ソーシャルエンジニアリング

なりすまし なりすまし

フィッシングソーシャルエンジニアリング不正アクセス偽装詐欺なりすましメール
なりすましって何?

簡単に言うとこんな感じ!

他人のふりをして、銀行・上司・公的機関などを装って情報を盗んだり、お金を騙し取ったりする攻撃だよ!「宅配業者からのメールです」「社長からの指示です」って嘘をつく、デジタル詐欺の超定番手口なんだ!


なりすましとは

なりすまし(Impersonation)とは、攻撃者が実在する人物・組織・システムのふりをして、ターゲットを騙す攻撃手法の総称です。「銀行からの重要なお知らせ」「社長からの至急依頼」「Amazonからの配送通知」など、信頼できる相手に見せかけることで、パスワードや個人情報・金銭を詐取します。

技術的な脆弱性を突くのではなく、人間の心理的な隙(信頼・焦り・権威への従順さ)を突く点が特徴です。そのため「ソーシャルエンジニアリング」と呼ばれる人間を操作するタイプの攻撃に分類されます。どれだけセキュリティソフトを入れていても、人が騙されれば意味がない、という怖さがあります。

なりすましはメールだけでなく、電話・SMS・SNS・Webサイト・社内チャットなど、あらゆるコミュニケーション手段で起こります。「送信元が知っている人・機関に見える」だけで人は信じてしまう——その人間の習性を徹底的に悪用するのがなりすまし攻撃です。


なりすましの主な手口と種類

手口偽装する相手典型的な被害
フィッシングメール銀行・EC・行政機関IDやパスワードの詐取
ビジネスメール詐欺(BEC)社長・取引先不正振込・情報漏洩
スミッシング宅配業者・公共機関(SMS)マルウェア感染・情報詐取
ビッシング金融機関・IT部門(電話)認証情報の口頭聞き出し
SNSなりすまし有名人・知人詐欺投資・フォロワー誘導
ドメイン偽装正規Webサイトログイン情報の盗取

覚え方:「フ・ビ・ス・ビ・ド」の5手口

ィッシング / ジネスメール詐欺 / ミッシング / ッシング / メイン偽装

ふびすびど(不美人?)」と覚えておくと5種類を忘れにくい!

なりすましが成功しやすい心理的トリガー

  1. 権威性——「社長から」「警察から」と言われると従ってしまう
  2. 緊急性——「今すぐ」「24時間以内に」で焦らせる
  3. 親近感——知っている名前・ロゴ・文体で油断させる
  4. 恐怖——「アカウントが停止されます」で不安を煽る
  5. 希少性——「当選しました」「限定オファー」で欲を刺激する

歴史と背景

  • 1990年代:インターネット普及とともに、有名人・企業を騙るなりすましメールが出現
  • 2003年頃:フィッシング詐欺が組織的に行われるようになり、銀行・ PayPalを狙った大規模攻撃が増加
  • 2010年代前半:スマートフォンの普及でSMSを使った「スミッシング」が登場
  • 2013年:Facebookや TwitterなどSNSでの有名人なりすましが社会問題化
  • 2015年頃ビジネスメール詐欺(BEC)が急増。FBI発表では世界での被害総額が数十億ドル規模に
  • 2020年代AIによる音声・動画の偽造(ディープフェイク)を使ったなりすましが登場。「社長の声そっくり」の音声で送金指示するケースが実際に発生
  • 現在:生成AIによりなりすましメールの文章が自然になり、従来の「日本語がおかしい」では見破れなくなっている

フィッシングとなりすましの関係

なりすましは上位概念で、フィッシングはその代表的な手口のひとつです。

なりすまし(Impersonation) フィッシング メール・Webサイト偽装 BEC ビジネスメール詐欺 ビッシング 電話による偽装 スミッシング SMS偽装 SNSなりすまし 有名人・知人を偽装 ディープフェイク AI音声・動画偽造 共通する攻撃の流れ ① 信頼できる相手に見せかける(偽装) ② 心理的トリガーで行動を促す(焦り・権威) ③ 情報・金銭・アクセス権を詐取する

なりすましメールの見破り方(実務チェックリスト)

✅ 送信元メールアドレスをよく確認(表示名≠実アドレス)
✅ リンクURLにカーソルを当て、飛び先ドメインを確認
✅ 「至急」「24時間以内」の緊急煽りに要注意
✅ 添付ファイルは開く前に送信者に電話で確認
✅ 振込・送金指示は必ず別の方法で本人確認
✅ 日本語が自然でも油断しない(AI生成が増加中)

対策技術:なりすましを技術で防ぐ

技術・仕組み内容効果
SPF送信元IPアドレスを検証する仕組みなりすましメール排除
DKIMメールにデジタル署名を付与改ざん・偽装を検出
DMARCSPF・DKIMの結果を使いポリシー適用なりすましメールを拒否・隔離
多要素認証MFAパスワード以外の認証を追加情報詐取後の不正ログイン防止
ゼロトラスト常に検証・最小権限で動作なりすましでの横断移動を防止

関連する規格・RFC

規格・RFC番号内容
RFC 7208SPF(Sender Policy Framework)の定義
RFC 6376DKIM(DomainKeys Identified Mail)の定義
RFC 7489DMARC(Domain-based Message Authentication)の定義
NIST SP 800-177メールセキュリティのガイドライン

関連用語

  • フィッシング — なりすましの代表手法。偽サイト・偽メールでIDやパスワードを詐取する
  • ソーシャルエンジニアリング — 人間の心理を操作して情報を盗む攻撃の総称
  • ビジネスメール詐欺(BEC) — 社長・取引先を装って不正送金を指示する企業向けなりすまし
  • SPF — メール送信元のIPアドレスを検証してなりすましを防ぐ技術
  • DKIM — メールにデジタル署名を付けて改ざん・偽装を検出する技術
  • DMARC — SPFとDKIMを組み合わせてなりすましメールを自動排除する仕組み
  • 多要素認証 — パスワード漏洩後の不正ログインを防ぐ認証強化手段