目次

  1. なりすましとは
  2. なりすまし行為の代表的な三つの手口
    1. なりすまし電話
    2. なりすましメール
    3. 偽SNSアカウント
  3. なりすましと不正アクセスの違い
  4. 企業におけるなりすましの被害事例
    1. ECサイト
    2. SNS
    3. メール
    4. なりすまし電話
    5. AI詐欺
  5. なりすましが与える企業への影響
    1. 金銭的損失
    2. 信用の低下
    3. 法的責任
  6. なりすまし被害を防止する六つの対策法
    1. 身元確認の徹底
    2. マルウェア対策の強化
    3. 多要素認証の導入
    4. セキュリティ教育の実施
    5. パスワード管理の強化
    6. 偽サイトや偽SNSアカウントのモニタリング
  7. なりすましの連鎖を断ち切ることが重要

 「なりすまし」とは、他人になりすます行為です。他人の名前を名乗り、不正に個人情報を入手したり、金銭の振込などを指示したりする犯罪行為が広まっています。

 このような行為は、個人や企業に甚大な被害をもたらすため、その手口や被害例を理解し、防止策を講じることが重要です。

 なりすまし行為にはさまざまな手口がありますが、そのなかでも代表的な手口を紹介します。

 他人になりすまして電話をかけてくる手口です。電話がかかってきたときに表示される発信番号を見れば、相手が本人かどうかわかることもあるでしょう。

 しかし、従業員全員の電話番号が登録されているとは限りません。取引先や顧客からの電話であれば、本人確認が難しい場合もあるでしょう。

 他人になりすましてメールを送信してくる手口です。これは大きく2種類に分けられます。

 一つ目は、正しいメールアドレスを不正に利用して送信されるものです。例えば、あなたのメールサーバーのIDとパスワードを不正に利用され、本物のメールアドレスから取引先にメールが送信されるケースです。Emotetなどのマルウェア(悪意のあるソフトウェア)によって、気付かないうちに自動的にメールが送信されているケースもあります。

 二つ目は、似ているメールアドレスを用意したり、送信元を偽装したりすることで、本物だと信じ込ませるケースです。

 公式SNSアカウントと同じアイコンや名前を使用し、IDを少し変えたアカウントを開設します。そして、DMや偽の広告を通じて収益を得たり、個人情報を収集しようとしたりします。

 なりすましと混同されがちなものに「不正アクセス」があります。不正アクセスは、なりすましを実行するための手段の一つです。なりすましに関する文脈における「不正アクセス」は、アカウント乗っ取りのイメージを持つとわかりやすいでしょう。

 たとえば、なりすましメールの場合、次のパターンがあります。

  • 本人と似たメールアドレスを用意してなりすます
  • 本物のメールアカウントを乗っ取ってなりすます

 後者のパターンでは、総当たり攻撃(ブルートフォースアタック)や辞書攻撃などの手法を用いて、メールアカウントへ不正アクセスします。そして、その後にそのアカウントを使ってなりすましメールを送信するのです。

 不正アクセスを防止するためには、見破られにくいパスワードを設定するのが急務です。セキュリティについては以下の記事を参考にしてください。

 個人におけるなりすましの代表例は「オレオレ詐欺」ですが、企業に対しても多くのなりすまし攻撃が行われています。具体的な被害事例を紹介します。

 ケーズデンキのECサイトが不正にログインされ、不正なクレジットカードによるなりすまし注文が発生しました。

 顧客のクレジットカード情報漏洩はありませんでしたが、何件かの商品は実際に発送されたようです。具体的な被害金額は公表されていません。

 なお、ケーズデンキは当該例を受け、パスワードの定期的な変更の注意喚起を促したり、不正アクセスの監視継続のうえセキュリティレベルの向上に努めたりする対策をとっています(参照:通販サイトへの不正ログイン・なりすまし注文の発生について|ケーズホールディングス)。

 企業の公式SNSアカウントを装った偽アカウントを作り、DMで個人情報を収集しようとする事案が発生しています。

 西武・そごうでは、2023年12月、公式Twitterを装った偽アカウント14件、公式Instagramを装った偽アカウント18件を確認したと報告しています。

 対策として、発見した偽アカウントとその対応状況を公開することにより、注意喚起しています(参照:【重要なお知らせ】弊社公式SNSの「偽アカウント」にご注意ください|そごう・西武)。

 取引先になりすまして偽の請求書を送り、大金を振り込ませる「ビジネスメール詐欺」も発生しています。情報処理推進機構(IPA)は、実際の事件を例に挙げて、注意喚起を促しています。

なりすましメールの被害
出典:ビジネスメール詐欺「BEC」に関する事例と注意喚起|情報処理推進機構

 上記のなりすましメールは、本物の取引先とのメールのやり取りに割り込み、訂正版として偽の請求書を送るという高度な手口が使われています。しかし、メールアドレスは本物の取引先と同じではなく、似たようなアドレスが使われていたのでした。

 なりすまし電話と言えばオレオレ詐欺ですが、企業に対しても同様の手口が使われています。

 たとえば、日系企業の海外事務所へ本社社長になりすました電話をかけ、多額のお金を振り込ませようとする事案が発生しました。電話機に表示された電話番号は、本社と同じだったそうです。

