なりすまし攻撃とは、正規ユーザになりすまして情報システムに不正にアクセスしようとする試みで ある。これらの ID ベースの攻撃は、特に個人または組織のデジタル ID を標的とし、危殆化させる。ID およびアクセス管理に関連する脆弱性を悪用して、ユーザ名、パスワード、または個人データなどの情報を盗んだり、詐欺行為を行ったり、その他の悪意のある活動を行ったりする。
によると セキュリティ・マガジンによると、2020年第1四半期から2021年第1四半期にかけて、ホエーリングや役員へのなりすましが131%増加し、サイバーセキュリティの専門家の55%が、自社の役員がなりすまされていると回答している。さらに、2023年の「デジタル・アイデンティティの保護に関する動向」レポート レポートでは、過去1年以内にデジタル・アイデンティティに関連する侵害に少なくとも1回は遭遇した組織は、なんと90%に上ることが明らかになった。このような攻撃により、企業は昨年だけで18億ドルの損失を被った。また、顧客データの保護に失敗すると、Equifaxの情報漏洩後の5億7500万ドルの和解金のようなケースに見られるように、厳しい規制上の罰金や高額な訴訟につながる可能性がある。
この問題は、経営者が受け取る3,226通のメールのうち1通(24日に1回)がなりすましであるというくらい浸透しているのです。
この記事では、なりすまし攻撃について知っておくべきこと、その種類、検出方法、そして組織としての防御方法について説明します。
主なポイント
- ID ベースのサイバー脅威の主要な形態であるなりすまし攻撃は、ソーシャル・エンジニアリングを使 用して信頼できるエンティティを模倣し、不正アクセスや不正行為を行う。
- 最近、90%の組織に影響を及ぼしているこれらの攻撃は、重大な財務リスク、評判リスク、法的リスクをもたらし、緊急の対応が求められている。
- 手口は、電子メールのなりすましや偽ドメイン(フィッシング)から、再利用されたパスワードの悪用(クレデンシャル・スタッフィング)、通信の傍受(MitM)まで多岐にわたる。
- 不審な兆候(緊急性、奇妙な要求、欠陥のある電子メール)に対する警戒と、しっかりとしたユーザー・トレーニングは、重要な防御の第一線である。
- 強固な認証(MFA)、電子メール認証(DMARC)、定期的なパッチ適用、そして潜在的にはゼロ・トラスト・モデルなど、多層的な技術的防御が保護には不可欠である。
なりすまし攻撃とは?
なりすまし攻撃とは、攻撃者が他人のふりをしたり、正当なユーザー(またはユーザーグループ)になりすましたりして、許可されていない情報にアクセスしたり、ID 関連データを盗んだり、詐欺を働いたり、その他の悪意のある活動を行ったりするソーシャル・エンジニアリングの一形態である。
この種の攻撃では、攻撃者は多くの場合、人間の心理や信頼を操るソーシャル・エンジニアリングのテクニックを使い、IT部門のメンバーを装ってログイン認証情報を要求するなど、システムやターゲットに関する情報を得ようとする。このような攻撃は、高度なテクニックや標的を絞った情報収集を駆使し、絶えず巧妙さを増しています。
なりすまし攻撃は、対面、電話、オンラインのいずれでも可能です。そして、発見されないと壊滅的な被害を受ける可能性があります。
PowerDMARCでなりすまし攻撃から守る!
なりすまし攻撃は、どのように行われるのですか?
なりすましとは、悪意のある行為者が正当なユーザーやサービスのふりをして、保護された情報にアクセスすることです。なりすまし攻撃は簡単に実行でき、攻撃者が取得しようとしているデータの種類によっては、大きな金銭的損失や風評被害につながる可能性があります。
攻撃者は、正規のユーザーやサービスに関する十分な情報を集め、他人を騙して、その人が本人であると思わせるだけでよい。そして、攻撃者は、ターゲット(または複数のターゲット)に、セキュリティ対策によって保護されているはずの機密情報を明らかにさせようとするのです。
多くの場合、攻撃者は電子メールやその他の通信手段を利用してなりすまし攻撃を試みます。攻撃者は、他人のふりをして電子メールを送信し(なりすましとして知られている)、これには、無防備なユーザーのシステムにマルウェアをダウンロードするリンクを含むフィッシング・メールが含まれることがある。
これは、経営者や管理者のIDを盗み、従業員に送金やその他の機密情報の提供を指示するメールを送信するものです。このメールは、権威ある人物から発信されているように見えるため、多くの従業員は疑いもなくその指示に従います。
なりすまし攻撃はどのように計画されるのですか?
