なりすましとは？代表的な手口や被害リスク、効果的な対策方法を徹底解説

メール

電子メールは最も頻繁になりすまし被害が発生するプラットフォームとして長年問題視されています。

送信者情報を偽装しやすく、大量配信が簡単に行えるため攻撃者に悪用されやすいのです。

企業の公式メールや銀行からの重要な通知を装った偽メールが日常的に送信されており、受信者のログイン情報や個人情報を狙った攻撃が後を絶ちません。

特に緊急性を装ったメールや、アカウント停止を警告するメールは受信者の不安を煽り、冷静な判断力を奪う手法として多用されています。

SNS

SNS（ソーシャルネットワーキングサービス）では、実在の人物や企業になりすました偽アカウントが大量に作成されています。

友人関係や信頼関係を悪用した詐欺や、フィッシング攻撃が行われる危険性が高いプラットフォームです。

著名人の公式アカウントを模倣した偽アカウントから投資話や副業の勧誘が行われるケースが多く、フォロワー数や認証マークの偽装技術も巧妙化している状況です。

ECサイト

ECサイトでは偽のオンラインショップが次々と構築され、消費者を狙った詐欺行為が横行しています。

有名企業のロゴやデザインを精巧に模倣し、正規のサイトと見分けがつかないレベルの偽サイトが作成されています。

特に限定商品やセール商品を餌にした偽サイトでは、代金を支払っても商品が届かない詐欺被害が続発しているため、決済前の慎重な確認作業が必要です。

メタバース

仮想現実空間であるメタバースでは、アバターを利用した新しい形のなりすまし被害が報告され始めています。

実在する企業の担当者やインフルエンサーになりすましたアバターを使ってイベントを開催し、参加者から個人情報や金銭を騙し取る事例が増加しています。

仮想空間の匿名性と没入感を悪用した心理的操作により、現実世界以上に警戒心が薄れやすい環境であることも被害拡大の要因といえるでしょう。

フィッシング攻撃

フィッシング攻撃は、偽のメールアドレスや偽のWebサイトを使用して、ユーザーの個人情報や銀行口座などの情報を不正に入手する手口です。

この偽のメールはフィッシングメール、偽のウェブサイトはフィッシングサイトと呼ばれます。

攻撃者は金融機関や有名企業を装ってフィッシングメールを送り、そこからフィッシングサイトにアクセスさせてログイン情報の入力を求めるケースがほとんどです。

メールに記載されたリンクをクリックすると、本物そっくりの偽のWebサイトに誘導され、IDやパスワードなどの重要な情報を入力させられてしまうのです。

かつてのフィッシングメールは、たどたどしい日本語で書かれていたものが多かったため、すぐに偽のメールと判断できました。

しかし、近年では、AIや機械翻訳の技術が発展したことにより本物と見分けるのが困難なフィッシング攻撃が行われています。フィッシング攻撃の詳細については以下の記事をご覧ください。

【関連記事】フィッシング詐欺とは？具体的な手口や被害に遭わないための対策

リスト攻撃

リスト攻撃は、流出したIDとパスワードのリストを使用して不正ログインを試みる手口です。

攻撃者は、他のサービスから流出したIDとパスワードのリストを入手し、そのリストを使って別のサービスへのログインを試みます。

ユーザーが複数のサービスで同じIDとパスワードを使い回している場合、リスト攻撃により不正アクセスされるリスクが高くなります。

リスト攻撃は自動化されており、短時間で大量のアカウントに対して不正ログインが試行されるため、特に脆弱なウェブサービスでは被害が発生しやすい点が特徴です。

総当たり攻撃（ブルートフォースアタック）

総当たり攻撃は、考えられる全ての組み合わせを試してパスワードを破る手口です。

一般的によく使われるパスワードを片っ端から試したり、文字や数字を組み合わせたパスワードを総当たりで入力したりする攻撃手法となります。

リスト攻撃と似ていますが、流出したパスワードリストではなく、統計的に使用頻度の高いパスワードからしらみつぶし（＝ブルートフォース）に試行する点で異なります。

単純なパスワードほど、総当たり攻撃に対して脆弱であり、不正アクセスのリスクが高くなります。

たとえば、パスワードの長さが極端に短かったり、一般的な単語や数字の組み合わせを使用していたりするケースは注意が必要です。

【関連記事】ブルートフォース攻撃（総当たり攻撃）とは？被害事例や対策方法を紹介

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、情報通信機器を使わずに、ターゲットの人物自身や物理的な場所から機密情報を盗み取る手口です。

