サイバーセキュリティ 
総務省は「地方公共団体における情報セキュリティポリシ
サイバー犯罪者は、被害者の身近な人物や正当なビジネスを装い、被害者を騙して重要な情報を開示させる目的でなりすまし攻撃を使用することがよくあります。 犯罪者は、偽のウェブサイトやメールの作成など、あらゆる手口を利用します。 なりすまし攻撃には、なりすまし電話、なりすましメール、偽サイト、IPスプーフィングなど、さまざまな種類があります。
ここでは、なりすまし攻撃とは何か、一般的な7種類のなりすまし攻撃の手口、なりすまし攻撃から身を守る方法について、さらに詳しく説明します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
1. なりすまし電話
電話がかかってくると、電話に発信者IDが表示され、発信者が誰なのかがわかります。 発信者IDには、電話番号と、その電話番号が誰のものなのか(登録されている場合)、電話がどこから発信されているのかが表示されます。 ほとんどの場合、携帯電話は迷惑電話を検知して通知します。 しかし、サイバー犯罪者は、検知されるのを回避するためになりすまし電話を使用するのです。
なりすまし電話とは、サイバー犯罪者が発信者ID情報を偽装して、自分の正体を隠すことです。 サイバー犯罪者は、企業の担当者や身近な人物など、被害者が知っている人物に扮することがよくあります。 サイバー犯罪者は、被害者からの信頼を得た上で、被害者を騙して重要な情報を開示させようとするのです。
2. なりすましメール
なりすましメールとは、サイバー犯罪者が偽の送信者アドレスを使用して、ターゲットとする相手にメールを送信することです。 サイバー犯罪者は、メールのエンベロープ部分とヘッダー部分を操作して送信者アドレスを偽造し、メールの「差出人」フィールドを信頼できる発信元であるかのように装います。 犯罪者は、正規のメールアドレスに似ているものの、ある文字が数字や記号で置き換えられているなど、多少の違いが伴ったなりすましメールを使用することがよくあります。例えば、アルファベットの「o」が数字の「0」に置き換えられたものなどです。 なりすましメールは、フィッシング攻撃を実行し、被害者を騙して個人情報を開示させるために使用されることがよくあります。
3. 偽サイト
偽サイトとは、サイバー犯罪者が公式のサイトを装って、悪質なウェブサイトを作成するものです。 悪質なウェブサイトは、それが似せようと試みている本物のウェブサイトとそっくりですが、URLに若干の変更が加えられているなどの矛盾点があります。 被害者を罠にかけて騙す方法として、Googleを使用するという手口まであるのです。 これは、検索エンジンフィッシングとして知られており、サイバー犯罪者が検索エンジン最適化を使用して、Googleの検索結果ページの上部に表示されるようにすることで発生します。 これを実行する犯罪者の目的は、人々を偽サイトに誘導して個人の重要な情報を入力させることで、サイバー犯罪者がその情報を盗んだり、被害者のデバイスにマルウェアを感染させたりすることです。
4. IPスプーフィング
IPスプーフィングとは、サイバー犯罪者が自分のIPアドレスを改ざんし、正体を隠したり別のユーザーなりすましたりすることです。 これは、サイバー攻撃で捕まらないようにしたり、IPブラックリストをバイパスしてネットワークへの不正アクセスを獲得したりするために使われることがよくあります。 IPブラックリストは、悪意のあるIPアドレスがネットワークにアクセスできないようにするものです。 IPスプーフィングはDDoS攻撃でよく使用されますが、これはサイバー犯罪者が大量のインターネットトラフィックでサーバーを過負荷にさせ、速度を低下あるいはクラッシュさせようとするものです。
5. SMSスプーフィング
SMSスプーフィングは、なりすまし電話のようなものですが、発信者IDではなくSMSメッセージの送信者IDを改ざんして、あたかも別の番号から送信されたかのように見せかけるものです。 SMSスプーフィングが、完全に悪意のある目的で使用されるわけではありません。 企業の多くは、SMSスプーフィングを利用して長い電話番号を短く覚えやすい英数字のIDに置き換えて、それをマーケティング目的で使用します。 しかし、サイバー犯罪者はこの慣行を悪用し、正規の企業になりすまして自分の正体を偽装した送信者IDに隠します。 SMSスプーフィングは、スミッシング(SMSフィッシング)を実行し、悪意のあるリンクを含むSMSメッセージを送信するために使用されることがよくあります。
6. ARPスプーフィング
アドレス解決プロトコル(ARP)は、ダイナミックIPアドレスを物理的なメディアアクセス制御(MAC)アドレスに接続して、ローカルエリアネットワーク(LAN)を介してデータを送信できるようにするプロトコルです。 ARPスプーフィングとは、サイバー犯罪者が偽のARPメッセージを送信し、攻撃者のMACアドレスと被害者のIPアドレスを一致させることです。 アドレスが結びつけられると、被害者のデータはサイバー犯罪者にリダイレクトされてしまい、データが盗まれたり改ざんされたりします。
7. DNSスプーフィング
