【事例あり】なりすましとは?代表的な手口や具体的な種類から対策まで解説
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
インターネットが普及し、情報が瞬時に共有される現代社会では、その情報を不正に利用する、なりすましという行為が深刻化しています。なりすましとは、他人や企業を装い、その人物になったかのように振る舞うことです。
なりすましは、ソーシャルメディアやネットショッピングなど、あらゆる場面で発生しています。しかし、どのような形で発生し、どのような被害があるのかを理解している人は少ないのが現状です。
本記事では、なりすましについて深く掘り下げ、その具体的な種類、実際の被害事例、そして対策方法について詳しく解説します。
目次[非表示]
- 1.なりすましとは
- 2.なりすましが行われやすいプラットフォーム
- 3.なりすましの代表的な種類
- 3.1.ソーシャルメディア上のアカウントなりすまし
- 3.2.フィッシング詐欺
- 3.3.オンライン詐欺
- 3.4.スパムメール
- 3.5.ソーシャルエンジニアリング
- 3.6.リスト型攻撃
- 3.7.ブルートフォースアタック
- 4.企業がなりすまし被害にあった事例
- 4.1.数か月間偽口座へ送金してしまった事例
- 4.2.取引相手の証明書類を偽装された事例
- 4.3.他人になりすまして口座開設された事例
- 5.なりすまし対策が重要な理由
- 6.企業が実践できるなりすまし対策
- 6.1.アカウント認証の強化
- 6.2.監視と検出
- 6.3.法的対策の強化
- 6.4.従業員のセキュリティリテラシーの向上
- 6.5.サーバーのセキュリティ強化
- 7.なりすまし対策を強化するならネクスウェイの本人確認ソリューション
- 8.まとめ
なりすましとは
なりすましとは、他者の身元や立場を装い、その人物になったかのように行動することを指します。一般的には、インターネット上でのなりすましや詐称がよく知られていますが、対面であったり電話で話したりするなかでも身元を隠して他人になりすます行為が問題となっています。
なりすましの具体例としては、以下のようなものがあげられます
- 銀行や証券のWebサイトにログインして不正取引を行う
- なりすました人物でサービス利用登録したアカウントで、高級車をレンタルしそのまま盗難する
- メールアカウントにログインして他人の名前でメールを送付する
- 企業のSNSアカウントを偽装して金銭をだまし取る
- 偽物のWebサイトを作成し、不正に情報を取得する
なりすましは、個人だけでなく企業や団体に対しても行われるため、ビジネスシーンにおいては深刻な問題を引き起こすことがあります。
特にデジタル化が進む現代社会では、インターネット上でのなりすましが増えています。パスワードの漏洩やフィッシングによる個人情報の盗難など、なりすましの手法も多種多様に存在します。
なりすましは犯罪行為であり、個人のプライバシー侵害につながるだけでなく、企業のビジネス活動や信用にも大きな影響を及ぼす可能性があります。このような背景から、なりすまし対策は急務となっています。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
なりすましが行われやすいプラットフォーム
特になりすましが行われやすい場面として、次のようなプラットフォームがあげられます。
- ECサイト
- SNS
- メール
これらのプラットフォームでは、なりすましの被害が多く報告されています。それぞれのプラットフォームにおけるなりすましの実態について、みていきましょう。
ECサイト
ECサイトでは、次のようななりすましが発生しています。
- 本物のサイトになりすました模倣サイトを作る
- ユーザーになりすまして不正ログインする
事業者になりすます例としては、実在するサイトと似たようなデザインや店名などを使った模倣サイトを作成し、本物のサイトと認識したユーザーから代金をだまし取ったり粗悪品を販売したりするケースがあげられます。模倣サイトの作成は、個人情報やクレジットカード情報を入力させる目的で行われるケースも少なくありません。
