なりすましとは？

なりすましは、英語表記から「スプーフィング」とも呼ばれています。AIなどの技術の進歩に伴い、近年ますます、なりすまし詐欺の被害が増加しています。

そこで、なりすましの手口や種類、その対策法について解説します。

なりすましの一般的な手口

なりすまし（スプーフィング）は、詐欺師が誰かになりすまして被害者を騙す手法ですが、近年、ますます手口が巧妙化しています。共通するのは、被害者に関する情報を使って、まるで企業や知人からの連絡であるかのように見せかけることです。

また、それだけではなく、様々な通信手段を使用したり、本物そっくりのウェブサイトを作成することで、被害者を騙してクレジットカード情報や銀行情報など、重要な情報を引き抜くケースもあります。

気づかずに情報を提供してしまうと、セキュリティが侵害され、その情報を使ってさらなる二次被害などを産む可能性が生じます。

なりすましの手口の種類を紹介

ここでは、なりすましの代表的な手口の種類を紹介します。

ニセの詐欺サイト

なりすまし（スプーフィング）の中でも、悪質な手口の1つが、企業などの公式ホームページになりすました、偽の詐欺サイトです。なりすましている偽サイトは URLは似ていますが、よくよく調べてみると、何か違和感があることに気づくはずです。

例えば、「Google.com」ではなく「G0ogle.com 」のような URL になっていることがあります。

こういった偽の詐欺サイトを詐欺師が作成する目的は、クレジットカード番号、ログイン情報などの大事な情報を盗むことです。偽サイトによっては、何かをダウンロードするように促し、お使いのデバイスにマルウェアを感染させるケースもあります。

フィッシングメール

フィッシングメールの手口の1つに、誰かになりすましたメールがよく使われます。サイバー犯罪者は、知人や利用している会社から来たようになりすましたメールを送ってきます。

実際のメールアドレスは、記載されている送信者名の上にマウスカーソルを置いて表示させることで確認できます。よく調べてみればわかりますが、そのメールアドレスがおかしいことに気づくかと思います。

例えば、support@[会社名].com の代わりに、会社名の 1 文字が別の文字、記号、数字に置き換えられています。

メールに記載されているリンクや添付ファイルをクリックするよう促され、偽の詐欺サイトへ誘導されたり、お使いのデバイスがマルウェアに感染する可能性があるかもしれないので注意が必要です。

なりすまし電話

なりすまし電話は、あなたの身近な誰かになりすましたり、企業や行政になりすまして、電話してくることです。
電話がかかってくると、携帯電話には発信者番号が表示され、普通なら誰からかかってきたのかがわかります。また、非通知で身近の人になりすます「オレオレ詐欺」など、一時期社会現象にまでなりました。

サイバー犯罪者はここに目をつけ、近年では発信者番号を詐称するような技術を持っています。

なりすましている電話番号の場合、利用する銀行名や市外局番など、見覚えのある電話番号や名前を表示します。サイバー犯罪者は、発信者番号を詐称することで、簡単に電話を取らせて、別人のふりをし続けます。その番号を利用して、緊急の情報だと促し、個人の重要な情報や金銭の振り込みなどを要求してくることがあります。

IP スプーフィング

インターネットプロトコル（IP）スプーフィングは、サイバー犯罪者がIP パケットの本当の送信元を隠すために使用するもので、どこからサイバー攻撃が来たかを隠し、追跡を困難にするものです。IP スプーフィングを使用すると、IP アドレスが実際の送信元とは異なるものとなります。このタイプのスプーフィングは、サイバー犯罪者が、IP アドレスのブラックリストを回避できる DDoS攻撃や中間者（MITM）攻撃を実行するために、よく使用されています。IP ブラックリストとは、悪意のある IP アドレスがネットワークにアクセスできないようにするためのもので、サイバー攻撃を防ぐために組織でよく使用されています。

