なりすまし詐欺は、どこまで技術で防げるのか？（444号）

2025年あたりから、著名人の写真や動画を用いた投資詐欺、ロマンス詐欺、社長・役員なりすまし詐欺などが急増しています。

このような詐欺は、メールに限らず、LINEやFacebookといったSNSを経由して拡がることも多いのが特徴です。

生成AIによる画像や動画作成のローコスト化が、詐欺師にも恩恵を与えてしまうのは歯がゆい話です。

インターネットやコンピュータを活用したなりすまし詐欺には、技術でガードできる部分とできない部分があります。

今回はその違いについてお話します。


1. 詐欺にだまされるのを防ぐ技術

なりすまし詐欺の対策技術としては、例えば次のようなものがあります。

　・パスワードマネージャ
　・二重認証(2FA)／多重認証(MFA)
　・パスキー
　・メールのなりすまし防止（SPFやDKIM)

これらの技術は、特に既存サービスでの詐欺に効果的です。

最初のパスワードマネージャを使えば、パスワードを覚える必要がありません。
一般に、詐欺師たちの最初の標的はIDとパスワードです。（その次はカード情報などです）
パスワードを覚えていなければ、間違って入力することもない、だから詐欺にひっかかりにくい、という話です。

二つ目の二重認証というのは、最近多くなってきていますが、パスワードなどでログインした後にメールなどで送られた認証コードを入力するものです。
これは、パスワードのような知識（知ってるかどうか？）の確認とメールアドレスやスマホの所有（持ってるかどうか？）の確認を行うことで、本人確認を確実なものにしようという方式です。

利用時に２回の手続きを踏まないといけないのが面倒なのですが、アカウントのっとりには最強の防禦になります。利用を強くオススメします。

三つ目のパスキーはここ２年ほどで、ゆっくりと拡がっている認証方式です。最初の手続きが非常にわかりにくく、何をしているのかわからなくなりがちですが、パスワードに比べても明らかに強く、洩れにくい（事実上漏洩しない）方式ですので、これも採用しているサービスについては、是非利用していただきたいです。

四つ目のメールのなりすまし防止は、一般の利用者が直接利用することは少ないのですが、メールソフトのフィッシングメール検出には多用されている技術で、メールアドレス詐称などをかなりの確度で見抜くことができます。

こういった既存の技術は派手なものではないですが、確実にみなさんの防禦レベルを上げてくれます。
是非、ご活用ください。


2. 詐欺の防止技術が効くケース

既存のサービスを騙るタイプの詐欺には、上記の対策が有効です。

特に、よくある「アカウント停止のお知らせ」や「ご不在のため荷物を持ち帰りました」といったニセサイトに誘導するタイプのフィッシングにはパスワードマネージャの利用が最強です。

パスワードマネージャは、そのサーバが示すドメイン（例えば、egao-it.com）という住所情報にもとづいてID/パスワードの自動入力をします。
逆にいえば、ニセサイトではID/パスワードが自動入力されません。
いつもなら自動入力されるのにされない、となると「あれ？」となります。つまり、詐欺に気づくチャンスが与えられるわけです。

「君子危うきに近よらず」ではありませんが、パスワードを覚えていなければ、入力できません。「知らない」ことは最強なのです。

また、SNSの「のっとり対策」としては、多要素認証が最強です。

仮に第三者にパスワードがバレたとしても、多要素認証を登録しておけば、認証コードなどの利用に必要な情報はあなたのスマホやメールアドレスに送られてきます。
つまり、ID/パスワードに加えて、スマホやメールアドレスまで盗まれない限り、悪用は阻止できます。

多要素認証って、ログインに手間がかかります。面倒ではあるのですが、のっとり被害に会うことを考えると、利用する価値はあると思います。


3. 詐欺の防止技術が効かないケース

今度はさきほどの逆で、新サービスの体裁を保った詐欺サイトを技術で見抜くことは不可能です。

極論ですが、サービス開始時はまっとうだったけど、除々に詐欺的なサービスに墜ちてしまった、こんなのを技術で見抜けるはずがありません。

冒頭で書いたような、投資詐欺、ロマンス詐欺、社長・役員のなりすまし詐欺、といったパターンの詐欺の前では技術は無力です。

上記のような詐欺は、LINEなどのSNSのグループ機能を用いるものも多いようです。これなどは、使っているツール（LINEやFacebook）が真正なものであっても、詐欺が成立することを示しています。

そりゃそうです。SNSはあくまで情報交換の場を提供するサービスです。その中でのやりとりに、運営側は基本的に口出ししません。電話会社が会話内容を盗聴しないのと同じ理屈です。

結局、技術的なウソ（ドメイン詐称など）は技術で対策できますが、情報のウソ（事実と異なる情報の流布など）を技術で見抜くことはできない、という極めてあたりまえの話にすぎません。


4. まとめ

今回は、フィッシングをはじめとした、インターネット上の詐欺対策についてお話をしました。
セキュリティ対策の技術は日々進歩していますが、だまそうとする方も次々と新たな手法を使ってきます。

これまでは、技術的なすきまを悪用した攻撃方法が多かったわけですが、それらは技術的に対策によって、除々に減ってきているのかもしれません。

その結果として、現在の投資詐欺や、ロマンス詐欺といった、技術では防げない手法に回帰してきたかのように感じます。

結局、詐欺から身を守るためには、技術ばかりに頼っているだけでなく、自らも「これ、大丈夫か？」と一歩下がって考えることが重要と感じます。

今回は、技術で防げる詐欺とそうでない詐欺についてお話しました。

次回もお楽しみに

今日からできること：

・既存のサービスを騙る詐欺の多くは技術で防げる。
→パスワードマネージャの利用、多要素認証は強くオススメ
・新たなサービスで行われる詐欺の判断は人がするしかない
→技術によるサポートを期待しすぎない

（本稿は 2026年2月に作成しました）