LinkedInは、世界で最も信頼されるプロフェッショナルネットワークとしての評判を築いてきた。全世界で130万人以上の会員を擁する。しかし近年、LinkedIn詐欺が急増しており、プラットフォームが検出した偽プロフィールは8300万件以上、スパムや詐欺インシデントは1億1700万件以上に上る(2025年1月から6月の間だけで)。
LinkedInの求人詐欺は、必死に仕事を探す求職者を標的にしたものから、退職金口座全体を空にする巧妙な詐欺スキームまで多岐にわたり、その脅威は高額だ。米連邦取引委員会(FTC)の報告によると、求人・雇用詐欺による損失は、2020年の9000万ドルから2024年には5億100万ドルへと、4年間で5倍以上に増加した。
新しい役職を積極的に探している場合でも、同業者とネットワーキングしている場合でも、ブランドを拡大している場合でも、あるいは単にプロフィールを最新の状態に保っている場合でも、LinkedIn詐欺の仕組みを理解することが、最初の、そして最善の防御策となる。
詐欺師たちはLinkedInに進出したのか?
詐欺師たちはLinkedIn上で活発に活動しており、このプラットフォームは最も好まれる狩場の1つとなっている。他のソーシャルネットワークとは異なり、LinkedInユーザーは自発的に職種、雇用主、経歴、収入の指標、キャリアの野望を公開しており、詐欺師たちに潜在的なターゲットに関する既製の資料を提供している。プラットフォーム上では毎分8200件以上の求人応募が提出されており、詐欺師たちは一見信頼できる求人リストを作成するのに最適な環境を手にしている。
LinkedInのプロフェッショナルな文脈は、詐欺問題の大きな要因だ。ユーザーはリクルーター、ビジネスパートナー、同僚、潜在的な雇用主から連絡を受けることを期待しているため、FacebookやInstagramよりも、一方的なアプローチに対して自然と信頼を寄せやすい。
サイバーセキュリティ企業NordLayerの研究者たちが、カナダ、英国、米国の500人の回答者を調査したところ、回答者の3分の1以上が、自社の組織名を使用した複数のLinkedIn詐欺を認識していた。プラットフォームは対応しており、2025年1月から6月の間に偽アカウントの97%をブロックしたが、その膨大な量のため、巧妙な詐欺師たちは依然としてすり抜けている。
LinkedInでよくある詐欺
LinkedInでは常に数十種類の詐欺のバリエーションが活動している。共通するのは、プロフェッショナルな信頼の悪用だ。詐欺師たちはリクルーター、経営幹部、サポートスタッフ、または同業者を装い、金銭、認証情報、機密データを引き出す前に人々の警戒心を下げる。
これらの兆候の組み合わせに気づいた場合は、先に進む前に、その相互作用を高度な懐疑心を持って扱うことが賢明だ。
1. 偽の求人オファー詐欺
LinkedInの偽求人詐欺は、プラットフォーム上で最も蔓延している脅威だ。リクルーターや採用マネージャーを装った詐欺師が、高給で労力の少ないリモート職について説明する一方的なメッセージであなたに連絡してくる。その職は、異常に高額な給与、最小限の要件、疑わしいほど迅速な採用スケジュールを宣伝していることが多い。
仕組み:興味を示すと、詐欺師は「求人応募」リンクまたはPDF添付ファイルを送信し、個人データを収集するか、デバイスにマルウェアをダウンロードする。チャットで偽の面接を行った後、「採用」する者もいる。その後、直接入金設定のために銀行の詳細を求めたり、機器、身元調査、オンボーディング資料の前払い料金を請求したりする。2025年、FTCは300万件の詐欺報告を受け、損失総額は159億ドルに達した。
プロフィールを公開で「求職中」に設定しているLinkedInの求職者は特に脆弱だ。このフラグは、あなたがアプローチを受け入れやすい可能性があることを示すためだ。正式な面接や書類なしに求人オファーが届いたり、開始前に何らかの支払いを求められたりした場合は、すぐに立ち去るべきだ。