しかし、IPスプーフィングを使うことで、それらの企業の対策を潜り抜けてきます。

なりすましの見分け方と兆候

なりすましは、細心の注意を払わないと見破ることが困難な場合があります。ここでは、なりすましを見破るための、いくつかのヒントをご紹介します。

緊急性の高い言葉の使用

Eメール、電話、テキストメッセージを通じた緊急性の高い言葉は、すべてなりすまし詐欺の兆候となり得ます。リンクや添付ファイルをクリックするよう促したり、大事な情報の開示を促したりするような、緊急性の高い表現があることなど異変に気づくかと思います。

綴りや文法の間違いがある

もし受信したEメールやテキストメッセージにスペルや文法の誤りがある場合、それらは信用するべきではないということを覚えておくべきです。正規の企業からの連絡は、文法が正しく、綴りも正確であることが一般的です。多くの場合、これらのメールやメッセージは様々な確認プロセスを経て送信されるため、何か文章に異常があれば警戒が必要です。

URLが怪しい

偽の詐欺サイトを見分けるには、そのサイトのアドレス、つまりURLのつづりを注意深く確認することが重要です。なりすましサイトのURLは、通常、1文字以上が異なり、奇妙に見えることが多いです。たとえば、「Amazon.com」の代わりに「Amazonn.com」のように、細かく変更されている場合があります。このようなURLの変更は、そのサイトがなりすましである可能性の証拠です。

なりすましから身を守る対策と方法

なりすましの詐欺は、とても見分けづらくて困難なケースもありますが、しっかりと対策をすることで安全に回避することが可能です。

そこで、身を守るための対策と方法を紹介します。

パスワードマネージャーを利用する

パスワードマネージャーは、パスワードの生成、管理、そして安全な保管をサポートするツールです。このツールを使用すると、覚える必要があるのはマスターパスワードのみです。パスワードマネージャーのブラウザ拡張機能をダウンロードすれば、ログイン情報を自動的に入力する機能も利用できます。また、パスワードマネージャーは保存されたログイン情報と一致しない場合、自動入力の補助を入力しないようにしてくれます。これにより、偽のウェブサイトによるなりすましから身を守ることができます。

アカウントで MFA/2FA を有効にする

多要素認証や二要素認証は、アカウントにログインする前に、自分の本人確認を他の方法で行う認証方法です。

これらの認証方法を導入することで、自分以外の人間がアカウントにアクセスすることはできなくなります。つまり、偽サイトにログイン情報を入力し、あなたの情報を抜き取られたとしても、テキストメッセージで送信されたコードや認証アプリで生成されたコードなどの追加認証がなければ、ログインすることができません。

MFA や 2FA を有効にすることで、自分のアカウントに重要なセキュリティのレイヤーが最終的に追加されるので、とても効果的な対策になります。

怪しいリンクをクリックしない

怪しいリンクに対しては注意が必要です。サイバー犯罪者は、実際のURLをまるで正規のリンクのように隠すことができるため、確認するまでは悪意があると考えるべきです。リンクが安全かどうかを確認する良い方法は、GoogleのTransparency ReportのようなURLチェッカーを使用するか、マウスカーソルをリンクの上に置いて実際のURLを表示させることです。

怪しいリンクから偽の詐欺サイトに誘導されると、重要な情報が盗まれたり、デバイスがマルウェアに感染する可能性があります。したがって、常に警戒することが大切です。

個人情報を共有しすぎない

知らない人に重要な個人情報を提供してはいけません。なりすましの場合、連絡があった相手が本物かどうかを判断するのが難しいため、特に注意が必要です。相手や会社の正体を確認することは、決して損にはなりません。ほとんどの場合、アカウントを保持する会社は、電話やテキストメッセージ、電子メールを通じて個人情報を求めることはありません。特に、あなたが先に連絡を取ったわけではない場合は、この点を覚えておくことが大切です。

なりすましの詐欺から身を守る対策

なりすましの詐欺から身を守るためには、なりすましの手口を理解することが最も重要です。これにより、なりすましに対しての対策を立てることができるので、被害者になるリスクを減らすことができます。また、パスワードマネージャーのような、パスワード管理ツールを使用することで、万が一なりすまし詐欺に遭遇しても、ログイン情報を安全に保つことができます。

この機会にKeeper®のパスワードマネージャーを試してみてはいかがでしょうか。

個人用無料トライアルビジネス用無料トライアル