ユーザーになりすます例としては、他人のデータを利用してなりすまし、ECサイトに不正ログインするケースもあります。他人のクレジットカード情報で不正に決済されたり、個人情報を抜き取られたりする被害が想定されます。
ECサイトのなりすまし対策に有効な3Dセキュア2.0(本人認証サービス)についてさらに詳しく知りたい方はこちらの記事もご覧ください。
3Dセキュア2.0(本人認証サービス)とは?導入するメリットや注意点も解説
SNS
SNSでは、企業になりすましたアカウントを作成し、ユーザーを騙す例があげられます。このケースでは、なりすましアカウントが偽商品や粗悪品を販売し、金銭を詐取します。商品販売と合わせて個人情報を抜き取る場合もあるでしょう。
IDやパスワードを不正入手して、SNSアカウントを乗っ取るケースも発生しています。このケースでは、虚偽の投稿をして炎上を狙うといった目的があります。生年月日など割り出しやすい数字をID・パスワードに設定していると、被害に遭う可能性が高まるでしょう。
メール
メールによるなりすましも横行しています。主に、次のようなケースです。
- 実在する企業名を偽ってサイトへ誘導する
- 添付ファイルでウイルスに感染させる
メールでのなりすましは、「未入金のお知らせ」などの件名をつけ、実在の企業になりすましてメールを送る手法があります。メール内のURLをクリックさせて偽のサイトに誘導し、個人情報を入力させるフィッシング詐欺が代表的です。リンクをクリックしただけで契約を成立させ、高額な料金を請求するワンクリック詐欺の事例もあります。
ファイルを添付してクリックさせ、ウイルスを感染させるケースもあります。感染すると端末の情報が抜き取られる可能性があり、自身の端末を感染源とするメールを他に発信してしまうといった被害も及ぼします。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
なりすましの代表的な種類
ここからは、なりすましの代表的な種類について、インターネット上のケースに着目して紹介します。なりすましの代表的な種類は、下記の通りです。
- ソーシャルメディア上でのアカウントなりすまし
- フィッシング詐欺
- オンライン詐欺
- スパムメール
- ソーシャルエンジニアリング
- リスト型攻撃
- ブルートフォースアタック
以上のように、なりすましの種類は多岐にわたります。今後も増えていくことが考えられるため、確実な対策が重要となります。
ソーシャルメディア上のアカウントなりすまし
ソーシャルメディア上のアカウントなりすましとは、誰かの名前や写真、情報を無断で使用して新たにアカウントを作成し、その人物や団体、企業等になりすます行為を指します。特に有名人や企業、政府機関等のアカウントを偽造することで、多大な影響力を持つことができます。
このなりすまし行為は、情報漏洩や名誉棄損、身に覚えの無いトラブルの発生など、さまざまな問題を引き起こします。例えば、芸能人のなりすましアカウントからの不適切な発言により、本人のイメージが損なわれるケースがあります。また、企業のアカウントを装った場合、正規の顧客に対して誤った情報を流す可能性があるでしょう。
フィッシング詐欺
フィッシング詐欺はなりすましの一種で、特にネット犯罪で行われることの多い手法です。
具体的な手口としては、銀行やクレジットカード会社など、信頼性の高い企業からのメールを装い、ログイン情報や個人情報を送信させるページへと誘導します。リンク先のページは本物そっくりに作られているため、ユーザーは気づかずに情報を入力してしまうこともあるでしょう。
このような詐欺は、一見すると正規の通信に見えますが、実際にはなりすまし行為であり、個人情報の不正利用や金銭的被害などを引き起こします。そのため、受信したメールが怪しいと感じた場合は、直接企業へ問い合わせるなどして情報を確認することが重要です。
オンライン詐欺
オンライン詐欺は、インターネットを利用して行われるなりすましの一つです。
具体的なケースとして、存在しない店舗や商品を装う偽サイトがあります。これらは魅力的な商品やサービスを装い、実際には存在しない商品を販売したり、カード情報を盗む目的で作成されたりする手法です。結果的に、購入した商品が届かないなどの被害が発生します。
