なるほど！セキュリティ―　情報共有編　第46回　SNSのなりすましへの対策と対応

はじめに
事例
対策と対応
おわりに

この資料は、地方公共団体情報システム機構発行「月刊J-LIS」2023年4月号に掲載された記事を使用しております。
なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと使用しております。

なるほど！セキュリティ　情報共有編　第46回
SNSのなりすましへの対策と対応

（月刊「J-LIS」2023年4月号）

はじめに

　近年では広報活動や緊急時の市民への情報伝達手段として、検討中を含めソーシャルネットワーキングサービス（以下「SNS」という。）を利用されている地方公共団体も多いかと思います。SNSは個人が自由にアカウントを登録でき、地方公共団体の公式アカウントを詐称すること（以下「なりすまし」という。）ができてしまい、これにより問題が発生することがあります。

　本稿では、なりすましアカウントが現れた事例を挙げて、対策と対応について解説します。

事例

　A県では県の公式アカウントのなりすましが現れ、SNS利用者に「県が実施しているキャンペーンのギフトが受け取れる」として偽のメッセージが送られ、個人情報の登録を求める事案が発生しました。県はSNSの提供事業者になりすましとして通報するとともに、当該のSNSに限らず様々なメディアで注意喚起を行い、プレゼントキャンペーンを中止する対応を行いました。

　他団体でも、なりすましアカウントからSNS利用者に対し、キャンペーンの当選告知を装った偽のメッセージが送られ、URLからクレジットカード番号の入力を促す事案等も発生しています。

　なりすましアカウントは、英数字で構成されるアカウントIDを確認すると、スペルを１文字増やしたり、アンダーバー（ _ ）を二つに増やすなど不要な文字や記号が追加されていることが多いのですが、アイコンやプロフィールは公式のものをコピーしている等、一目で違いを認識することは難しいです。

対策と対応

　ここでは、「地方公共団体における情報セキュリティポリシーに関するガイドライン」（以下「ガイドライン」という。）を基に、SNSによる情報発信に関するなりすましへの対策と対応について説明します。

（１）公式アカウントの確認手段の提供
　ガイドラインでは自組織からの情報発信であることを明らかにするため、以下の対策を手順に含むよう定めています。

●自組織のドメイン名を用いて管理しているWebサイト内において、利用するソーシャルメディアのサービス名と、そのサービスにおけるアカウント名又は当該アカウントページへのハイパーリンクを明記するページを設けること。 ●アカウント名やアカウント設定の自由記述欄等を利用し、自組織が運用していることを利用者に明示すること。 ●運用しているソーシャルメディアのアカウント設定の自由記述欄において、当該アカウントの運用を行っている旨の表示をしている自組織のWebサイト上のページのURLを記載すること。 ●ソーシャルメディアの提供事業者が、アカウント管理者を確認しそれを表示等する、いわゆる「認証アカウント（公式アカウント）」と呼ばれるアカウントの発行を行っている場合には、可能な限りこれを取得すること。

　不審メールやフィッシングサイトに対しては、地方公共団体しか利用できないlg.jpドメインの利用が公式であることの確認手段となっていますが、SNSの場合は、公式サイトからのリンクや提供事業者による認証アカウントの登録が、利用者に対する公式アカウントの確認手段となります。

（２）平時の運用
　平時から、なりすましアカウントが存在しないかどうかの情報収集を行うとともに、なりすましアカウントを検知した場合の対応手順を確認しておくことで迅速な対応が図れます。

　また、プレゼントキャンペーンなどを行う場合は、例えば「当選者にはメッセージにてご連絡し、配送先の住所・氏名について入力をお願いいたしますが、クレジットカード番号の入力や、配送料の銀行振り込みなどをお願いすることはありません。」のような注意書きを応募要領に記載し、あらかじめ周知しておくことで、なりすましが現れた場合の被害を抑えることが期待できます。

（３）なりすましを検知した場合
　ガイドラインではなりすましアカウントを検知した場合、注意喚起を行うことをセキュリティポリシーとして定めることとなっています。

●自己管理Webサイトに、なりすましアカウントが存在することや当該ソーシャルメディアを利用していないこと等の周知を行うとともに、信用できる機関やメディアを通じて注意喚起を行うこと。

　注意喚起とともに、正しい公式アカウントの見分け方（正しいアカウント名など）や、キャンペーン等を行っている場合は改めてキャンペーン参加者への連絡方法や提供をお願いする個人情報などについて周知する必要があります。

　公式アカウントによく似たアカウントを第三者が作成することは必ずしも違法とはなりませんが、なりすましアカウントを検知した場合は画面のスクリーンショットの保存など証拠を保全するとともに、なりすましの活動によっては、刑事・民事の責任を追及することになるため、警察や弁護士への相談を検討する必要があります。

　また、多くのSNSでは、なりすましは利用規約違反となりますので、規約に沿って速やかに提供事業者へ通報（なりすましアカウントの削除依頼）を行うべきです。

おわりに

　対策を行っても、なりすましの出現を完全に防げるわけではありませんが、なりすましアカウントが現れた場合に被害を小さくするため、平時から公式アカウントの確認方法を利用者に提供しておくことや、なりすましを検知した場合の対応手順を定め、確認しておくことが肝要です。

　本稿では、SNSの公式アカウントが行っていたキャンペーンを利用する形でなりすましアカウントが作成された事例を紹介しました。SNSを利用していない場合でも、なりすましアカウントが作成され、偽のキャンペーン告知とともにフィッシングサイトへの誘導を行ったり、悪質なデマを流したりするおそれがあるため、対応手順を定め準備しておくことが必要となります。

次世代とともに明日を築く｜地方自治の総合サイト