具体的には、攻撃者が親しい人物を装って電話やメールで接触し、機密情報を聞き出そうとするケースが多くみられます。

その際にはソーシャルメディアを使用してターゲットの下調べをしたうえで、その情報を利用してコンタクトを取るケースも多いです。

また、オフィスに侵入してデバイスの画面を背後から覗き見たり、ゴミ箱を漁ったりして情報を盗み取る手口もソーシャルエンジニアリングの一種です。

人間の心理的な隙を突いて機密情報を入手するソーシャルエンジニアリングは、技術的な対策だけでは防ぎきれない点がポイントといえます。

メールアドレスが正規のものと酷似している

正規の企業や組織のメールアドレスと酷似した文字列を使用して、受信者の信頼性を獲得しようとする手法が一般的です。

文字の一部を数字や記号に置き換える巧妙な偽装技術が頻繁に使われています。

たとえば、「amazon.com」を「amazom.com」に変更したり、「o」を「0」に置き換えたりなど、視認性の低い変更により正規アドレスとの判別を困難にしているのです。

ドメイン名の末尾を変更する手法も多用されており、「.com」を「.net」や「.org」に変更して偽装するケースも確認されています。

見慣れないURLに誘導してくる

なりすましメールでは、見慣れないURLに誘導してくるパターンもあります。

正規サイトのURLを模倣しつつ、微妙に異なるドメイン名を使用してフィッシングサイトに誘導する手口が主流です。

短縮URLサービスを悪用してリンク先を隠蔽し、受信者の警戒心を回避する技術も巧妙化しています。

リンクにマウスを合わせた際に表示される実際のURLと、メール本文に記載されたURLが異なる場合は特に注意が必要です。

怪しいファイルが添付されている

メールに添付されたファイルにマルウェアやウイルスが仕込まれていることもあり、開封するだけで感染する場合があります。

実行ファイル（.exe）やマクロ付きの文書ファイル（.docm、.xlsm）には特に注意が必要です。

請求書や重要書類を装ったZIP形式の圧縮ファイルにも悪意のあるプログラムが隠されていることが多く、解凍時に自動実行される仕組みが採用されています。

プライバシーが侵害される

個人情報が攻撃者により不正に取得され、さまざまな悪用目的で利用されます。

たとえば、住所や電話番号、家族構成などの情報が第三者に漏れた場合、ストーカー被害や詐欺の標的になる恐れがあります。

また、過去の行動履歴や趣味嗜好といったデジタル情報が蓄積されることで、長期間にわたるプライバシー侵害が継続する場合もあるでしょう。

金銭的被害が生じる

偽のWebサイトやフィッシングメールにより、クレジットカード情報を騙し取られる被害が急増しています。

銀行口座から不正に資金が引き出される事例も多数報告されており、数百万円以上の被害が発生するケースも珍しくありません。

また、オンラインショッピングで身に覚えのない決済が実行される被害も頻発している状況です。

特に高齢者を狙った投資詐欺では、退職金や年金といった老後資金の大部分を失ってしまう深刻な被害が続出しているため、家族全体での注意喚起が必要です。

機密情報が漏洩する

企業の重要な営業秘密や技術情報が外部に流出するリスクが深刻化しています。

取引先との契約内容や新商品の開発情報が競合他社に知られることで、競争優位性を失う危険性があるのです。

従業員の人事情報や給与データといった社内機密が漏洩した場合、労務問題や法的責任を問われる事態に発展することもあります。

また、顧客データベースが外部に漏洩すると個人情報保護法違反となり、多額の制裁金や損害賠償責任を負う可能性もあります。

風評被害を受ける

なりすまし犯による不適切な発言やデマの拡散により、個人や企業の評判が著しく悪化する場合があります。

単なるイメージ低下だけでなく、売上減少や株価下落に繋がる恐れもあるため注意が必要です。

特にインフルエンサーや著名人のアカウントが乗っ取られた場合、フォロワーに対する影響力を悪用されて、偽の商品紹介や詐欺的な投資話が拡散されることがあります。

ブランド価値を毀損する

偽のサービスや粗悪な模倣品が販売された場合、正規ブランドの信頼性低下に繋がるリスクがあります。

偽サイトでの不正販売により正規商品の価格競争力が損なわれたり、品質に対するクレームが正規メーカーに向けられたりする二次被害も発生しています。