インターネットを通じたなりすまし行為は、インターネットが生活の一部となった現代社会において誰もが狙われる可能性があり、常に警戒心を持つことが必要です。
スパムメール
スパムメールとは、一方的に大量のメールを送信し、その中に悪意あるリンクや添付ファイルを含めるなりすましの一種です。
スパムメールの特徴は、一見すると正規の通知やお知らせに見えますが、詳しい情報を得るためにクリックしたり、ダウンロードしたりすると、ウィルスに感染したり個人情報が抜き取られたりします。
代表的なスパムメールの例は、下記のとおりです。
スパムメールの種類 |
内容 |
銀行からの通知 |
口座情報の更新やパスワードの変更を促す |
宅配便のお知らせ |
伝票番号や受け取り時間の確認を求める |
ソーシャルメディアのお知らせ |
新規メッセージや友達申請の通知を装う |
これらのメールには、いずれも個人情報を入力するページへのリンクや、ウィルスが仕込まれた添付ファイルが含まれていることがほとんどです。
このようなスパムメールから身を守るためには、怪しいメールについては開かず、リンクや添付ファイルも絶対にクリックしないことが重要です。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、情報通信技術を使用せずにパスワードなどの重要な情報を盗み出す手法です。次のように、心理的な隙や行動のミスを利用して盗み出そうとします。
- 電話など口頭で個人情報を聞き出す
- パスワードの入力を背後から盗み見る
- ゴミ箱に捨てられた書類やメモを拾う
- スパイウェアを端末に仕込む
特定の企業や組織が狙われることが多いため、社内での適切な対策が必要です。
リスト型攻撃
リスト型攻撃とは、不正に取得したアカウントとパスワードをもとに、さまざまなサイトやオンラインサービスにログインを試みる手法です。
リスト型攻撃というネーミングは、IDとパスワードがセットになったリストが裏サイトなどで販売されていることに由来します。他のサービスから流出したり、盗まれたりしたIDとパスワードから構成されているリストです。
同じアカウント名とパスワードを利用して複数のサイトやサービスを利用しているユーザーも多いため、ログインされやすい手法とされています。
ブルートフォースアタック
ブルートフォースアタックとは、すべてのパスワードの組み合わせを試す総当たり型の手法です。たとえば、4桁の数字からなるパスワードの場合、その組み合わせは1万通りであり、すべてを試せば正しいパスワードにたどり着きます。
人間の手で行えば長い時間と手間がかかりますが、コンピューターを使えば自動的に作業を進め、短い時間による解読が可能です。
対策として同じIPアドレスからのアクセス数の制限や、パスワードの複雑化などが必要になるでしょう。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
企業がなりすまし被害にあった事例
ここからは、企業がなりすまし被害にあった事例をご紹介します。
今回紹介するなりすまし事例は、下記の3例です。
- 数か月間偽口座へ送金してしまった事例
- 取引相手の証明書類を偽装された事例
- 他人になりすまして口座開設された事例
これらの事例を見ると、なりすまし被害はいつどのような形で襲ってくるかわからないことを確認できます。企業は、日々警戒し、対策を練ることが必要です。
数か月間偽口座へ送金してしまった事例
本件は、偽の取引先から送られてきたEメールにより、企業の担当者が偽口座へ3回にわたって送金をしてしまった事例です。
詐欺グループから送られてきたEメールの内容は、取引先の担当者からのものと偽り、口座情報の変更を依頼するものでした。Eメールは一見すると本物の取引先からのものと見分けがつかないほど巧妙に作られており、担当者は不審に思うことなく、指示通りに3回にわたり送金を行っています。
この事例で特徴的なことは、犯罪者が企業の取引先や経営者らと同様の口調や表現を用い、企業内部に通常通りの業務ではないかと思わせることで、担当者を誤らせるような工夫をしていることです。
本件の詳しい内容については、以下からご覧ください。
