KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

なりすまし
英語表記: Spoofing

この記事をシェア

ある人が別の人を詐称して不正行為を行うこと


身分を偽って悪意ある行為を働く

なりすましとは、本人と関係がない第三者がその本人と詐称して、不正な行為を働くことだ。サイバーセキュリティの分野では、「スプーフィング攻撃」と同義のようにみなされることが多く、この場合は第三者が本人のIDやパスワードを何かしらの手段で入手し、不正にログインを行うことである。

基本的に、SNSやネットバンキングなど、IDとパスワードを使ってログインするサービスがなりすましの対象になる。攻撃者はさまざまな攻撃手法を駆使して、IDとパスワードといったアカウント情報を窃取し、本人になりすまして不正ログインする。ログイン後は、ネットバンキングでは本人の許可なく送金したり、SNSやメールを悪用して連絡先として登録しているユーザーをマルウェアに感染させたりといった不正行為を企図する。

なりすましの被害を防ぐために

なりすましの被害を防ぐには、攻撃者がIDとパスワードを窃取する一般的な手口を理解しておく必要がある。主な手口として「フィッシング攻撃」、「アカウントリスト攻撃」、「総当たり攻撃」、「ソーシャルエンジニアリング」が挙げられる。

フィッシング攻撃とは

有名企業や金融機関などを装ったメールで偽サイトに誘導し、ユーザーにアカウント情報を入力させることによってアカウント情報を不正に入手する手口だ。

アカウントリスト攻撃とは

ダークウェブなどで流通しているアカウントリスト(マルウェアなどによって過去に流出したアカウント情報)を元に、同じIDとパスワードを用いてほかのインターネットサービスへのログインを試みる手口だ。類似した手口に辞書攻撃があり、パスワードとしてよく使われる単語を事前にデータベース化しておき、順に試行していく。

総当たり攻撃とは

その名のとおり、主にパスワードとして考え得る文字列を片っ端から試行していく攻撃だが、プログラムで自動的に試行していくため、時間をかければ、どこかのタイミングで攻撃者は正しいパスワードを入手することが可能だ。総当たり攻撃と辞書攻撃を組み合わせることで、より短時間でパスワードを取得するような手口もある。

ソーシャルエンジニアリングとは

人間の心理的な隙や行動のミスをついた攻撃であり、会社の上司やIT担当者になりすまして電話でパスワードを聞き出す、肩越しにパソコン画面を覗き見る、ゴミ箱の資料を漁るなどの方法を駆使してアカウント情報を得ようとする。

なりすましの手口に応じた適切な対策を

なりすましの被害を防ぐためには、先述のような手口が用いられることを理解し、その対策を講じる必要がある。

フィッシング攻撃を防ぐには

不審なメールのリンクはクリックしない、IDとパスワードを入力する際には正規のサイトかどうかよく確認すること。ほかにも、フィッシングサイトだと疑われる際に、アクセスを遮断してくれる機能を有する「ESET インターネット セキュリティ」のようなセキュリティソフトを利用するのも有効だ。

アカウントリスト攻撃を防ぐには

複数のWebサービスでIDとパスワードの使い回しをしないことが基本的な対策となる。サービスによってはIDがメールアドレスに指定されるものもあるが、そうしたサービスでは必ずそれぞれ複雑かつ異なるパスワードを設定すること。IDがわかっていても、パスワードが推測されづらいものであれば、認証は破られづらい。こういったサービスを利用する場合、決済情報や機微な情報など、漏えい時の被害が大きくなりがちな情報は極力保存しないようにすることも被害の最小化につながる。

総当たり攻撃を防ぐには

アカウントリスト攻撃と同様に、パスワードを複雑なものにしておくことが基本的な対策となる。パスワードの文字数と文字種を増やせば、その分試行に必要な組み合わせも多くなるため、現実的な時間でパスワードを破ることが難しくなる。最低でも15桁以上で、英字・大文字・小文字、数字、記号が混在したパスワードが推奨される。

ソーシャルエンジニアリングを防ぐには

ソーシャルエンジニアリングは人間の心理を踏まえた手口であるため、対処は難しい側面がある。日頃から「電話では絶対にIDやパスワードを伝えない」、「IDやパスワードを入力する際は後ろに人がいないか確認する」、「IDやパスワードを紙に残さない」といったように、ユーザー自らの注意力を高く保つことが対策となる。ただし、人間は自身の状況や環境で注意力も大きく変化する。そのため、ヒューマンエラーが生じるという前提に立ち、必要に応じてセキュリティソフトなどのツールを活用することも検討したいところだ。

最近では二段階認証を利用できるサービスも増えているため、提供されている場合は積極的に活用すること。ただし、二段階認証も万全ではなく、巧みな手口を用いてその突破を試みる攻撃者も存在する。なりすましによる攻撃を受けた場合の被害を想定し、決済情報やプライバシーに大きく関わるような重要な情報など、被害が大きくなることが見込まれるサービスのアカウントについては高いセキュリティ意識で取り扱うことが重要だ。

この記事をシェア

なりすましのセキュリティ対策

サイバーセキュリティ
情報局の最新情報を
チェック!