デジタル・トラスト2020」レポートによると、LinkedInは依然として最も信頼されているソーシャル・プラットフォームです。FacebookやTwitterといった他の巨大ソーシャルメディアを差し置いて、長年にわたり1位を獲得しています。

多くの消費者は、グローバル企業のプラットフォームこそ、個人情報を安全に保管することに最も信頼を寄せていると考えています。しかし、LinkedInを本当に信頼できるのだろうか？

リンクトインは大規模なデータ漏洩を起こしたことがあるのか？

LinkedInはデータ漏洩と無縁ではありません。実際、2012年には、650万件のアカウント情報が流出したとされる大規模な情報漏えいが発生し、さらに深刻な事態に発展しています。

2012年にロシアのサイバー犯罪フォーラムに投稿された650万件のパスワードが流出した事件で、LinkedInは流出を確認し、パスワードを変更するようユーザーに呼びかけました。しかし、数年後、それは氷山の一角に過ぎないことがわかった。

2016年、「ピース」というハッカーが、盗まれたLinkedInの認証情報の残りをダークウェブで販売していた。ハッカーは、LinkedInのユーザー1億6700万人の情報を持っていると主張した。塩漬けになっていないパスワードの9割が72時間以内に解読されたと報告されています。

関連：Webサイトがパスワードを安全に管理する方法とは？

なぜサイバー犯罪者はリンクトインを標的にするのか？

大規模な情報漏えいに加え、LinkedInは、プロフィールに含まれる組織情報の宝庫であるため、サイバー犯罪者のお気に入りとなっています。

さらに、多くのユーザーがLinkedInを非常に信頼しているため、自分のキャリアを非常に具体的にプロフィールに記載しています。これにより、個人や企業を狙ったさまざまなフィッシング・キャンペーンを容易に計画することができます。

linkin scam があなたのメールに送信されました。

フィッシング詐欺の多くは、プラットフォームの外で行われています。暴力団がLinkedInの社員を装い**LinkedInのロゴを入れたメールを送り、ユーザーから情報を盗み出す。

これらのメールには、通常、お客様の情報を取得したり、お客様のデバイスにマルウェアをダウンロードしたりすることを目的とした偽のウェブサイトへのリンクが含まれています。

不明な場合は、別のタブ、ブラウザ、デバイスを使用してアカウントにログインしてください。

アカウントの確認を要求する電子メール

知らない端末からログインしようとすると警告する通常のセキュリティ警告に加え、電子メールの確認を求める偽のフィッシングメールが存在します。

これらは通常、プラットフォームがアップグレードされたため、アカウントの確認が必要であることを示しています。リンクが渡され、72時間以内にアカウントを確認しないと「LinkedInは未確認のアカウントを閉鎖します」と告げられます。

しかし、このリンクはLinkedInのサイトにはつながっていません。LinkedInのサイトの上にマウスを置くと、このことがわかります。

また、LinkedInがあなたのアカウントを非アクティブにしたことを警告するフィッシングメールもあります。

虚偽の連絡要求

LinkedInのフィッシングメールには、偽の依頼が含まれていることもあります。LinkedIn上の誰かからのコンタクトリクエストを通知するメールが届きます。

このボタンにカーソルを合わせると、LinkedIn以外のサイトにリンクされていることがわかります。

巧妙な詐欺の中には、リンクをより合法的に見せかけるために、URLスプーフィングを使うものもあります。だから、何度も言いますが、メールにあるリンクはクリックしないでください。本物のLinkedInにログインすると、どんな本物のリクエストもあなたを待っています。

The most common linkedin scams（最も一般的なリンクトイン詐欺）。は何ですか？

より悪質なタイプの詐欺は、プラットフォームに潜入したオペレーターによって始められるものです。偽のプロフィールを作成し、コンタクトリクエストを送信し、LinkedInメッセージやLinkedIn InMailで連絡を取り合います。

これらの成功の多くは、LinkedInではまだ偽のプロフィールを作成することが容易であり、人々はこのプラットフォームを信頼しているため、そこにいる全員が正当であると自動的に思い込んでしまうからである。

求人詐欺

アプリで最も多い詐欺は、求人詐欺です。LinkedInは仕事探しによく使われるため、ハッカーはその絶望感を利用して偽の採用担当者になりすまします。

個人情報を偽り、求職者に電子メールやSMSで連絡を取り、ほとんど仕事をしなくてもよい高収入の仕事を紹介します。

中には、詐欺をより効果的にするために、あなたのプロフィールを研究し、あなたの資格に基づいた仕事を提供するものもあります。最も一般的な詐欺の一つは、ミステリーショッパーや在宅勤務のパーソナルアシスタントになる機会をユーザーに提供することです。

ほとんどの人は、あなたの情報を得るために作られた偽のウェブサイトへのリンクを送ってきます。

その他の偽物は、仕事の詳細が記載された添付ファイルをダウンロードするように要求します。また、添付ファイルが申込書であり、必要事項を記入して返送する必要があると言う人もいます。添付ファイルを開くと、マルウェアがあなたのシステムにダウンロードされます。