参考:ビジネスメール詐欺(BEC)の詳細事例 3
取引相手の証明書類を偽装された事例
本件は、詐欺グループに取引メールを盗み見されてしまい、偽の証明書類が提出された事例です。
この事例では、詐欺グループがA社とB社の間の取引メールを盗み見し、B社になりすましてA社へ振込口座の変更を通知しました。不審に思ったA社の担当者が証明書類の提出を求めたところ、詐欺グループはB社から騙し取った証明書類をA社に提出しました。しかし、メールの送信元がB社の担当者のアドレスと異なっていたため、A社は詐欺を見抜き、被害を防止することができたということです。
本件の詳しい内容については、以下からご覧ください。
参考:ビジネスメール詐欺(BEC)の詳細事例5
他人になりすまして口座開設された事例
本件は、NTTドコモの電子マネー決済サービス「ドコモ口座」を使用し、不正に預金が引き出された事例です。
犯人グループは、口座開設に必要な被害者の情報(銀行口座番号・暗証番号・生年月日など)を不正に入手し、本人になりすまして「ドコモ口座」を開設しました。
口座開設に必要な情報は、実在する企業の名前をかたってスマートフォンやパソコンにショートメッセージサービス(SMS)やメールを送り、偽サイトに誘い口座番号や暗証番号を盗む「フィッシング詐欺」で取得した可能性が指摘されています。
その後、入手した情報を銀行口座とひも付け、銀行口座の預金を不正に開設した「ドコモ口座」に移しました。
本件では、通帳の記帳や口座の入出金記録を確認しないと被害に気付きにくく、被害額が73件、約1,990万円にまで拡大しています(2020年 9月13日現在)。
本件の詳しい内容については、以下からご覧ください。
参考:ドコモ口座ないのに被害…成り済ましで開設される
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
なりすまし対策が重要な理由
なりすまし対策が重要な理由は、下記の通りです。
- プライバシー保護
- 組織の信頼性維持
- 金銭的被害の防止
- 法的責任の回避
ここからは、なりすまし対策が重要な理由についてご紹介します。
プライバシー保護
なりすまし行為は、個人または企業のプライバシーを脅かす大きなリスクとなります。個人情報が不正に収集・流出され、その後悪用される可能性があります。
具体的な例として、ソーシャルメディア上でのなりすまし行為が挙げられます。名前やメールアドレス、写真、生活習慣など、個人を特定する情報が盗み出され、新たななりすまし行為の材料や個人識別情報として使用される行為です。
また、企業においても、なりすましにより社内情報が漏洩した場合、顧客の信頼を失うだけでなく、ビジネス上の損失や法的な問題につながる可能性があります。
そのため、なりすましによるプライバシー侵害を防ぐためには、個人情報や社内情報の適切な管理と保護が重要です。
組織の信頼性維持
なりすまし対策が重要な理由として挙げられるのが、組織の信頼性維持です。組織としての信頼性とは、顧客やパートナー企業からの信頼を意味し、信頼関係が取引成功の鍵となります。
例えば、なりすましによる詐欺被害に遭った企業が報道されれば、その企業に対する第三者の信頼は揺らぎます。顧客は、自分の個人情報が安全に管理されているのか不安に感じてしまいます。また、パートナー企業は、その企業との取引にリスクがあると感じるかもしれません。
このように、一度失った信頼を取り戻すのは容易ではなく、なりすましを未然に防いで組織の信頼性を保つことが重要です。
金銭的被害の防止
なりすましの被害は金銭的な損失も大きな問題となるため、被害を防止するためにもなりすまし対策が重要です。
例えば、企業が偽の口座へ誤って送金したり、不正な取引により大量の商品を提供したりするケースがあります。
なりすましの被害を防ぐためには、取引先の本人確認を徹底し、振込先口座の変更などには細心の注意を払うことが重要です。
法的責任の回避
なりすまし被害は金銭的な損失だけでなく、法的責任を問われる可能性もあります。
企業がなりすましによる不正取引を未然に防げなかった場合、その責任は企業にも及ぶことがあるためです。
