なりすまし被害の本当の恐ろしさとは?被害の実態と有効な対策8選
なりすましとはどんな犯罪なのか?攻撃者の目的とは?そんななりすましから自分を守る方法とは?そんな疑問に順にお答えしていきます。
なりすましについて不安や懸念をお持ちですか?また、「なりすまし」という言葉にはどんな手口や被害を想像されますか?もしかするとあなたが想像されている「なりすまし」には、想像を超える被害実態やリスクがあるかもしれません。
この記事では、ネット上でのなりすましについて大きく2つの視点から手口や被害実態、対策を解説します。
その2つとは、
- IDとパスワードを窃取されて自分になりすました攻撃者が不正ログインする
- 自分になりすましたアカウントがSNSなどで勝手に作られてしまう
というものです。
1つ目のなりすましは緊急に対策が必要ですが、2つ目のなりすましも放置しているとやがて大きな被害に発展する恐れがありますので、やはり見つけ次第手を打つ必要があります。
- なりすましとは何なのか?
- なりすまし攻撃者の目的とは?
- なりすましから自分を守る方法とは?
そんな疑問に順にお答えしていきます。
1.後を絶たない、なりすまし被害
1-1.なりすましとは?
なりすましとは、第三者が他人になりすまして行動することです。ネット上での「なりすまし」と呼ばれる行為には、大きく分けて2つの種類があります。
1つ目は、本来のユーザーになりすまして不正にログインをした上で金銭的な被害などを及ぼす「なりすまし」です。ネットバンキングに不正ログインされると勝手に送金されるなど深刻な被害に発展します。事実上の乗っ取りです。
2つ目は、SNSなどで実在する他のユーザーと同名のアカウントを作り、そのユーザーになりすまして発言をしたりする行為です。SNSが普及した今日では一般的に「なりすまし」はこちらの被害に対して用いられるケースが多数です。
1つ目は本来のユーザーが持つ権利を乗っ取ることで被害を及ぼし、2つ目は本来のユーザーであると騙ることで被害を及ぼすため、どちらも悪質な行為です。
1-2.なりすまし攻撃者の目的
なりすまし行為を働く攻撃者の目的とは、そもそもどんなものでしょうか。前項でなりすましには大きく分けて2つの種類があると述べましたが、目的もその種類によって分けられます。
本来のユーザーになりすまして不正にログインをするなりすまし行為の目的の大半は金銭です。SNSのアカウントを乗っ取って友達登録されている人にプリペイドカードの購入を依頼したり(LINE乗っ取り)、勝手に広告を掲載したり(Facebook乗っ取り)といった行為も、最終的な目的は金銭です。
また、他人になりすまして不正アクセスなどを行い、自らの不正行為の濡れ衣を着せるという目的も散見されます。
もう1つのなりすましである、他人の名前を騙るような手口の目的は、本物のユーザーが発言したように見せかけて悪口を投稿したりすることから、嫌がらせや信用失墜などが考えられます。その他にFacebookでよく見られるようななりすましの事例では、有料サイトや詐欺サイトへの誘導を目的とした投稿をされることもあります。
1-3.なりすましによって様々な犯罪が可能になる
なりすましは、さまざまな犯罪行為の入り口になっています。不正に取得したIDとパスワードを使ってネットバンキングなどのサービスにログインするのは金銭を窃取する犯罪に直結しています。
その他にも他人になりすまして犯罪行為をすることにより、なりすましの被害にあった人が犯罪者として摘発されてしまった事例もありました。この場合は、最終的な目的である犯罪行為の当事者が誰であるかを隠蔽し、「足」が付きにくくすることが目的です。
LINEのアカウントを乗っ取ることによって本物のユーザーと親しい関係の人にプリペイドカードの購入を依頼する事件が多発したことがありましたが、これもプリペイドカードという形で金銭を騙し取る犯罪行為の手段としてなりすまし行為が悪用されています。
2.なりすまし犯罪の主な手口
2-1.フィッシング詐欺
本来のユーザーになりすまして不正にログインをするには、その人が使用しているIDやパスワードといったアカウント情報を何らかの方法で取得する必要があります。そのために用いられる手段のひとつが、フィッシング詐欺です。