国際的なブランドでは、各国での商標権侵害や模倣品対策にかかる法的費用も膨大になるため、グローバルな被害対策が急務となっているのです。

ブランド毀損の対策方法は以下の記事で詳しく解説しています。

【関連記事】ブランドが毀損する原因と対策方法｜ブランドセーフティの重要性

法的責任を問われる可能性がある

なりすまし被害により意図せず法的トラブルに巻き込まれるケースが増加しています。

偽のアカウントから発信された誹謗中傷や著作権侵害により、損害賠償請求や刑事告発を受ける可能性も否定できません。

企業では個人情報漏洩によって個人情報保護委員会からの行政処分を受けたり、株主代表訴訟の対象となったりするリスクも存在します。

国際的な事業展開をしている企業では、各国の法令に基づく制裁金や営業停止処分を受ける恐れもあるため、コンプライアンス体制の強化が求められます。

海洋研究開発機構の職員になりすましての不正アクセス

2021年3月16日、海洋研究開発機構の職員へのなりすましにより、VPN接続による基幹ネットワークシステムへの不正アクセスがあったことが判明しました。

2020年3月27日から2021年3月16日までの間、機構内ネットワークに対して不正アクセスが継続的に行われていたとのことです。

同機構は、機構役職員等のアカウント情報1,949件、セミナー原稿など219ファイル、複数の電子メール・電子ファイル、機構外へ送信された電子メールの一覧が窃取されたと発表しています。

この件を受け、従来の基幹ネットワークシステムにセキュリティ対策を行うと同時に、ログイン認証上の安全性強化を実施しています。

マイナビ転職の管理サーバーに外部から不正ログイン

2021年2月9日、マイナビ転職のWebサーバーに対して不正ログインが確認されました。

不正ログインの原因は、外部で不正に取得されたと思われるパスワードを使ったなりすましでした。

不正ログインが確認された期間は、2021年1月17日から同年2月9日までであり、2000年から2021年2月9日までにマイナビ転職へ登録した方のうち、21万2,816名分のWeb履歴書が窃取されています。

今後の対策として、不正ログインを試行していたIPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を実施しています。

東南アジアのグループ企業に対するM&Aの協力依頼

2022年8月、国内企業の社長になりすました攻撃者から、東南アジアのグループ企業に対してM&Aの協力依頼がありました。

攻撃者とメールでのやり取りを重ねる中で、質問に対して適切な回答がなかったため、不審に思い電話確認を行ったところ、詐欺であることが発覚しました。

その後、攻撃者から金銭を要求するメールを受信しましたが、詐欺であることを認識していたため、要求には応じず金銭的な被害は発生しませんでした。

「楽天証券」「SBI証券」など9社で証券口座乗っ取り

2025年5月、大手証券会社9社において証券口座の乗っ取り被害が相次いで発生し、業界全体で顧客への補償を実施する方針が発表されました。

不正アクセスによる被害報告は約1,400件に達し、総被害額は約950億円という前例のない規模です。

攻撃者は個人投資家のIDやパスワード情報を不正に取得して、身に覚えのない株式売買を実行することで多額の損失を発生させました。

当初、証券会社側は約款の「責任を負わない」条項を理由に補償に慎重でしたが、被害の深刻さと投資家保護の観点から異例の対応に踏み切ったのです。

金融庁も不正アクセスによる被害は金融商品取引法の損失補填規制に該当しないとの見解を示しています。

エッグンネスト株式会社のSNSアカウント乗っ取り

2025年4月、エッグンネスト株式会社が運用するInstagramアカウントが何者かに乗っ取られ、深刻ななりすまし被害が発生したと公式発表されました。

同社の公式アカウント2つが標的となり、アカウント名の不正改名や企業とは無関係な投稿が勝手に実行される事態となったのです。

攻撃者は「@eggnworks」「@tukuruhitotati」から「@eggn_works」「@tukuru_hitotati」にアカウント名を変更し、企業の許可なくさまざまな投稿を行いました。