例えば、顧客情報の漏洩や法外な請求が行われた場合、企業は損害賠償請求を受ける可能性があります。また、関連した法令に違反した場合には罰金や刑事責任を問われることもあるでしょう。これらのリスクを防ぐためにも、なりすまし対策は重要です。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
企業が実践できるなりすまし対策
企業が実践できるなりすまし対策は、下記の通りです。
- アカウント認証の強化
- 監視と検出
- 法的対策の強化
- 従業員のセキュリティリテラシーの向上
ここからは、企業が実践できるなりすまし対策をご紹介します。
アカウント認証の強化
アカウント認証の強化は、なりすまし対策として非常に有効です。
一般的な認証方法としては、下記のようなものが挙げられます。
認証方法 |
説明 |
問題点 |
パスワード入力 |
ユーザーが設定した文字列を入力して認証する方法 |
パスワードが漏洩すると、不正アクセスが可能となる |
生体認証(顔認証や指紋認証など) |
個人の身体的特徴を用いて認証する方法 |
一定の技術を駆使すると偽造可能 |
2段階認証(2FA) |
パスワードと加えて、通知やメール、専用アプリを通じた認証コードを用いる方法 |
パスワードが漏洩した場合でも不正アクセスが可能 |
以上のような方法で、アカウント認証の強化を行うことも効果的です。しかし、初回登録時の本人確認を強化していれば入り口でなりすまし行為を抑制できます。そのためには、eKYC(電子本人認証)の導入、もしくは上記方式とeKYCを組み合わせることがおすすめです。
eKYCは、顧客の身元を電子的に確認し、ユーザー認証を強化する手段となります。これにより、なりすまし行為を確実に防ぐことが可能です。具体的には、顧客が提供した情報を自動的に検証してリアルタイムで監視することで、不正行為を防止しながら法令遵守にも貢献します。
eKYCについてさらに詳しく知りたい方はこちらの記事もご覧ください。
eKYCとは?オンライン本人確認とKYCの違いや導入するメリットを解説
生体認証や顔認証システム、2段階認証についてさらに詳しく知りたい方はこちらの記事もご覧ください。
生体認証とは?特徴や認証の種類・メリット・デメリットなどを解説
顔認証システムとは?仕組みやメリット・活用シーンを解説
2段階認証とは?認証の仕組みや種類、注意点を解説
監視と検出
企業が自身のシステムやネットワークに対する不審なアクティビティや異常な行動を検知し、早期に対処することでなりすまし対策が可能です。
具体的には、特定のシステムやツールを導入して監視を行い、異常な行動パターンや信頼できないアクセスを検出することが有効です。
システムやツールの導入により、企業は自社のデジタル環境内で起こる全てのアクティビティを監視し、怪しいトラフィックを即時に識別できるようになります。
異常な行動や不審なアクティビティが早期に検出されれば、被害を最小限に抑えることができます。
このような監視と検出のプロセスは、企業が自社の資産と顧客情報を保護し、信頼性を維持するために非常に重要です。また、なりすまし行為による金銭的損失や法的責任などから企業を守るためにも必要な手段となります。
また、自社サイトやSNSアカウントの監視だけでなく、偽サイトや偽アカウントのモニタリングも欠かせません。
偽のサイトが本物よりも検索の上位にヒットすることもあり、顧客が被害を受ける可能性があります。定期的にモニタリングを行い、偽サイト・偽アカウントを見つけたときには顧客への告知や削除要請をするなど、早急な対応が必要です。
法的対策の強化
なりすまし行為は、企業や個人を狙った詐欺行為であり、法的な手段を強化することで適切に対処することが必要です。
そのため企業は、法律チームや専門家と協力して最新の法規制を理解し、遵守することが重要です。
具体的には、「個人情報保護法」や「不正アクセス禁止法」などの法律をはじめ、関連する各種の法令規制を把握し、その範囲内で適切に対応する必要があります。また、企業内での情報管理に関するルールや規定を明確にし、徹底することも重要です。
なりすまし行為が発生した際には、速やかに警察などの公的機関に報告し、法的なプロセスを進めることも大切です。
