この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
なりすましとは?対策の方法や手口まで徹底解説
近年、なりすましによるセキュリティリスクが深刻化しています。
不正なアクセスや詐欺行為を通じて、企業の重要な情報や資産が危険にさらされる可能性があります。
この記事では、なりすましの手口から過去の被害事例、そして効果的な対策方法までを解説します。
目次
なりすましとは
なりすましは、悪意ある第三者が正規のユーザーであるかのように振る舞い、不正な行動を行う手法です。
クラッキングやフィッシング、ソーシャルエンジニアリングなど、さまざまな手法が存在し、その巧妙さから多くの企業が被害を受けています。
なりすましの手口
なりすましは、悪意ある第三者が正規のユーザーであるかのように振る舞い、不正な行動を行う手法です。
主ななりすましの手口には以下のものがあります。
総当たり攻撃(ブルートフォースアタック)
攻撃者はパスワードを当てることで、アカウントに不正アクセスを試みます。
対策するには強力なパスワードや二要素認証の導入が重要です。
リスト型
攻撃者は過去のデータ漏洩から得た情報(IDやパスワードなど)を利用して、他人のアカウントに侵入します。
対策するには定期的なパスワード変更が必要です。
フィッシング
偽のウェブサイトやメールを使って正規のサービスと偽装し、ユーザーから情報を詐取します。
疑わしいリンクや巧妙な文面に注意が必要です。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、ウイルスやコンピュータの脆弱性を使わずにパスワードなどの情報を盗み出す手法です。
主にシステム部門の担当者を装って電話し、情報を聞き出す手口があります。
また、パソコンやスマートフォンの操作を盗み見たり、捨てられた書類から情報を見つけ出したりすることもソーシャルエンジニアに該当します。
なりすましの被害事例
過去の事例から学ぶことは重要です。以下は実際の被害事例です。
フィッシングの事例:NTTドコモ
2021年10月、NTTドコモでは、「NTTセキュリティ」などを装ったSMSにより不正なアプリのインストールを促すフィッシング詐欺が発生しました。
この事件は「ドコモお客様センターです。ご利用料金の支払い確認が取れておりません。ご確認が必要です」といったSMSがユーザーに送られたことが発端です。
SMSに記載されたURLに遷移してしまうと、不正なアプリのインストールと暗証番号が入力されます。
その結果、ギフトカードなどを購入されてしまいました。
この事件は、約1200人が被害にあい、約1億円の被害額といわれています。
同社は被害にあったユーザーの申告内容を確認し、被害金額の全額を補償すると表明しました。
※参考:NTTドコモ、フィッシング詐欺で1200人に1億円の被害。「NTTセキュリティ」などを装ったSMSに注意
ソーシャルエンジニアリングの事例:CoinsPaid
ウクライナ企業のCoinsPaidでは、2023年7月にハッキングを受け、約3730万ドル(1ドル140円換算で約52億円)の暗号資産を失いました。
攻撃者は何か月も前からCoinsPaidをターゲットにしており、同年3月からソーシャルエンジニアリングを企てていたようです。
手口としては、ウクライナの暗号資産のスタートアップ人物の仲間を装って、CoinsPaidの開発者に技術インフラについて尋ねたと公表されています。
その後は仕事のオファーを受けたと嘘をつき、従業員にテストタスクを実行するための不正アプリをインストールさせました。
それに騙されてしまった結果、CoinsPaidのインフラにアクセスできてしまいました。
リスト型攻撃の事例:7pay
2019年7月、セブン&アイ・ホールディングスのグループ企業であるセブン・ペイによってキャッシュレス決済アプリ「7pay」がリリースされました。
しかし、セキュリティリスクを抱えた状態であったため、リリース翌日には何人ものアカウントが乗っ取られてクレジットカードが不正利用されてしまいます。
7payにはチャージ機能が搭載されていましたが、チャージには認証パスワードが必要でした。
ところが、アカウントのパスワードと認証パスワードを同じものに設定できたため、IDとパスワードが盗まれたら限界までチャージができてしまいました。
また、他人のメールアドレスで勝手に登録できたり、パスワードの定期変更を促すケースもあったようです。
※参考:「リスト型攻撃が原因」「二段階認証なら安全」は本当か?
なりすましの対策方法5選
なりすましに対抗するための効果的な対策方法を紹介します。
強力なパスワードポリシーの導入
長めのパスワードや英数字の組み合わせ、記号の使用など、強力なパスワードポリシーを定めましょう。
定期的なパスワードの変更も重要です。
二要素認証の利用
パスワードだけでなく、別の認証方法(SMSやアプリを通じた認証など)を併用することでセキュリティを強化します。
従業員向けのセキュリティ教育
フィッシングやソーシャルエンジニアリングへの対策として、従業員にセキュリティ意識を高めるトレーニングを行いましょう。
最新の事例や手口なども共有すると効果的です。
セキュリティソフトの導入
信頼性のあるセキュリティソフトを導入し、マルウェアや不正アクセスから守りましょう。
アクセスログの監視
不正なアクセスを早期に発見するため、アクセスログを監視する体制を整えましょう。
ログを監視できれば、不正アクセスを発見した際にスピーディに対応できるようになります。
なりすまし対策におすすめなセキュリティツール「ダークウェブアイ」
なりすまし対策を行うには、適切なツールの導入が効果的です。
特に「ダークウェブアイ」は、不正アクセスや異常なアクティビティを検出し、リアルタイムで対処できます。
個人情報やユーザー名、パスワードなどのさまざまな漏洩情報を可視化することで、いち早く状況を把握できるでしょう。
まとめ
なりすましは企業のセキュリティにとって深刻な脅威です。
強力なパスワードポリシーや二要素認証の導入、従業員向けのセキュリティ教育など、多角的なアプローチが重要です。
さらに、リスク評価と優先度付けを行い、効果的なセキュリティ対策を実施することで、なりすましによる被害を最小限に抑えることができます。
「ダークウェブアイ」などのセキュリティツールは、不正アクセスの検出や対応において大いに役立つでしょう。
情報が漏洩した際は、リアルタイムでの対処が重要です。
適切なツールを導入・運用することは会社と従業員を守ることにつながります。
「ダークウェブアイ」の詳細につきましては以下の問い合わせフォームよりお気軽にご相談ください。
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...