2. 偽リクルーター詐欺
偽リクルーター詐欺は、偽の求人投稿よりも一歩進んでいる。ここでは、完全に構築されたLinkedInのペルソナが、正規の人材獲得専門家になりすます。多くの場合、盗まれた顔写真、もっともらしい雇用主のリスト、少数の共通のつながりを持っている。
仕組み:偽のLinkedInリクルーターは、あなたのキャリアの野望について説得力のある会話を行い、その後、悪意のあるリンク、データ収集アプリケーションフォーム、または自宅の住所、生年月日、社会保障番号の要求へと誘導する。これらはすべて、日常的な事前審査ステップとして宣伝される。危険信号は、リクルーターのメールドメインが、彼らが代表すると主張する企業と一致しない場合だ(例えば、「グーグルのリクルーター」のメールが@gmail.comで終わる)。
昨年、FTCは100万件以上の報告を受けたなりすまし詐欺について、消費者は35億ドル以上の損失を報告した。
3. LinkedInのフィッシングメールとメッセージ
フィッシングは、サイバー犯罪者の手口の中で最も古いトリックの1つであり、LinkedInはなりすまされるブランドの1つとなっている。2022年、LinkedInはフィッシングキャンペーンで最も偽装されるブランドのリストでトップとなり、単一四半期のすべてのフィッシングメールの半分以上を占めた。
仕組み:LinkedInから送信されたように見えるメールまたはプラットフォーム内メッセージを受信する。プラットフォームのブランディング、ロゴ、トーンを模倣し、新しいつながりリクエスト、求人機会、または緊急の「セキュリティアラート」を通知する。リンクをクリックすると、説得力のある偽のLinkedInログインページに移動し、認証情報を取得するか、マルウェアを直接ダウンロードする。詐欺師が使用する件名には、「今週3件の検索に表示されました」「あなたのプロフィールが閲覧されました」「アクション必要:アカウントを確認してください」などのバリエーションがある。
送信者のメールアドレスが@linkedin.comで終わっていることを常に確認する。「linkedin-support@gmail.com」のようなバリエーションではない。クリックする前にリンクにカーソルを合わせて、実際にどこに誘導されるかを確認する。疑わしい場合は、リンクをたどるのではなく、新しいブラウザタブでlinkedin.comに直接アクセスする。疑わしいメールはphishing@linkedin.comに報告できる。
4. LinkedInテクニカルサポート詐欺
「テクニカルサポート」詐欺は、LinkedInブランド自体を利用する。メールまたはLinkedInメッセージでメッセージが届き、LinkedInのカスタマーサポートチームからのものであると主張し、アカウントが侵害された、異常なアクティビティのフラグが立てられた、または停止のリスクがあると警告する。
仕組み:詐欺師は、電話番号に電話するか、リンクをクリックして身元を「確認」するよう促す。電話をかけると、ログイン認証情報、支払いカードの詳細、位置情報の詳細、またはコンピューターへのリモートアクセスの許可を求められる場合がある。リモートアクセスを許可することは特に危険だ。詐欺師がマルウェアをインストールしたり、デバイスをスパイしたり、保存されたパスワードや財務データを盗んだりすることができる。
覚えておくべき重要なことは、LinkedInは電話ベースのカスタマーサポートを提供していないということだ。「LinkedInサポート」からのものであると主張し、リモートアクセスまたは機密アカウント情報を要求する電話またはメッセージは、詐欺に相当する。正規のアカウントセキュリティの問題は、linkedin.comの公式ヘルプセンターを通じて処理される。
5. LinkedInメッセージ詐欺とスピアフィッシング