ドメインネームシステム(DNS)サーバーは、コンピュータがウェブサイトにアクセスするために使用するドメインのIPアドレスのデータベースです。 DNSスプーフィング(DNSキャッシュポイズニング)は、サイバー犯罪者がDNS記録を改ざんし、ユーザーを悪質なウェブサイトにリダイレクトするファーミングの一種です。 サイバー犯罪者はセキュリティの脆弱性を悪用し、DNSサーバーに侵入します。 サイバー犯罪者は、DNSサーバーに侵入して記録を改ざんし、ドメイン名が悪質なウェブサイトのIPアドレスとペアになるようにします。 ユーザーがウェブサイトにアクセスしようとすると、ユーザーの重要な個人情報を盗もうとするなりすましサイトにリダイレクトされてしまうのです。
なりすまし攻撃から身を守るには
サイバー犯罪者は、スプーフィング攻撃を使用して被害者が知っている人物になりすますことで正体を隠し、ユーザーを騙してセンシティブ情報を開示させようとします。 なりすまし攻撃から身を守り、自分の情報を安全に保たなければなりません。 なりすまし攻撃から身を守る方法をご紹介します。
不審なリンクをクリックしない
サイバー犯罪者の多くは、スプーフィング攻撃を使用して、被害者を悪質なウェブサイトに誘導する不審なリンクを送りつけることで、被害者の機微情報を盗んだり、デバイスをマルウェアで感染させたりします。 サイバー犯罪者に自分の大切な情報が盗まれないようにするためには、不審なリンクをクリックするのは避けるべきです。 リンクが安全かどうかを確認するには、URLをよく見て不審な点がないか確認、あるいはURLチェッカーを使用してリンクの安全性を確認しましょう。
迷惑メッセージは無視する
サイバー犯罪者は、あらゆる通信手段を偽装してあなたを騙し、重要な情報を引き抜こうとします。 不審な送信者からの迷惑メールは無視しましょう。 緊急性の高い表現や個人情報の要求、事前に録音されたメッセージ、送信者名とメールアドレスあるいは電話番号の不一致、誤字脱字や文法上の誤り、URLの矛盾点、サービスプロバイダからの警告サインに気付いた場合、迷惑メールはスプーフィング攻撃だと判断することができます。
ウイルス対策ソフトウェアをインストールする
サイバー犯罪者はスプーフィング攻撃を使用して、ユーザーのデバイスにマルウェアを感染させてデバイスにダメージを与えたり、重要な情報を盗んだりします。 なりすまし攻撃から身を守るためには、ウイルス対策ソフトウェアを使用すると良いでしょう。ウイルス対策ソフトウェアジャ・は、デバイスから既知のマルウェアを検知、防止、削除するプログラムです。 デバイスをスキャンし、隠れたマルウェアを見つけて削除します。 高性能のウイルス対策ソフトウェアを使用すると、マルウェアの侵入を検知し、デバイスにインストールされるのを防ぐことができます。
パスワードマネージャーを使用する
パスワードマネージャーは、個人の認証情報を暗号化されたボルトに安全に保存し、管理するツールです。 ログイン認証情報やクレジットカード情報、社会保障番号などの機微情報を、自分のデジタルボルトに保存することができます。 デジタルボルトは複数の暗号化レイヤーで保護されており、マスターパスワードでのみアクセスできます。
パスワードマネージャーは、個人情報を盗むことを目的としたスプーフィング攻撃を特定し、防止するのに役立ちます。 オンラインアカウントのログイン認証情報をパスワードマネージャーに保存すると、パスワードマネージャーはそのアカウントのログインページのドメインを保存します。 パスワードマネージャーの自動入力機能は、ボルトに保存されている正しいドメインにのみユーザーのログイン認証情報を入力します。 ユーザーが偽サイトにアクセスしている場合、それが保存されたドメインと一致しないため、パスワードマネージャーはログイン認証情報を入力しません。
MFA を有効にする
多要素認証(MFA)は、ユーザーに異なる認証形式を提供することが求められるセキュリティ対策です。 MFAを有効にすると、ユーザーはオンラインアカウントにアクセスするために、時間ベースのワンタイム(TOTP)コードなど、少なくとも1つの認証要素と共にログイン認証情報を提供する必要があります。 MFAは、アカウントに追加のセキュリティレイヤーを提供し、許可されたユーザーのみがアカウントにアクセスできるようにします。 サイバー犯罪者がスプーフィング攻撃を使ってユーザーのログイン認証情報を盗もうとしても、追加の認証形式を提供できないため、ユーザーのアカウントにアクセスすることは不可能です。
Keeper®でなりすまし攻撃から身を守りましょう
AIのような技術の進歩に伴い、スプーフィング攻撃はよりもっともらしくなり、検知しづらくなりました。 しかし、パスワードマネージャーを使用してなりすまし攻撃を特定し、回避することはできます。 スプーフィング攻撃の多くは、被害者を悪質なウェブサイトにアクセスさせ、被害者を騙して個人情報を開示させたり、デバイスにマルウェアをダウンロードさせたりしようとするものです。 パスワードマネージャーがあれば、ログイン認証情報が自動的に入力されないため、なりすまし攻撃を検出できます。
Keeperパスワードマネージャーは、ゼロトラストセキュリティおよびゼロ知識暗号化で保護されており、個人情報にアクセスできるのは自分だけであることを保証します。 また、KeeperAIを搭載したKeeperFill機能が付随しており、自動的にユーザーのオンラインアカウントにログインします。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
