近年、なりすましによるセキュリティリスクが深刻化しています。
不正なアクセスや詐欺行為を通じて、企業の重要な情報や資産が危険にさらされる可能性があります。
この記事では、なりすましの手口から過去の被害事例、そして効果的な対策方法までを解説します。

なりすましとは

なりすましは、悪意ある第三者が正規のユーザーであるかのように振る舞い、不正な行動を行う手法です。
クラッキングやフィッシング、ソーシャルエンジニアリングなど、さまざまな手法が存在し、その巧妙さから多くの企業が被害を受けています。

なりすましの手口

なりすましは、悪意ある第三者が正規のユーザーであるかのように振る舞い、不正な行動を行う手法です。
主ななりすましの手口には以下のものがあります。

総当たり攻撃（ブルートフォースアタック）

攻撃者はパスワードを当てることで、アカウントに不正アクセスを試みます。
対策するには強力なパスワードや二要素認証の導入が重要です。

リスト型

攻撃者は過去のデータ漏洩から得た情報（IDやパスワードなど）を利用して、他人のアカウントに侵入します。
対策するには定期的なパスワード変更が必要です。

フィッシング

偽のウェブサイトやメールを使って正規のサービスと偽装し、ユーザーから情報を詐取します。
疑わしいリンクや巧妙な文面に注意が必要です。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、ウイルスやコンピュータの脆弱性を使わずにパスワードなどの情報を盗み出す手法です。
主にシステム部門の担当者を装って電話し、情報を聞き出す手口があります。
また、パソコンやスマートフォンの操作を盗み見たり、捨てられた書類から情報を見つけ出したりすることもソーシャルエンジニアに該当します。

なりすましの被害事例

過去の事例から学ぶことは重 要です。以下は実際の被害事例です。

フィッシングの事例：NTTドコモ

2021年10月、NTTドコモでは、「NTTセキュリティ」などを装ったSMSにより不正なアプリのインストールを促すフィッシング詐欺が発生しました。
この事件は「ドコモお客様センターです。ご利用料金の支払い確認が取れておりません。ご確認が必要です」といったSMSがユーザーに送られたことが発端です。
SMSに記載されたURLに遷移してしまうと、不正なアプリのインストールと暗証番号が入力されます。
その結果、ギフトカードなどを購入されてしまいました。
この事件は、約1200人が被害にあい、約1億円の被害額といわれています。
同社は被害にあったユーザーの申告内容を確認し、被害金額の全額を補償すると表明しました。

※参考：NTTドコモ、フィッシング詐欺で1200人に1億円の被害。「NTTセキュリティ」などを装ったSMSに注意

ソーシャルエンジニアリングの事例：CoinsPaid

ウクライナ企業のCoinsPaidでは、2023年7月にハッキングを受け、約3730万ドル（1ドル140円換算で約52億円）の暗号資産を失いました。
攻撃者は何か月も前からCoinsPaidをターゲットにしており、同年3月からソーシャルエンジニアリングを企てていたようです。
手口としては、ウクライナの暗号資産のスタートアップ人物の仲間を装って、CoinsPaidの開発者に技術インフラについて尋ねたと公表されています。
その後は仕事のオファーを受けたと嘘をつき、従業員にテストタスクを実行するための不正アプリをインストールさせました。
それに騙されてしまった結果、CoinsPaidのインフラにアクセスできてしまいました。

※参考：52億円のレッスン代：決済業者ハッキングの内幕

リスト型攻撃の事例：7pay

2019年7月、セブン＆アイ・ホールディングスのグループ企業であるセブン・ペイによってキャッシュレス決済アプリ「7pay」がリリースされました。
しかし、セキュリティリスクを抱えた状態であったため、リリース翌日には何人ものアカウントが乗っ取られてクレジットカードが不正利用されてしまいます。
7payにはチャージ機能が搭載されていましたが、チャージには認証パスワードが必要でした。
ところが、アカウントのパスワードと認証パスワードを同じものに設定できたため、IDとパスワードが盗まれたら限界までチャージができてしまいました。
また、他人のメールアドレスで勝手に登録できたり、パスワードの定期変更を促すケースもあったようです。

※参考：「リスト型攻撃が原因」「二段階認証なら安全」は本当か？

なりすましの対策方法5選

なりすましに対抗するための効果的な対策方法を紹介します。

強力なパスワードポリシーの導入

長めのパスワードや英数字の組み合わせ、記号の使用など、強力なパスワードポリシーを定めましょう。
定期的なパスワードの変更も重要です。

二要素認証の利用

パスワードだけでなく、別の認証方法（SMSやアプリを通じた認証など）を併用することでセキュリティを強化します。

従業員向けのセキュリティ教育

フィッシングやソーシャルエンジニアリングへの対策として、従業員にセキュリティ意識を高めるトレーニングを行いましょう。
最新の事例や手口なども共有すると効果的です。

セキュリティソフトの導入

信頼性のあるセキュリティソフトを導入し、マルウェアや不正アクセスから守りましょう。

アクセスログの監視

不正なアクセスを早期に発見するため、アクセスログを監視する体制を整えましょう。
ログを監視できれば、不正アクセスを発見した際にスピーディに対応できるようになります。

なりすまし対策におすすめなセキュリティツール「ダークウェブアイ」

なりすまし対策を行うには、適切なツールの導入が効果的です。
特に「ダークウェブアイ」は、不正アクセスや異常なアクティビティを検出し、リアルタイムで対処できます。
個人情報やユーザー名、パスワードなどのさまざまな漏洩情報を可視化することで、いち早く状況を把握できるでしょう。

まとめ

なりすましは企業のセキュリティにとって深刻な脅威です。
強力なパスワードポリシーや二要素認証の導入、従業員向けのセキュリティ教育など、多角的なアプローチが重要です。
さらに、リスク評価と優先度付けを行い、効果的なセキュリティ対策を実施することで、なりすましによる被害を最小限に抑えることができます。
「ダークウェブアイ」などのセキュリティツールは、不正アクセスの検出や対応において大いに役立つでしょう。
情報が漏洩した際は、リアルタイムでの対処が重要です。
適切なツールを導入・運用することは会社と従業員を守ることにつながります。
「ダークウェブアイ」の詳細につきましては以下の問い合わせボタンよりお気軽にご相談ください。