すべてのLinkedInメッセージ詐欺が鈍いわけではない。スピアフィッシング攻撃は、公開プロフィールの詳細なプロフェッショナル情報を使用して、詐欺として認識するのがはるかに困難な、高度にパーソナライズされたメッセージを作成する。
仕組み:サイバー犯罪者は、あなたの雇用主、役割、つながりを調査し、同僚、クライアント、パートナー、または業界の専門家になりすましたメッセージを送信する。実際のプロジェクトや企業のイニシアチブへの言及を含む。メッセージは通常、リンクをクリックする、共有ドキュメントを確認する、ログイン認証情報を提供する、または単につながることを求める。
これらの攻撃は、個人を標的にすることも、組織全体に対して武器化することもできる。詐欺師がパーソナライズされたLinkedInメッセージを通じて従業員の認証情報を取得した場合、それらを使用してLinkedInをはるかに超えた企業システムにアクセスできる。
明らかなつながりからのメッセージであっても、予期しないチャネルを通じてリンクをたどるか情報を提供するよう求めるメッセージには疑いを持つべきだ。
6. LinkedIn WhatsApp詐欺
LinkedIn詐欺における最も明確な危険信号の1つは、会話をプラットフォームから離れ、WhatsApp、Telegram、Signal、または別のメッセージングアプリに移動するよう求められることだ。この転換は意図的だ。LinkedInは詐欺行為を積極的に監視しているが、サードパーティアプリは詐欺師に監視されていない空間を提供する。
仕組み:最初の連絡を取った後、詐欺師はすぐに「WhatsAppでコミュニケーションする方が簡単です」または「当社は候補者にこのチャネルを使用しています」などと言う。LinkedInから離れると、詐欺師はプラットフォームの詐欺検出ツールなしで活動でき、報告したり、相互作用の痕跡を保存したりすることがはるかに困難になる。
正規のリクルーターまたはビジネス連絡先は、LinkedIn、企業メール、または正式なビデオ通話でプロフェッショナルなコミュニケーションを行うことに抵抗がない。個人のメッセージングアプリへの移動を求める要求は、特に相手の身元を独立して確認する前は、重要な警告サインとして扱うべきだ。
7. LinkedInロマンス詐欺(豚の屠殺)
LinkedInのロマンス詐欺は、存在する中で最も経済的に壊滅的な詐欺カテゴリの1つに進化した。現代版は、詐欺師が金銭的な「屠殺」の前に愛情で被害者を「太らせる」戦略にちなんで、しばしば「豚の屠殺」と呼ばれる。ブロックチェーン分析企業Chainalysisによると、2024年に前年比で約40%成長し、その年の暗号資産詐欺収益の総額は少なくとも99億ドルで、豚の屠殺はその数字の約3分の1を占めた。
仕組み:詐欺師はLinkedIn上で説得力のあるプロフェッショナルなペルソナを作成し、つながりリクエストを送信する。思慮深いメッセージ、共通の興味、冗談、愛情や友情の表現を通じて、本物のような関係を築く。最終的に、「見逃せない」暗号資産または投資機会を紹介し、架空の利益を示す偽の取引プラットフォームに誘導する。投資すると、すべてを持って姿を消す。
オハイオ州で文書化されたケースでは、被害者が「Kristina Tian」を装った詐欺師からLinkedInを通じて連絡を受けた後、50万ドルの貯蓄の半分を失った。新しいつながりがすぐに異常に気配りになる場合、特に金融トピックを紹介する場合は、常に疑いを持つべきだ。
8. LinkedIn暗号資産と投資詐欺
一部の詐欺は直接的な投資の売り込みだ。ファイナンシャルアドバイザー、暗号資産アナリスト、トレーダー、またはウェルスマネージャーであると主張する誰かからのつながりまたはメッセージで、「独占的な」プラットフォームまたは戦略を通じて並外れたリターンを約束する。
