量の投稿をほぼリアルタイムで収集して瞬時に分析・通知するほか、複数のメディア投稿や過去投稿の分析により、ネット炎上への迅速・効率的な対応ができます。
「Buzz Finder」を利用すれば、なりすましと思われる投稿や、万が一なりすまし被害が発生した場合の素早い発見にも役立ちます。また、企業は自社やブランドのオンラインにおける存在感を効果的に管理し、リスクマネジメントを行うことも可能です。もちろん、消費者の声をリアルタイムで把握できることから、戦略的な意思決定にも役立てることもできます。
導入事例|消費財メーカー 様
ある消費財メーカー様は、製品に関するネガティブなSNS上の投稿を早期に把握し、トラブルを最小化したいという課題を抱えていました。そこで、大量のSNS投稿データをリアルタイム処理し重要度の高い情報を迅速に届けるBuzz Finderを導入。
導入後は、炎上につながる潜在的な事象をリアルタイムで把握して体系的なアクションが打てるようになった、ステークホルダーの意見を収集して対策が立てられるようになったという効果を実感されています。
なりすましは早急に対策すべき課題
この記事では、なりすましの被害事例や手口とその被害を防ぐための対策について解説しました。NTTコム オンラインが提供している「Buzz Finder」は、企業のブランドセーフティを強化し、顧客の声を事業に活かせる費用対効果の高いツールです。導入することで企業が抱える潜在的な炎上リスクなどを発見し、早期に対処することができます。
ぜひこの機会に、重要な顧客理解を促進する「Buzz Finder」の導入を検討してみてはいかがでしょうか。検討に役立つ資料は以下からダウンロード可能です。
関連記事

2022/01/07

2021/10/11