なりすましとは、第三者が他人になりすまして行動することを言います。
2020年上期のインターネットバンキングの不正送金による被害額は、5億1000万円に上ったことが警察庁の調べで分かっていますが(日本経済新聞2020年10月1日報道より)、他人のアカウントに不正ログインしたなりすまし行為によるものがその多くを占めています。
また、他人になりすましてのSNSへの投稿などは、信用失墜を招きます。
金銭的にも、信用の上でも重大な被害を生じるなりすましの概要と手口・予防策についてまとめましたので、ご紹介します。
なりすましとは
なりすましとは、第三者が他人になりすまして行動することであり、不正にログインをした上で金銭的な被害などを及ぼすなりすましと、SNSなどで実在する他のユーザーと同名のアカウントを作り、投稿などをし、いやがらせをしたり、信用を失墜させたりする行為の2類型があります。
これらは不正アクセス禁止法違反にあたる行為となるほか、名誉棄損・信用棄損罪などにあたる違法行為です。
なりすましをする理由の多くが金銭目的というのが特徴です。
SNSのアカウントを乗っ取ってプリペイドカードの購入を依頼する、広告を強制掲載するなどして、利用料金を免れるなどして、経済的な利得を得ることがあります。
通常の業者になりすまし、詐欺サイト・悪質サイトに誘導し、金品を詐取する・脅迫して金銭を得るなどの類型もあります。
さらに、悪意ある者がインターネットバンキングで他人の口座に不正侵入・預金を引き出す場合、あるいはクレジットカードを不正利用するなどの場合は、被害額が大きくなりがちです。
そのほかにも、他人になりすまして不正アクセスをして濡れ衣を着せること、SNSのアカウントを乗っ取り、本人の意に反した書き込みをするなどの嫌がらせや信用失墜をさせる場合もあり、被害にあった方の精神的なダメージも少なくありません。
なりすましに必要なアカウント情報の窃取方法
では、なぜなりすましができるのか、パスワードの窃取は、フィッシングや、サイバー攻撃・標的型攻撃など、悪意ある者のサイバー攻撃によることが多く見られます。
典型的な窃取方法は、次の通りです。
フィッシングサイトでID窃取
本物そっくりのサイト=フィッシングサイトを作成し、IDやパスワードを入力させ、本人の気が付かないうちにIDやパスワードを窃取する行為がなりすまし被害のあったケースの多くで行われています。
その後、窃取したIDやパスワードで銀行のサイトにアクセス、不正送金を実行します。
フィッシングサイトへは、SNSから誘導する、あるいは次にご説明する通りメールを使って誘導するなどの手口を使います。
虚偽メールでフィッシングサイトへ誘導
銀行やカード会社、サービス事業者などを装って、メールを送信し、フィッシングサイトに誘導します。
最近でもAmazon 、宅急便、メルカリの虚偽メールが偽サイトへの誘導を行い、フィッシング詐欺の被害のきっかけとなった事例が多発しました。
総当たり攻撃、アカウントリスト攻撃
総当たり攻撃・アカウントリスト攻撃も典型的な窃取方法です。
総当たり攻撃は、ID・パスワードの文字列を片っ端から順に試していく方法です。ブルートフォース攻撃とも呼ばれます。プログラムで短時間に大量のIDとパスワードの組み合わせを試し、ログインができたら、銀行の不正引き出し・不正なショッピングなどを行うことができてしまうのです。
また、アカウントリスト攻撃は、すでに流出したIDとパスワードのセットを使い、金融機関などのログインページにあてはめていく方法です。アカウントをリスト化し、片っ端から同じID・パスワードを入力していくので、アカウントリスト攻撃またはリスト攻撃といいます。
なりすましへの対策
なりすましには、有効な予防策が存在します。次にあげる基本的対策は、どれも有効であることが確認されているので、必ず施しておく必要があります。
差出人のチェック
メールの基本的な心得として、差出人をチェックし、見慣れない差出人のメールは、開封しないこと、またURLは絶対にメールから開かないことが必要です。
ぜひ、メールは慌てて開かないこと、差出人からよく見ることを習慣づけておきましょう。
詐欺のメールは、文面が不自然な内容であることが非常に多いのですが、最近は巧妙なものも増えていますので、文面以前に差出人をチェックし、知っている人・送信を依頼した先からのメールでないと怪しい、と考えるようにしておきましょう。
メールだけでなく、ショートメッセージ・SMSでも同様の注意が必要です。
URLをクリックしない
URLは、フィッシングサイトへの誘導であることが考えられますので、クリックしないように習慣づけましょう。
例えば、モバイルバンキングなどは、ブラウザのブックマークから必ず開くようにすること、金融機関のページ以外のリンクでも、リンクからマルウェアに感染するケースもありますので、まずは疑ってかかることが必要です。
パスワードは複雑な文字列に
パスワードは複雑な文字列にしておきます。サイトのポリシーに従い、複雑な文字列にしておきましょう。
例えば、サイトでアルファベット・記号・数字を最低1つ用いること、また半角8文字以上にすることなどの指定があります。パスワードの登録の際に、強度を表示してくれることも珍しくありません。できるだけ「高」を目指しましょう。
なお、パスワードは、一つ一つのサイトで別々のものを使う必要がありますが、管理が難しくなると、つい同じパスワードを使いまわしてしまうこともあります。
そこで、パスワードの作り方の規則を決めておき、忘れないように工夫することはおすすめの方法です。
さらに、パスワードの定期的な変更も必要です。特に金融機関のログインページのパスワードは設定後の期間を表示するサイトも多く、変更のタイミングがわかりやすくなっています。
パスワードを使い回さない
パスワードの使いまわしは、アカウントリスト攻撃により、流出したID・パスワードを再利用されてしまうことから、絶対にやめましょう。
使いまわしをすることを避けるために、パスワードの作り方規則を決めて覚えておくことは有効です。
多要素認証を設定する
ID・パスワードだけの認証では、総当たり攻撃などを考えると、脆弱といえるため多要素認証が使えるのであれば、設定をしておきましょう。
これはサービスによってできる場合、できない場合がありますが、ID・パスワードだけでなく、合言葉・ワンタイムパスワード・トークンなど、他の情報も併用してアクセスするように、可能な限り設定を行っておきましょう。
定期的なエゴサーチなど
定期的にエゴサーチをしておくなどして、自分になりすました他人が発言していないか、低域的にチェックしておきましょう。SNSの上のみの友人、フォロワーにも要注意です。
まとめ
第三者による悪意あるなりすましは、財産的な被害・信用棄損の原因になります。
なりすましは、フィッシングサイトへの誘導・総当たり攻撃などのサイバー攻撃が原因となることがあります。
そのため、フィッシングサイトへの誘導を行うメールには十分注意し、差出人不明のメールを開けないこと、ID・パスワードのほかにも認証の仕組みを利用する多要素認証、パスワードの強度を上げることなどにより、予防するようにしましょう。