なりすまし攻撃の計画を立てるために、ハッカーはまずターゲットに関する情報を収集する必要があります。ハッカーは、ソーシャルメディアのプロフィールや企業のWebサイトに掲載されている公開情報などを利用することが多いようです。ハッカーは、これらの情報をもとにリアルなペルソナを作成し、ターゲット企業の従業員とのやり取りを開始します。
ハッカーは、このペルソナに期待されるものに沿った方法で従業員に接触します。ハッカーは、会社の実際の電子メールや電話番号と可能な限り一致する偽のビジネス電子メールアドレスや電話番号を使って、従業員に電子メール、テキストメッセージ、電話をかけることがあります - 違いはありますが、肉眼ではほとんど見えません。
これによって、従業員は組織の中で知られている人物と交流しているという感覚を持つことができるのです。
メールのなりすましの一例です。 上記のように、2つのメールの違いは微妙で、特に1日に何百通ものメールを受け取っている場合は、見逃しがちです。 |
ハッカーは、従業員の信頼を得ると、あたかも本物の会社から送信されたかのような電子メールを従業員に送信します。このようなメールには、個人情報を要求するウェブサイトへのリンクや、従業員からのアクション(ファイルのダウンロードなど)を要求するリンクが含まれていることがよくあります。これらのウェブサイトやファイルはマルウェアに感染しており、ハッカーがデータにアクセスしたり、個人情報を盗んだり、会社のネットワークにその他のサイバー攻撃を仕掛けることを可能にしています。
このような偽造送信者アドレスは、厳格な DMARCポリシーDMARCを活用することで、なりすまし攻撃からメールを守ることができます。
よくあるなりすまし攻撃の手口
攻撃者は、あなたやあなたの知り合いになりすますために、いくつかの方法をとります。ここでは、一般的な手口をいくつか紹介します。
1.無料メールアカウント攻撃
攻撃者は、フリーメールサービスを利用して、ターゲットが使用しているメールアドレスと類似したメールアドレスからメッセージを送信します。この手口は、悪意のあるウェブサイトを閲覧させたり、マルウェアをダウンロードさせたり、パスワードやクレジットカード番号などの情報を提供させたりするために利用されることがあります。
2.いとこドメイン攻撃
いとこドメイン攻撃では、攻撃者は、お客様の銀行のウェブサイトとほぼ同じ外観のウェブサイトを作成しますが、例えば、末尾が.orgや.netではなく、.comで終わっています。そして、この偽サイトからメールを送り、そのメールにあるリンクをクリックすると、本物の銀行のサイトではなく、偽サイトに移動してしまうのです。
3.偽造エンベロープ送信者攻撃
攻撃者は、"[email protected] "のような既知の会社から来たように見える送信者アドレスのメールを作成します。このアドレスは正規のものに見えるため、ほとんどのメールサーバーのフィルターを通過してしまいます。そして、攻撃者は、被害者をターゲットにして、リンクをクリックさせたり、添付ファイルを開かせたりして、マルウェアが被害者のコンピュータに感染するように誘います。
4.偽造ヘッダー送信者攻撃
ヘッダー送信者攻撃とは、電子メールのなりすましの一種で、メッセージが本当の送信元以外の誰かによって送信されたと信じ込ませるために使用されることがあります。この種の攻撃では、電子メールのヘッダーの「送信者」フィールドが、メッセージを送信した実際のものとは別のアドレスを含むように変更されます。これは、「From:」または「Return-Path:」フィールドのどちらか、あるいは両方を変更することによって行われます。このような攻撃の目的は、仕事仲間や友人など、他人が送ったように見せかけ、受信者が知っている人からのメッセージを開封するように仕向けることです。
5.電子メールアカウントへの攻撃
この攻撃では、攻撃者が正規の電子メールアカウントにアクセスし、そのアカウントを使用して、組織内の他の人に電子メールやメッセージを送信します。攻撃者は、特別な知識や権限を持つ従業員を名乗ったり、特別な知識や権限を持つ別の人物になりすましたりすることがあります。