銀行やクレジットカード会社、SNSなどのログインページとそっくりのページを作り、そこにユーザーを誘導した上でログイン情報を入力させ、そこで取得した情報をもとに不正ログインをした上で不正送金や乗っ取りなどの悪事を働きます。
フィッシング詐欺については手口の傾向や、それを踏まえた対策で防御することができます。詳しくは「フィッシング詐欺とは? | 被害・実例・対策」も併せてお読みください。
2-2.総当たり攻撃、アカウントリスト攻撃
パスワードを窃取するために、考えられる文字列を片っ端から試す手口です。総当たり攻撃(ブルートフォースアタック)とは文字通り文字列を順に試していく方法で、アカウントリスト攻撃とは別のネットサービスなどから流出、窃取によって手に入れたIDとパスワードのセットを使ってログインを試みる方法です。
いずれも本物のユーザーになりすまして不正使用することが目的で、ログインに成功されてしまうと深刻な被害に発展します。
総当たり攻撃についての危険性、対策についての詳細は「ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策」をご覧ください。
2-3.LINE乗っ取り
今や国民的な通信アプリにもなっているLINEでは、アカウントの管理が甘い人を狙ったLINE乗っ取りが横行した時期がありました。現在では少なくなってきているとは言え、乗っ取られたアカウントによってグループLINEが作られ、宣伝に使われるなどの被害などが後を絶ちません。
親しい人のLINEアカウントが乗っ取られると、攻撃者はその人になりすまして悪事を働くため本物のユーザーだと勘違いしてしまうことも多く、SNSだからこそ成立してしまう犯罪だと言えます。
LINE乗っ取りについては、対処法や未然に防ぐ対策をまとめた記事があります。「LINE乗っ取りの手口と被害に遭った時の対処法、被害に遭わない対策まとめ」は、LINEを利用している人すべてに当てはまることなので、こちらにも目を通しておいてください。
2-4.Facebook乗っ取り
他人のFacebookアカウントに不正ログインをして本人になりすまし、勝手に投稿する手口が続発しています。投稿の内容は大半が広告で、その内容はレイバンのサングラスをはじめとする高級ブランド品のコピー商品を販売するサイトへ誘導するものが多く見られます。
こちらは実際に友人になりすましたFacebook上からのイベント招待で、他にも数人が同様に招待されています。内容はレイバンのコピー商品を販売するサイトへ誘導するものでした。
2-5.なりすましメール
銀行やカード会社などになりすました差出人でメールを送信し、そこにあるURLをクリックするとフィッシング詐欺のページに誘導する手口があります。目的はもちろん、そこに入力されたIDとパスワードの窃取です。
他にも迷惑メールでありながらメールを開封させるために大手企業などの名前を騙っている場合もあります。いずれも不審なメールであることに変わりはありません。
2-6.通販詐欺
人気アーティストのコンサートチケットなど、いわゆるプラチナチケットと呼ばれるようなチケットの売買を偽装した詐欺事件が相次いでいます。こうした詐欺事件の舞台となっているのがネット上の売買サイトやSNSなどで、他人になりすます手口が多用されています。
チケットを売りたい人と買いたい人それぞれになりすまし、売買を成立させるものの代金だけは自分のところに振り込ませる事件が発生し、その構図を描いた中心人物が中学生であったことが報道されました。この事件ではなりすましの被害に遭った人が誤認逮捕される事態にまで発展しました。
ネットオークションなどでも同様の事例は起きており、個人同士が顔の見えない相手と金銭のやり取りをすることのリスクが改めて浮き彫りになっています。
2-7.有名人のアカウントなりすまし
SNS上で有名人のアカウントになりすました偽アカウントの事例が頻発しています。よくあるのはTwitterで、有名人と全く同じ名前のアカウントを作成、そこに勝手に投稿をすることで有名人になりすまして注目を集めるという手口です。
攻撃者の目的はさまざまです。
アメリカではトランプ氏が大統領選に勝利した際に「おめでとう」と書き込まれたクリント・イーストウッドのツイートが偽アカウントによるなりすましであることが発覚、ニュースでも報道されました。この場合は政治的なメッセージを有名人の名前を騙って拡散させることが目的だったと思われます。