これにより、犯罪者を摘発できるだけでなく、被害拡大の防止にもつながります。
従業員のセキュリティリテラシーの向上
なりすまし対策は、従業員へのセキュリティリテラシーの向上も不可欠です。セキュリティ教育を定期的に行い、個人情報の適切な取り扱いやSNS使用時に注意すべきことを浸透させましょう。なりすましの事例やその対策を理解してもらうだけでも、なりすましの被害に合うリスクを軽減できます。
従業員一人ひとりのセキュリティリテラシーが向上することで、組織全体のセキュリティが強化され、効果的ななりすまし対策ができるでしょう。
サーバーのセキュリティ強化
なりすまし攻撃への対策として、サーバーのセキュリティ強化も大切です。なりすまし攻撃はIPアドレスやメールアドレス、ファイルの偽装により、他の人やシステムとして振る舞いながら不正な行動・アクセスを行います。
このようななりすまし攻撃への対策として、ファイルの暗号化やファイアウォールの設置、セキュリティソフトウェアの更新などが必要です。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード
なりすまし対策を強化するならネクスウェイの本人確認ソリューション
なりすまし対策を強化するなら、アカウント認証の強化が必須です。アカウント認証を強固なものにするためには、従来のパスワード認証や、生体認証などだけではく、eKYCの導入、もしくはeKYC+従来の方法を組み合わせることがおすすめです。
なりすまし対策として効果的なサービスが、ネクスウェイの本人確認ソリューションです。手軽にeKYCを導入でき、スムーズな本人確認でなりすましを防止します。
ここでは、ネクスウェイの本人確認ソリューションについてご紹介します。
不正・なりすましの防止に効果的な本人確認ソリューション
ネクスウェイのeKYC(オンライン本人確認サービス)は、スマートフォンで撮影した本人確認書類と顔写真だけで、スムーズに本人確認ができるサービスです。オンライン完結で24時間365日対応し、不正やなりすましを防止します。
業務設計・システム構築のコストを削減し、最短2ヶ月で導入が可能です。ユーザーにストレスを与えない快適な操作性のため、離脱率も抑えます。
高セキュリティの本人確認体制
ネクスウェイのサービスは高セキュリティ体制であり、安心・安全に利用できます。各種法令に準拠した厳重な個人情報管理で、攻撃監視や情報の暗号化など、高セキュリティの本人確認体制を提供しています。
また、世界各国の政府・金融機関で導入実績のある高精度な生体認証技術を採用しているため、なりすまし対策も万全です。
「オンライン本人確認サービスLite」で低コストになりすまし対策を強化
ネクスウェイでは、本人確認を特に必要な項目に絞り、コストを抑えた「オンライン本人確認サービスLite」も提供しています。
SMS認証と書類アップロードを組み合わせた審査を通して、なりすまし、複数登録を防止できます。
確認項目を絞ったうえで、高いセキュリティ環境のもとで本人確認を行えるため、効率的なオペレーションを実現します。
自動判定機能により、大量申込や深夜・休日にも対応でき、スピーディーな結果返却が可能です。ユーザーにも高い利便性を提供できるでしょう。
まとめ
本記事では、なりすましについて深く掘り下げ、その具体的な種類、実際の被害事例、対策方法について詳しく解説しました。
なりすましは、ソーシャルメディアやオンライン上での詐欺行為など、さまざまな形で私たちの周りに存在します。大きな被害を受ける事例も見受けられ、一人ひとりの対策が求められています。
また、企業もなりすまし対策の強化に取り組むことが必要です。利用者への教育や法的対策の強化、技術的な対策である「eKYC」の導入などが考えられます。これらを通して、プライバシー保護や信頼性維持、金銭的被害の防止につながるでしょう。
なりすまし対策を万全にするためにeKYCの導入を検討している事業者の方は、ぜひネクスウェイの本人確認ソリューションをご利用ください。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含む本人確認の事例を知りたい方は
本人確認ソリューションの導入事例をダウンロード