6.CEO不正攻撃
この攻撃では、攻撃者は企業のCEOになりすまし、従業員や顧客に機密情報へのアクセスが必要であると信じ込ませようとします。攻撃者は、しばしばフィッシングメールや電話など、ソーシャルエンジニアリングの手法を用いて、あたかも企業のIT部門から電話がかかってきているかのように見せかけます。また、パスワードやクレジットカード番号などの機密情報を要求する一方で、より合法的で信頼できるように、貴社の業界や業務に特化した言語を使用することがよくあります。
7.マンインザミドル(MITM)攻撃
この種の攻撃は、攻撃者がお客様の通信を正規のサービスで傍受し、お客様からの通信であるかのように正規のサービスへ中継するものです。このようにして、攻撃者はお客様の通信を盗聴したり、通信を変更したり、通信を完全に阻止したりすることができます。
8.クレデンシャル・スタッフィング
この攻撃は、複数のオンラインサービス間でパスワードを再利用するという一般的な慣行を悪用します。攻撃者は、過去のデータ侵害で盗まれたユーザー名とパスワードのリストを入手し(多くの場合、ダークウェブで入手可能)、これらの認証情報を他のウェブサイトやシステムで組織的に試行します。ユーザーがパスワードを再利用している場合、攻撃者は不正アクセスを獲得する。4,100万人以上の消費者のデータが漏洩し、1,850万ドルの和解金を支払うことになった2013年のTargetのデータ漏洩は、攻撃者が盗んだ認証情報を使用して接続されたベンダーのシステムにアクセスすることによって促進されました。
なりすまし攻撃を見分けるには?
切迫感:攻撃者は、電子メールに緊急の語調を使うことで、受信者に直ちに行動するよう促すことがある(例えば、直ちに電信送金を開始する、さもなければ口座は永久にブロックされる)。これにより、被害者は何も考えずに行動を起こさざるを得なくなります。
守秘義務。攻撃者は、要求している情報を非公開にするよう指示し、その情報が公開されると重大な結果につながることを暗示することがあります。
機密情報の共有要求:攻撃者は、口座番号やパスワードなど、銀行だけが知っている情報を要求してくることがあります。また、あなただけがアクセスできる個人情報である企業認証情報を共有するよう求められることもあります。その結果、攻撃者はあなたの会社のデータベースにアクセスし、機密情報を漏えいすることになります。
改変された電子メールアドレス例えば、「Amazon」を装った人物からログインやアカウント情報の更新を促すメールが届いたが、そのメールアドレスが実は「[email protected]」だった場合、これはなりすまし攻撃の可能性があります。
粗悪なメール。 フィッシングメールは、通常、大量に作成されるため、スペルや文法の間違いが多く、お粗末な文章で書かれています。
悪意のあるリンクや添付ファイルがあること。 悪意のあるリンクや添付ファイルは、なりすまし攻撃を行うための一般的な方法です。この種の攻撃は、その存在によって識別することができます。
- 現在のタブではなく、新しいタブで開くリンク。
- 奇妙なタイトルやファイル拡張子("attachment "や".zip "など)の添付ファイル。
- 実行ファイル(.exeなど)を含む添付ファイル。
なりすましから身を守るために
なりすましのような ID ベースの攻撃を防ぐには、ユーザーの認識と技術的な制御を組み 合わせた多層的なアプローチが必要である。
1.サイバーセキュリティ・トレーニング企業は、サイバーセキュリティのトレーニングが不可欠であることを認識する必要がある。トレーニングには以下が含まれる:
- 攻撃者がユーザーになりすまし、システムにアクセスする方法
- なりすましのサインを見逃さず、被害が拡大する前に対処する方法
- 予防的管理の重要性を理解する
2.強固な認証:強固な認証方法を導入する。
- 多要素認証(MFA):可能な限り MFA を有効にする。これにより、ユーザーは2つ以上の認証要素(パスワード+OTP、生体認証、セキュリティ質問回答など)を提供する必要があり、認証情報が盗まれた場合でも不正アクセスを大幅に阻止することができます。
