基本情報技術者試験対策（81）「情報セキュリティ（5）なりすまし」

IT系

2026.01.30

メールアドレスのなりすまし
1. メールアドレスのなりすましへの対策
URL のなりすまし
1. URLのなりすましへの対策
本人へのなりすまし
1. 本人へのなりすましへの対策
2. のぞき見防止フィルタ
人へのなりすまし
1. 人へのなりすましへの対策
2. 関連

メールアドレスのなりすまし

メールアドレスのなりすましにより、標的型攻撃メールや※BECの被害に遭うリスクがある。
※BEC（Business Email Compromise：ビジネスメール詐欺）は、取引先や経営者になりすました偽メールで送金などを指示し、企業から金銭を騙し取るサイバー攻撃である。

メールアドレスのなりすましへの対策

メールアドレスのなりすましへの対策は、以下の通りである。

メールアドレスをよく見る。
なりすましのメールアドレスの出題例は、以下の通りである。
- （例）普段使われているメールアドレス: YYYY@interior-bsha.com
- （例）なりすましのメールアドレス　　: YYYY@interiar-bsha.com
「メールが不審である」と気付けるかを確認するために、組織で標的型攻撃訓練を行う。

URL のなりすまし

URLのなりすましにより、フィッシングやスミッシング※の被害に遭うリスクがある。
※スミッシング（Smishing）は、SMS（ショートメッセージサービス）とフィッシングを組み合わせた造語で、宅配業者や金融機関を装った偽のSMSを送り、偽サイトへ誘導して個人情報やクレジットカード情報を盗む詐欺手法のこと。

URLのなりすましへの対策

URLのなりすましへの対策は、以下の通りである。

URLをよく見る。
Webブラウザのブックマーク（お気に入り）から目的の Webサイトにアクセスする。
SEOポイズニング※への対策にもなる。
※SEOポイズニング（SEO Poisoning）は、検索エンジンのアルゴリズムを悪用し、不正なWebサイトを検索結果の上位に表示させるサイバー攻撃手法のこと。
プロキシサーバのURLフィルタリング機能を使う。
ただし、URLフィルタリングのリストに登録する前に、なりすましをされたURLに利用者がアクセスすれば、被害に遭う。

本人へのなりすまし

攻撃者が利用者本人になりすましをした場合、 標的型攻撃メールやBEC※の被害に遭うリスクがある。
※BEC（Business Email Compromise：ビジネスメール詐欺）は、取引先や経営層になりすました偽メールで、企業の従業員を騙し、金銭を不正に海外口座などへ送金させる詐欺手口である。

本人へのなりすましへの対策

本人へのなりすましへの対策は、以下の通りである。

メール送信者のなりすまし対策として、メールとは別の手段で本人確認する。例えば、電話・郵便で確認する。
取引先から受信したメールを攻撃者に自動転送する設定が行われると、取引先とのメールのやり取りを盗聴できる。攻撃者はそれを利用し、あたかも取引先になりすましをして、偽のメールを送りつける。その対策として、自動転送する設定を禁止する技術的対策を行う。

のぞき見防止フィルタ

正面方向のみに光を通し、画面左右からののぞき見を防止する。PCのディスプレイに配置する。 ソーシャルエンジニアリングの一種であるショルダハッキング※対策になる。
※実際に人がパスワードや暗証番号の入力しているところを盗み見て、パスワードなどの個人情報を盗み出す手口のこと。

クリアスクリーン

PCを無操作のまま一定時間が経過すると、スクリーンをロックする機能。次回使用時には、ログインパスワードの入力が必要となる。これにより、のぞき見や不正な利用者によるPCの操作を防ぐ。

顔認証

顔認証によりログインする。また、一定時間が経過するたびに、顔認証を行う機能を有効にする。利用者以外の顔を検知したり、離席中だったりした場合、画面をロックする。

顔写真

ログイン時に自動的に利用者の顔写真を撮影し、ログに残す機能を有効にする。これにより、なりすましがあったかを後で分析できる。

アンチパスバック

共連れなどにより入室（または退室）の記録がない場合、認証を拒否して、退室 (または入室) できないようにすること。ただし、入退室時の共連れを防げるが、入室時も退室時も共連れした場合は防げない。

人へのなりすまし

Webサイトのログインなどの入力画面で、人でなくボットが自動で何回もログインを試行し、その結果、ブルートフォーレス攻撃の被害に遭うリスクがある。

人へのなりすましへの対策

人へのなりすましへの対策は、以下の通りである。

Webサイトの入力画面にCAPTCHA※を表示してその中の文字を入力させる。
※CAPTCHA とは “Completely Automated Public Turing test to tell Computers and Humans Apart” の略であり、「人間とマシンを判別するチューリングテスト」のことである。
なお、その人が誰なのかという利用者認証ができるわけではない。あくまでもボットでなく人が入力したことがわかるだけである。
ただし、利用者がCAPTCHA の文字が読めなかったり、利用法が分からなかったりする場合は、次の画面へ進めなくなる。
→判読の難易度を上げ過ぎると、正規のユーザにも「敷居が高く」なり、サイトから人々を遠ざけてしまう。

（参考）
情報処理教科書出るとこだけ！基本情報技術者［科目B］第4版　橋本祐史 (著)　翔泳社