 このような巧妙で悪質な被害事例は、近年多数報告されています(参照:日系企業を狙った電話詐欺について〈注意喚起〉|外務省)。

 近年急速に進化しているAI技術を悪用した詐欺も出てきています。

 たとえば、ある企業ではビデオ通話で話した相手が実はディープフェイクで作られた偽物であったことに気付かず、大金を振り込んでしまうという事件が発生しました。

 このような新しい技術を利用した詐欺は、今後も増える可能性があります。

 なりすまし行為は、企業に対して多大な影響を与える可能性があります。

 先に挙げた事例のように、なりすましによって送金させられ、大きな金銭的損失を被ることがあります。さらに、個人情報流出が絡むと、賠償問題に発展し、経済的損失を招く可能性もあります。

 なりすましは、自分が被害者になるだけでなく、知らないうちに自分が加害者になっていることもあります。

 例えば、自社の従業員のメールアカウントが流出し、そこからなりすましメールが送信されると、その企業はセキュリティが脆弱であるとみなされ、取引先や顧客からの信用を失う可能性があります。

 なりすまし攻撃によって顧客情報が流出した場合、適切な対応を行っていないとその企業は情報漏洩の責任を問われる可能性があります。これにより法的な措置が取られ、多額の賠償金を支払うことになる可能性もあります。

 なりすまし被害を防ぐためには、以下のような対策を講じることが重要です。

なりすまし被害を防止する六つの対策法
・身元確認の徹底
・マルウェア対策の強化
・多要素認証の導入
・セキュリティ教育の実施
・パスワード管理の強化
・偽サイトや偽SNSアカウントのモニタリング

 電話やメールでのやり取りにおいて、身元確認を徹底することが重要です。

 特に、事例として取り上げたビジネスメール詐欺は、情報処理推進機構(IPA)から注意喚起されており、以下の三つの対策が案内されています。

ビジネスメール詐欺への対策
送金前のチェックの強化
普段とは異なるメールに注意
基本的なウイルス・不正アクセス対策

 なりすましメールの一部は、マルウェアによって送信されます。例えば、世界で猛威を振るうマルウェア「Emotet」は、メール文面を転用し、連絡先に登録されている宛先へメールを送りつけるものでした。

 そのため、自分が知らないうちになりすましの加害者にならないよう、パソコンのマルウェア対策を強化することが重要です。最新のアンチウイルスソフトを導入し、定期的なスキャンを実施する必要があるでしょう。

 また、マルウェアはメールの添付ファイルを実行することで感染することが多いため、ファイルの受け渡しの際にはメールに添付せず、オンラインストレージを利用する手も有効です。

 多要素認証の導入は、なりすまし被害を防止するための強力な手段です。

 メールサーバーを始め、各社内システムやWebサイト、SNSアカウントへログインする際はログインIDとパスワードだけでなく、追加の認証要素(生体認証やスマートフォンアプリによる認証コード等)を必要とするように設定します。

 これにより、不正アクセスを大幅に防ぐことができます。

 従業員に対して、セキュリティ教育を定期的に実施することも重要です。なりすましの事例や対策を頭の片隅に入れておくだけでも、なりすましの被害に合うリスクは下がります。筆者がセキュリティ教育を行う際は、その場で多要素認証を設定してもらっています。

 ただ、多要素認証を設定したほうが良いと頭ではわかっていても、面倒だから実際には設定していない人や、方法がわからず設定していない人をよく見ます。その場で実施できるセキュリティ対策は、セキュリティ教育のプログラムに盛り込むのがおすすめです。

 なりすましは、社員同士でも起こり得ます。テレビドラマで見かけるシーンのように、上司のデスクに貼られた付箋に書かれているパスワードでパソコンのロックを解除して、データを持ち出すといったことが本当に起こる可能性もあります。

 パスワードは、付箋やメモ帳に書かず、パスワード管理ツールを利用するか、覚えやすいパスワードを設定してメモしないのがおすすめです。独立行政法人情報処理推進機構(IPA)からは、安全で覚えやすいパスワードの作り方として「チョコっと+パスワード」を案内していますので、参考にしてみてください。

 いくらパスワード管理やセキュリティを強化して、自社のWebサイトやSNSアカウントを乗っ取られないように対策しても、似たような偽サイトや偽SNSアカウントを作成されたら、顧客が被害を被る可能性があります。

 やっかいなことに、偽サイトが本物のサイトよりも検索エンジンで上位にヒットすることもあります。定期的にモニタリングし、気付いたときには顧客へ告知する体制や運用を整備する必要があります。

 自分はなりすましに引っかからない。そう思っている人もいるかと思います。ただ、なりすましはあなただけの問題ではありません。

 自分が一方的に被害者になるケースだけでなく、自分が被害者であり加害者でもあるケースも多く存在します。例えば、自社で運営しているECサイトに対してなりすまし攻撃されて顧客情報が漏洩した場合は、自分は被害者である一方で、顧客に対しては加害者になります。

 また、なりすましは連鎖します。なりすましメールに引っかかってあなたの個人情報を取られた場合、今度はあなたになりすまして、第三者へなりすましメールを送信される可能性があります。

 つまり、なりすまし攻撃に気をつけるだけでなく、あなたになりすましされないようにも気をつける必要があるのです。

 自分だけは大丈夫と思わず、周囲の人を含め意識を高めていき、このなりすましの連鎖を断ち切っていきましょう。