仕組み:詐欺師は、大規模な利益を示す取引ダッシュボードの捏造されたスクリーンショットを共有したり、有名な金融機関で働いていると主張したり、信頼性を確立するために偽の有名人の推薦を引用したりする場合がある。「投資プラットフォーム」にサインアップして初期預金を行うよう促す。初期の「リターン」は架空だが、より多くの投資を促すために画面上に存在する。引き出そうとすると、発明された「税金」または「処理料金」に見舞われる。お金は回収不可能だ。
2024年のFTC報告によると、2024年半ばまでに、暗号資産詐欺に関連して個人が報告した損失の中央値は5400ドルで、一般的な詐欺の447ドルをはるかに上回った。プロフィールがどれほど信頼できるように見えても、一方的な投資機会には深い懐疑心を持つべきだ。正規のファイナンシャルアドバイザーは、SECまたはFINRAに登録されている。資金を送金する前に、常に独立して確認する。
9. LinkedInプレミアムと調査詐欺
詐欺師はまた、LinkedInの有料サービスとプラットフォームのプロフェッショナル開発の文化を悪用する。メッセージまたは広告は、大幅に割引された「LinkedInプレミアム」サブスクリプション、無料トライアル延長、景品、またはアンケートに回答することでギフトカードや現金を提供する「スポンサー付き調査」を宣伝する場合がある。
仕組み:偽のプレミアムプロモーションは、クレジットカード情報を取得する偽装された支払いページにリダイレクトする。報酬を約束する調査詐欺は、多くの場合、リード生成の罠だ。「調査」は個人情報を求め、標的型フィッシングキャンペーンに使用されるプロフィールにコンパイルされるか、サードパーティのデータブローカーに販売される。時折、調査リンクはデバイスにトラッキングCookieまたはマルウェアをインストールする。LinkedInプレミアムサブスクリプションと公式オファーは、linkedin.com自体を通じてのみ利用可能だ。LinkedInサービスのプラットフォーム外プロモーション、または現金や賞品を提供する調査は、極度の注意を払って見るべきだ。
10. アカウント乗っ取り攻撃
詐欺師があなたを直接だますことができない場合、信頼できるつながりになりすますために他の誰かのアカウントを乗っ取ろうとする場合がある。アカウント乗っ取りは通常、成功したフィッシング攻撃に続くか、データ侵害で漏洩した認証情報を悪用する。
仕組み:詐欺師が実際のLinkedInアカウント、おそらく同僚、ベンダー、友人のアカウントを制御すると、すでに知っている誰かから送信されたように見えるメッセージを送信するためにそれを使用する。これらのメッセージには、悪意のあるドキュメントへのリンク、緊急の送金要求、または投資機会への招待が含まれる場合がある。長年にわたり、数百万人のLinkedInユーザーからの情報を公開するデータ漏洩の報告が複数あり、サイバー犯罪者に十分な原材料を提供している。
性格に合わない、疑わしいコンテンツやリンクを含む、または金銭や機密情報の要求を含む、連絡先からの予期しないメッセージに注意する。
LinkedInで詐欺に遭った場合の対処法
LinkedIn詐欺の被害に遭ったと思われる場合は、迅速に行動する。対応の速さが、金銭的および評判上の損害を制限できるためだ。実行すべき主要なステップは次のとおりだ。
- すべての連絡を停止する。LinkedInおよびコミュニケーションを取っている他のプラットフォームで詐欺師をブロックする。
- LinkedInに報告する。プロフィールまたはメッセージの「報告」ボタンを使用するか、疑わしいメールをphishing@linkedin.comに転送する。
- 当局に報告する。米国では、reportfraud.ftc.govでFTCに、ic3.govでFBIのインターネット犯罪苦情センターに苦情を申し立てる。暗号資産が関与している場合は、cftc.govでCFTCにも報告する。
- 銀行またはカード発行会社に連絡する支払い情報を共有したり、送金したりした場合。できるだけ早く凍結または取り消しを要求する。クレジットカードの請求は取り消し可能な場合がある。電信送金と暗号資産取引は通常そうではない。