関連：安全でないメールの添付ファイルを見分ける方法

ミステリーショッパー詐欺は何ですか？

このような求人詐欺の中には、非常に巧妙で説得力があり、数千ドルを失うことになるものもあります。

例えば、ミステリーショッパー詐欺は、疑うことを知らないLinkedInのユーザーにメッセージを送り、シークレットショッパーとして働いてもらうという仕組みになっています。

そして、詐欺師は被害者に小切手を送り、銀行口座に入金するように依頼します。手数料を差し引いた残りで、変額カードやギフトカードを買ったり、店頭での振込サービスを試したりするように言われる。

ショップのWestern UnionサービスやMoneyGramサービスを通じて送金するよう指示しています。ギフトカードを買えと言われたら、カードに書いてある番号を送らなければならない。

数日後、被害者は銀行から、入金された小切手は偽造であり、口座から資金を回収する旨のメッセージを受け取ります。

フィッシングに使われる偽リンクトイン・プロフィール

また、サイバー犯罪者は、偽のプロフィールを作成し、あなたやあなたの連絡先の情報を調査して、標的型フィッシング・キャンペーンを行います。

スピアフィッシング、ホワイリング、CEO詐欺フィッシングなどのキャンペーンは、通常の詐欺メールよりはるかに複雑です。ハッカーは攻撃する前に組織や個人を調査し、より効果的な攻撃を行うために標的を定めています。

組織とその従業員に関する情報を入手する最も簡単な方法の1つは、LinkedInのプロフィールを調査することです。ハッカーからのコンタクトリクエストに応じることで、あなたのプロフィールや連絡先へのアクセスを許してしまうことになるのです。

また、あなたの連絡先であることで、正当性や信頼性をアピールすることができます。

偽のLinkedinプロフィールの見分け方

プロフィールが偽物である可能性を示す指標として、情報が非常に少なく、連絡先が少なすぎる（通常、100人以下かそれよりやや多い）ことが挙げられます。

もう一つの兆候は、関与がない、あるいはほとんどないことです。プロフィールの推薦文を見れば、以前の同僚がその人についてどのようなことを語っているかがわかります。あるいは、前職の同僚がいるかどうか。

プロフィールの「アクティビティ」では、過去の投稿や予定、コメント、他のユーザーとのやりとりを見ることができます。交流がないのは、たいてい、その人のことを誰も知らないか、プロフィールが新しいというサインです。

写真を全く持っていない人もいますが、ほとんどの人が、時にはストックフォトサイトから盗んだ写真を持っています。ある写真がウェブ上の他の場所から抽出されたものであるかどうかを確認するには、簡単な逆画像検索を行うことができます。そんな時に役立つアプリやウェブサイトをご紹介します。

リンクトインはどのようなセキュリティ対策をしているのですか？

2012年の情報漏えい事件後、LinkedInはユーザーのデータを保護するために多くのセキュリティ機能を導入しました。侵入される前、LinkedInは単純なハッシュを使ったパスワードデータベースシステムを使用していましたが、これは簡単に解読されてしまうため、ハッシュと塩を使ったパスワードの両方を含むシステムに切り替えました。

また、2ファクタ認証（2FA：Two-Factor Authentication）は、ユーザーが入力する追加コードによって、不正なログインをブロックできるようにするもので、すぐに対応しました。

追加のセキュリティタブで、ユーザーがアクティブなセッションを確認することができます。この機能により、ユーザーは現在LinkedInアカウントにログインしているデバイスの詳細、すなわちおおよその位置、ブラウザ、オペレーティングシステム、IPアドレスなどを確認することができます。認識できない場合は、ログアウトすることができます。

LinkedInは、ブロックユーザー機能も導入しています。この機能を使うと、プロフィールを非表示にして、特定のユーザーからのメッセージ（迷惑メールも含む）を受け取らないようにすることができます。

リンクトインURL検出機能、偽アカウント自動検出機能

フィッシングキャンペーンからユーザーを守るため、LinkedInは現在、すべてのユーザーが作成したコンテンツについて、マルウェアやフィッシングなどの危険なコンテンツをスキャンするバックエンドサービスを使用しています。大量のテキストに対してURL検出アルゴリズムを実行し、URLの有無をチェックするのだ。

LinkedInは、URL検出器に加えて、偽アカウント検出システムを使用して、ハッカーが管理するプロフィールを識別しています。新規ユーザー登録の試行を機械学習モデルで評価し、偽アカウントの大量作成を防止しています。サイバー犯罪の多くは、システムによって遮断された**複数の偽アカウントを使用しています。

偽アカウントの小バッチは、人間の介入を含む他の方法でフィルタリングされています。ユーザーは、疑わしい活動や大まかなプロフィールをサイト上で報告することができます。

リンクトインに載っている人たちは信用できるのでしょうか？

他のソーシャルメディアプラットフォームと同様に、LinkedInもデータ漏洩やサイバー犯罪者による攻撃から免れることはできません。セキュリティ対策を施していても、LinkedInのシステムは特定の攻撃を検知することができないため、自衛のための責任はお客様にあります。

接続の招待を受ける前に、セキュリティ設定を確認し、2FAを有効にし、プロフィールを確認してください。プロ向けのサイトと言われているからと言って、油断は禁物です。