その他にも有名アイドルや俳優、文化人や経営者などでも被害が発生しており、注目を集めたいだけの愉快犯からイメージの失墜を狙ったものまで、その目的は多岐にわたります。
2-8.他人の名前を騙るネット活動
有名人ではなくても、Twitterなどで一般の人になりすまして悪口を書き込まれるなどの被害も発生しています。友人や恋人、ビジネスなどの人間関係に悪影響を及ぼそうとする嫌がらせが目的であることが多く、本物のユーザーが知らない間になりすましアカウントの発言だけが独り歩きをすることあるので、非常に悪質です。
また、Facebookではなりすましによって本物に近いアカウントを作り上げた上で詐欺行為に及ぶケースが続発しています。
他人の名前を騙るなりすまし行為については、次章で詳しく解説します。
3.SNSで他人の名前を騙る「なりすまし」
3-1.なぜ、一般人になりすますのか
FacebookやLINEなどでしばしば問題になるのが、一般の人の名前を騙るなりすまし行為です。LINE乗っ取りの目的は友達同士という人間関係によって警戒心を解き、友達になりすましてプリペイドカードなどの金品を騙し取ることであると述べました。
Facebookのなりすましとは、ターゲットと同じ名前のアカウントを作成した上でターゲットが友達登録をしている人に友達申請を送り、すでに友達登録をしている人が勘違いをして再び承認することを狙います。そうして本物に近いアカウントを作り上げた上で、有料サイトやワンクリック詐欺、フィッシング詐欺などに誘導しようとします。
Twitterで続発しているなりすましでは、なりすましアカウントを使って悪口を投稿したりすることで嫌がらせをする被害が多く見られます。
SNSのなりすましは有名人だけの話と思われがちですが、実は一般の人にも多くのリスクが潜んでいるのです。
3-2.SNSで自分のなりすましアカウントを見つけたら通報を
普通にSNSを利用しているだけでは自分がなりすましの被害に遭っていることは発見しにくいので、定期的に自分と同じ名前で検索をしてみることをおすすめします(これをエゴサーチといいます)。
万が一そこで自分になりすましているアカウントを見つけたら、SNSの運営会社に通報の手続きを取ってください。日々多くの通報が届いているようなので即対応は望めないかも知れませんが、なりすましの事実を認知していることを運営側に伝えておくことは被害発生時に自分とは無関係であることも証明できる材料になります。
4.なりすましから財産、情報を守る8大対策
4-1.ID、パスワードを入力する時には本物のサイトかチェックを
普段使っているネットバンキングなどのログインページが本物であるかどうかを疑ってかかることはほとんどないと思いますが、わずかなことであっても何か違和感がないかチェックすることや、現在表示されているページのURLが本物かどうかのチェックをすることを習慣づけるとフィッシング詐欺のリスクを大幅に低減させることができます。
URLから偽物を見破る方法については、「フィッシング詐欺まとめ | 被害・実例・対策」に詳しい解説があります。
4-2.メールの差出人のチェックと、安易にURLをクリックしない
メールの差出人は、発信時の設定によって自由に変えることができます。誰でも簡単に有名企業や有名サービスの名前を名乗ることができるので、そこにある名前がおなじみの名前になっていたとしても、それだけでそのメールが本物である証明にはなりません。
有名な企業やサービス名を少し変えたような名前を差出人にしているようなケースもあります。
こちらのメールは、実際に配信された迷惑メールです。ノートンも迷惑メールであることを検知していますが、差出人を見ると「高橋」となっており高橋さんという知り合いや関係者がいる人であれば、間違って開封するかも知れません。さらに、差出人のメールアドレスには「nttstore.net」というNTTに関係していると思わせるような紛らわしいドメインが使われています。
メールの本文を見ると不審な内容であることが一目で分かりますが、もっと巧妙な文章でURLをクリックさせようとする手口もあるので、要注意です。
さらにこのURLからは「huluyahoo.com」というURLになっており、HuluとYahoo!という有名なサービスに関係していることを錯覚させようとする意図も見て取れます。
