最近では、FacebookやTwitter、Instagramなど、様々なSNSがビジネスでも使用されるようになりました。中でもLinkedInは、企業情報や転職活動などプロフェッショナル向けコミュニケーションのプラットフォームであるため、知らなかった人とつながりを持つこと、また見知らぬ他人の経歴や属している企業、組織についても情報が共有されているため、信頼できると思う傾向があります。
しかしその反面、LinkedInでは偽のアカウントを比較的簡単に作成することが可能です。例を挙げると、2022年秋、セキュリティの専門家であるBrian Krebs氏が、さまざまな大手国際企業の最高情報セキュリティ責任者(CISO)を装った大量の偽アカウントを発見しました。しかも、数千の偽アカウントが勤務先として実際に存在する企業を記載していました。
それらの偽アカウントに共通しているのは、自分が勤めているはずの会社の評判や人事部の評判などを気にも留めない点です。LinkedInにはびこる偽情報を完全に排除することは可能なのでしょうか。そして、自社のブランドを守るにはどうすればよいのでしょうか。
LinkedInの偽プロフィール対策
LinkedInの偽プロフィール問題は、今に始まったわけではありません。半年に一回公開されるレポートには、ブロックされた偽アカウントの数も公表されています。具体的な数字は年によって異なりますが、どのレポートを見ても数千万単位の偽プロフィールが削除されています。例えば、2019年初頭から2022年中期半ばまでの期間には、1億4千万の偽アカウントがブロックされました。
LinkedInの偽アカウントの大半は、自動でブロックされています。例えば、2022年7月から12月の間、自動でブロックされた偽アカウントは、全体の87.4%でした。また、時期にもよりますが、ブロックされたアカウントの70~90%は登録の段階で排除されています。ユーザーからの報告によってブロックされた偽プロフィールの割合は1%未満です。絶対数も多いわけではありません。例えば、2022年上半期にユーザーの申し立てでブロックされた偽アカウントはわずか19万件です。
LinkedInは、偽プロフィールを見分ける方法について詳細を明かしてはいませんが、特定するポイントの一つは、過剰なメッセージの送信で、もう一つは、プロフィールに記載された「場所」にある地域とは異なる地域でアカウントが登録されている点です。そして、すでに検出されてブロックされた偽アカウントと共通する特徴がある場合にも、疑わしいページと見なされることがあります。
LinkedInは昨年末、偽アカウント対策としていくつかの新たな手法を取り入れました。
- プロフィールの写真がAIで生成されたものでないかチェックします。
- 疑わしいメッセージに警告が表示されるようになりました。
- もう1つの新機能が[このプロフィールについて]タブです。アカウントが登録されたおおよその日付などの情報が表示され、信用できるかどうかを判断するのに役立ちます。
対策の成果
それでは、LinkedInの偽プロフィール対策は成功しているのでしょうか。それを確かめるため、Wired誌は実験を行いました。まず、記者たちはAIで生成したテキストと写真を使ってまったく偽物のプロフィールを2つ作成しました。次の日にはLinkedInから両方のユーザーに対して本人確認の問い合わせがあり、最終的にアカウントはブロックされました。
次に、記者たちは別の方法を試しました。Wiredに所属する編集者のプロフィールをそのままコピーして使用し、1点だけ変更を加え、プロフィール写真を実在する別人の写真に置き換えました。また、連絡先情報としては、Proton Mailで登録したメールアドレスのみを入力しました。Proton Mailは、匿名性を重視する人たちに人気の暗号化ウェブメールサービスです。この偽アカウントは、丸2か月間LinkedInに存在し、メッセージを送受信したり、新しい人とつながったり、Wiredのコンテンツを投稿したりしていました。最終的に記者が自主的にアカウントを削除しています。
結論として、この実験から、LinkedInの対策は単純な偽装にはかなり効果があることがわかります。しかし、少し時間と手間をかけて、実在の人物の本当の情報を使ってもっともらしくアカウントを作成し使用すれば、LinkedIn運営側のチェックをすり抜けることが可能です。
企業のLinkedInページから偽アカウントを一掃する方法
企業の名前や実在する同僚の情報が、不適切な目的にすでに使用されているケースもあります。偽のプロフィールは会社の従業員の一覧から排除しておくのが賢明です。まずは実態を詳しく調査して問題の有無を確認することから始めましょう。まず、現在の勤務先として自社名が設定されているLinkedInプロフィールの数と、実際の従業員数を比較します。
また、それぞれのアカウントの地理情報を確認しましょう。LinkedInで特定の地域の従業員が何人いるかを調べ、実際の情報と比較します。これは問題が起きている地域を絞り込むのに役立ちます。詐欺師たちは、特定の地域でターゲットを探していて、偽のプロフィールではその地域が示されている可能性が高いためです。つまり、偽アカウントで勤務先として自社名が使用されている場合に、その偽アカウントが世界各地に均等に分散しているケースはまれです(1つまたはいくつかの地域に集中している場合がほとんどです)。
これらのチェックの結果と会社の全体的な規模によって、次のステップは変わってきます。偽アカウントの数が比較的少なく、地理的にも絞り込むことができた場合は、ほとんどの偽アカウントを突き止めて、LinkedInサポートに報告するのは難しくありません。
問題が深刻な場合は、トップダウンで排除を始めるのが合理的です。上位職の社員になりすましている偽プロフィールを優先します。シンプルな方法としては、経営幹部のリストを作って、名前でLinkedInプロフィールを検索します。重複するプロフィールがあれば、ほとんどの場合、登録日を見れば本物か偽物か、判断できるでしょう。また、地理情報に疑いはないか、プロフィールの写真におかしな点はないかどうかにも注意します。
著名人や企業役員のアカウントは検証を行っていわゆる青バッジを表示するなどすれば、少なくともトップレベルの偽アカウントについてはLinkedInのプラットフォーム自体で問題を解消できます。しかし残念ながら、このような対策はまだ導入されていません(2023年5月現在)。そして最初はこの検証を試験的に利用できるのは、米国の一部の大手企業のみとなります。それ以外の組織でネットワーク上のユーザーが本当に従業員であることを確認できるようになる時期は、現時点では明らかになっていません。
隠れた闇:他社の偽社員
LinkedInの偽アカウント問題には別の側面もあります。詐欺師が、他社の従業員になりすました偽のアカウントを使って、自分の会社の従業員に攻撃を仕掛けてくるケースです。その結果がどうなるかは容易に想像できるでしょう。例えば、遊びながら稼げるゲーム「Axie Infinity」の開発元であるSky Mavis氏に対して昨年、このような攻撃が仕掛けられました (英語)。攻撃者は、仕事の依頼を装って、この会社の従業員の1人にLinkedInでコンタクトを取りました。そしてその従業員にウイルスに感染したPDFを送ります。それを利用して企業ネットワークへの侵入を成功させ、トランザクションの検証に使用される鍵を盗み出しました。攻撃者たちはその鍵を使って、Sky Mavisの仮想通貨口座から根こそぎ持って行ったのです。損失額は5億米ドルを超え、この事件は史上最大の仮想通貨窃盗事件の1つに数えられています。
このような攻撃に対する防御は容易ではありません。しかし、従業員の情報セキュリティに対する意識を高めることで、大きな効果が得られることは確かです。それには、定期的にサイバーセキュリティに関するトレーニングを実施するのが一番です。そのための理想的なソリューションがKaspersky Automated Security Awareness Platformです。