- 強固なパスワードの実践:異なるアカウント用に複雑でユニークなパスワードを作成するようユーザーに奨励する。強力なパスワードを生成し、安全に保存するために、評判の良いパスワード・マネージャの使用を推進する。推測されやすいパターンは避ける。
3.電子メールのセキュリティ:主要なコミュニケーションチャネルを保護する。
- ドメインの保護:会社のEメールドメインはなりすましから保護されるべきである。"@gmail.com "のような一般的なプロバイダーではなく、ビジネスに特化したドメイン(例:"@yourbusinessnamehere.com")を使いましょう。
- DMARCの実装:DMARC(Domain-based Message Authentication, Reporting & Conformance)のような電子メール認証プロトコルを実装する。DMARCは、ドメイン所有者がSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)チェックに失敗したメールを受信メールサーバーがどのように処理すべきかを指定することを可能にし、なりすましメールのブロックに役立ちます。厳格なDMARCポリシー(p=rejectまたはp=quarantine)を実施することで、フィッシングやなりすまし攻撃でのドメインの不正使用を防ぐことができます。
- 電子メールのフィルタリング:不審なリンク、添付ファイル、送信者の異常を検出できる高度なメールセキュリティソリューションを活用します。
4.システムとソフトウェアのセキュリティ安全な IT 環境を維持する。
- 定期的なアップデートとパッチ管理:攻撃者に悪用される既知の脆弱性を修正するため、オペレーティング・システム、アプリケーション、セキュリティ・ソフトウェアを最新のセキュリティ・パッチに保つ。
- セキュリティ・ソリューション信頼できるアンチウイルス/アンチマルウェアソフトウェアをインストールし、保守する。また、不審なネットワーク活動を監視するために、侵入検知システム(IDS)の導入を検討する。
- レガシーシステムの段階的廃止:パッチの適用されていない脆弱性や脆弱なセキュリティ管理が存在する可能性のある旧式のシステムは、攻撃者に狙われることが多いため、リプレースする。
5.データ保護:機密情報を保護する。
- データの暗号化機密データを保存時(静止時)と送信時(転送時)の両方で暗号化し、傍受されてもデータを保護します。
6.ゼロ・トラスト・モデルの採用ゼロ・トラスト・セキュリティ ゼロ・トラスト・セキュリティゼロ・トラスト・セキュリティ・アプローチを導入する。アクセスは、継続的な検証と最小特権の原則に基づいて付与され、漏洩したIDの潜在的な影響を最小限に抑える。
これらの予防策を実施し、サイバーセキュリティを意識する企業文化を醸成することで、組織はなりすましやその他のIDベースの攻撃に対する脆弱性を大幅に減らすことができる。警戒を怠らず、新たな脅威に対応し、従業員を継続的に教育することは、強固な防御戦略の重要な要素である。
なりすましから24時間365日保護したいですか? PowerDMARCはメール認証ソリューションプロバイダーです - 企業がメール通信を安全に行えるようにすることを目的としたサービスを提供しています。サイバー犯罪者やフィッシャーによるなりすましから保護しながら、許可された送信者からのメールのみが安全なゲートウェイを通じて配信されるようにすることで、お客様のドメインの評判を管理するお手伝いをします。
- 2025年、コールドメールはまだ有効か?アウトリーチとセキュリティのベストプラクティス- 2025年6月20日
- DMARC MSP ケーススタディ:PrimaryTechがPowerDMARCでクライアント・ドメイン・セキュリティを簡素化した方法- 2025年6月18日
- DMARCの誤検知:原因、対策、予防ガイド- 2025年6月13日