- LinkedInパスワードを変更する同じ認証情報を共有する他のアカウントも変更する。まだ有効にしていない場合は、2要素認証を有効にする。
- すべての証拠を保存する。会話のスクリーンショットを撮り、メールヘッダーを保存し、詐欺師が使用したプラットフォーム名、ウォレットアドレス、または電話番号をメモする。これらは調査員にとって貴重なものとなる可能性がある。
- 社会保障番号やパスポートなどの個人識別情報が共有された場合は、主要な信用調査機関(Equifax、Experian、TransUnion)に詐欺アラートまたは信用凍結を設定することを検討する。
LinkedIn詐欺を回避する方法
LinkedIn詐欺に対する最も効果的な盾は、健全な懐疑心と一貫したセキュリティ衛生の組み合わせだ。ベストプラクティスには次のものが含まれる。
- 独立して確認する。リクルーター、求人オファー、または投資の売り込みに応答する前に、LinkedInとGoogleで個人と企業を別々に検索する。リクルーターのプロフィールが企業の公式従業員ディレクトリと一致することを確認する。
- プライバシー設定を調整する。つながり、連絡先情報、アクティビティを誰が見ることができるかを制限する。「求職中」バッジを全員に公開する必要があるか、リクルーターのみに公開する必要があるかを検討する。
- 仕事を得るために支払わない。正規の雇用主は、開始前に応募料金、機器預金、身元調査料金、またはトレーニング費用を請求しない。
- LinkedInアカウントで2要素認証(2FA)を有効にする。これにより、パスワードが侵害された場合でも、不正アクセスを防ぐことができる。
- 強力で一意のパスワードを使用する。1Password、Bitwarden、NordPassなどのパスワードマネージャーは、サイト間で再利用することなく、認証情報を生成および保存するのに役立つ。
- プラットフォーム外の要求に注意する。正規のプロフェッショナルな連絡先は、公式チャネルを通じてコミュニケーションを取ることに抵抗がない。身元を確認する前にWhatsApp、Telegram、Facebook、Signalに移行する要求は、即座の危険信号だ。
- すべての投資機会にフラグを立てる。正規の投資機会は即座の行動を必要としない。誰かが金銭的決定について迅速に行動するようにあなたに圧力をかけている場合、その緊急性自体が詐欺メカニズムだ。
- LinkedInの組み込みの安全ツールを使用する。求人投稿とリクルータープロフィールの検証バッジ、メッセージ警告、詐欺検出機能が導入されている。プロフィールと求人投稿でLinkedIn検証済みバッジを探し、疑わしいものに気づいたら「報告」機能を使用することをためらわない。
- ID保護サービスを検討する。Aura、LifeLock、IDShieldなどのツールは、ID盗難の兆候を監視し、あなたの名前で開設された新しいアカウントについて警告し、一部は詐欺損失に対する金融保険も提供する。
特定の業界は、餌として不釣り合いに使用される。テクノロジーの役割は、高給で豊富であるため、特に一般的だ。金融、医療管理、物流の役割も頻繁に模倣される。「バーチャルアシスタント」「カスタマーサービス担当者」「データ入力スペシャリスト」などのリモートファーストの職種は、アクセスしやすく聞こえ、最小限の検証を必要とし、幅広い求職者にアピールするため、頻繁に表示される。
公開の「求職中」バッジを持つ人、最近の卒業生、仕事の合間の人、経済的に脆弱な状況にある人は、最も標的にされる可能性が高い。詐欺師はLinkedInのアクティビティを積極的に監視し、緊急性の兆候を探す。
LinkedIn詐欺はこれまで以上に巧妙で高額だ。一方的なアプローチには常に懐疑的であり、仕事を得るために支払わず、オンラインで行うすべてのつながりを再考し、クリック、共有、応募、投資する前に常に確認する。