4-3.パスワードは複雑な文字列する
本物のユーザーになりすまして不正にログインをするには、本物のユーザーが使っているパスワードが必要です。パスワードを破られてしまう(知られてしまう)と攻撃者の意のままになってしまいますので、パスワードを強固なものにしておく必要があります。
文字数を多くして、さらに数字とアルファベット、さらに記号を混ぜるなど複雑な文字列にすることでパスワードを破るのが困難になるので、なりすましを防止するためにぜひ実践してください。
4-4.パスワードを定期的に変更し、使い回さない
「2-2.総当たり攻撃、アカウントリスト攻撃」で解説したアカウントリスト攻撃は、他のネットサービスなどから流出したIDとパスワードがなりすましに悪用されます。パスワードを他のサービスを使い回している場合、それが流出してしまうと他のネットサービスでもなりすましのリスクが高くなります。
パスワードを定期的に変更するようにしておけばアカウントリスト攻撃のリスクを低くすることができますし、使い回しをしないようにすれば1つのネットサービスでログイン情報が流出してしまったとしても、他のネットサービスが危険に晒されることがありません。
4-5.二段階認証、二要素認証を設定する
IDとパスワードを入力するだけでなく、その上でワンタイムパスワードを入力したり、別途送信されるメールにある認証コードを入力するなど、1回もしくは1つの要素だけでログインできないようにするのは、なりすましの防止にとても効果的です。2段階のログインで認証する方法を二段階認証、2つの要素で認証する方法を二要素認証といいます。いずれもセキュリティ効果が高いので、「二要素認証(2FA)とは?セキュリティ向上のポイント5つ」も併せてお読みになり、理解を深めていただければと思います。
4-6.(SNSなりすまし対策)知らない人からの友達申請、メッセージを疑う
FacebookやTwitter、LINEなどを舞台としたSNSの乗っ取りは、「知らない人からの友達申請」や「知っている人からの不審なメッセージ」などが被害の端緒となっています。
知らない人からの友達申請は無視もしくは削除するのが基本ですが、知っている人からのメッセージや友達申請であっても、それが本物なのか、なりすまし犯からのものではないのかという疑いの目を持つようにしましょう。
4-7.(通販詐欺対策)個人売買は相手の身元確認を徹底
チケット転売やネットオークションなど、個人売買サイトを舞台とした詐欺事件は、お金を振り込む前に相手の身元をいかに確認できるかが結果を大きく左右します。
金額が万単位になる場合は振り込む前に電話で連絡を取る、相手の住所をGoogleマップで調べて実在するのかをチェックするなど、最低限の身元確認はしておくべきでしょう。
4-8.定期的にエゴサーチをする
エゴサーチというのは、自分の名前で検索をしてみて自分のことが悪く書かれたりしていないかをチェックすることです。有名人がよくやっていることですが、一般人であってもSNSのなりすましが多発しているので、検索エンジンと代表的なSNSの両方でエゴサーチをしてみることをおすすめします。
SNSで自分になりすましている悪質なアカウントを発見したら、「3-2.SNSで自分のなりすましアカウントを見つけたら通報を」で解説している方法で、早急に通報をしておきましょう。
5.まとめ
なりすましの手口と被害、対策について2つの「なりすまし」という視点で解説してきました。特にSNSなどでのなりすまし行為が有名人だけをターゲットとしたものではないことに、衝撃を受けられた方も多いのではないでしょうか。
IDとパスワードを窃取されたことによるなりすましには有効な対策がありますが、自分になりすましたアカウントを勝手に作られることについては、根本的な対策がありません。定期的なエゴサーチと通報のみが対策となるので、地道ではありますが常に「自分は本当に大丈夫か」というセキュリティの意識を持ちましょう。
※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。
編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。
その他の情報
ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。