この事件により、フォロワーに対して混乱と不快感を与える結果となり、企業の信頼性にも大きな影響を与えました。

IDとパスワードの使い回しを避ける

複数のサービスでIDとパスワードを使い回すことは、リスト攻撃のリスクを高めてしまいます。

万が一、1つのサービスからIDとパスワードが流出すれば、そのリストが悪用され、他のサービスでも不正アクセスの被害に遭う恐れがあるのです。

そのため、サービスごとに異なるIDとパスワードを設定し、定期的にパスワードを変更することが求められます。

また、複雑で推測困難なIDとパスワードを用いる対策も効果的です。

【関連記事】パスワードの強度を確かめる方法｜危険なパスワードと安全性を高める方法

怪しいメールやURLを開かない

フィッシング攻撃に遭わないためには、怪しいメールやURLを開かないことが肝心です。

特に、送信元が不明なメールに記載されたURLは、クリックせずにメールごと削除することが望ましいといえるでしょう。

また、メール内容に金銭や個人情報を要求する記述がある場合も、フィッシング攻撃を疑う必要があります。

不審なメールは即座に削除し、添付ファイルを開いたり、URLをクリックしたりしない注意が大切です。

ソフトウェアを常に最新の状態に保つ

ソフトウェアの脆弱性を突く攻撃に対しては、常に最新のバージョンにアップデートする対策が有効です。

古いバージョンのソフトウェアには、既知の脆弱性が存在している可能性が高く、攻撃者に狙われやすい傾向にあります。

標的になるリスクを下げるため、そしてセキュリティ強度を高めるためにも、OSやソフトウェアは常に最新の状態に保つようにしましょう。

更新を忘れてしまう場合は、OSやソフトウェアの自動更新機能を有効にするのも1つの手です。

多要素認証を導入する

多要素認証を導入することで、たとえIDとパスワードが漏洩しても不正ログインを防止できます。

IDとパスワードに加えて、SMSや専用アプリによる認証コードの入力を求めるようにすれば、セキュリティ強度を高めることができるのです。

たとえば、認証コードが本人のスマートフォンに送信されるようにすれば、攻撃者は多要素認証を突破できず、不正ログインを未然に防ぐことができます。

重要なサービスやアカウントには、多要素認証の設定を行うことが推奨されています。多要素認証の詳細は以下の記事をご確認ください。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

従業員のリテラシー教育を実施する

従業員のセキュリティ意識向上が、組織全体のなりすまし被害防止における基本的な対策となります。

定期的な研修や実践的な訓練を通じて、最新のなりすまし手口への対応力を組織的に養成することが大切です。

フィッシングメールの見分け方やSNSでの適切な情報発信方法、パスワード管理の重要性などを具体的な事例とともに教育し、会社全体でなりすまし対策を進めます。

また、模擬的な攻撃メールを送信して従業員の反応を確認する標的型攻撃訓練も、実践的なスキル向上に有効な手段といえます。

ゼロトラストモデルを採用する

全ての通信や接続を信頼せず、常に厳格な認証と検証を要求するゼロトラストモデルの採用も効果的です。

内部ネットワークからの攻撃や内部不正も想定した包括的なセキュリティ体制を構築することで、サイバー攻撃に対する多層防御を実現します。

特にエンドポイントセキュリティやユーザー認証の強化により、なりすましによる不正アクセスを効果的に阻止することができるでしょう。

なお、ゼロトラストモデルを採用するメリット・デメリットについては以下の記事で解説しています。

【関連記事】セキュリティモデル「ゼロトラスト」とは｜構築するソリューション・実現のポイントも紹介

不正検知システムを導入する

不正検知システムを導入することにより、異常なアクセスを検知し、速やかに対処することが可能となります。

通常とは異なるログインパターンや大量アクセスなど、不審な動きを察知してアラートを発することで、被害の拡大を防げます。

従来のルールベース型の検知では発見が難しかった巧妙ななりすましも、AIなどの最新技術による不正検知システムなら見抜ける可能性が高まるでしょう。

また、不正検知システムの導入はなりすましによる被害を防げるほか、セキュリティ管理者の負担軽減にも繋がります。