メール表示名なりすましとその防止策とは?
メール表示名は偽ることが可能です
2022年12月20日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 What Is Email Display Name Spoofing & How To Prevent It? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
メール表示名なりすましは、ソーシャルエンジニアリング攻撃の一種で、データを改竄して個人の認識を不正に変更してしまう影響を与えます。
なりすましメールは、組織の最も誠実な従業員にさえも、CEOやその他の上級管理職と連絡を取っていると思い込ませることができます。
極めて巧妙ななりすましメールは、チェックするはずの人さえもその本物のような見た目に騙されてしまうため、ほとんどの場合、受け入れられてしまうのです。
ハッカーは偽りの身分を利用して、オンライン取引に関わるすべての人に、画面の向こうに別の人物がいることを悟らせず、ある特定の人物と対話しているように思わせます。
したがって、この一連の行為の狙いは、ハッカーがフィッシングを試みる際に「成功するまでごまかす」ことを可能にすることです。
表示名なりすましとは?
メール表示名なりすましとは、詐欺師が(受信者が知っている)誰かの本名をメールの表示名として使用することによって行われるメール詐欺のことです。
これは、なりすましたい相手と同じ表示名で、異なるメールアドレスを持つ通常のメールアカウントを登録することによって行われます。
そのため、受信者は連絡先に登録されている信頼できる人物からメールが来たと思うでしょうが、それは本人ではありません。
例えば、こんな感じです。
ハッカーは、「CEOのベン」がオフィシャルなメールアドレスに設定した表示名と全く同じものを使って、「XYZ社のCEOのベン」になりすますかもしれません。
そして、この偽造した表示名を、「CEOのベン」が実際に使っているメールアドレスとは異なる、通常のメールアドレスに適用します。
Outlookのような最新のメールプラットフォームでは、使いやすさを考慮して、メールの送信者名(実際のFrom:メールアドレスの代わり)を受信者に表示するだけなので、受信者はハッカーによって仕掛けられた罠にかかる可能性があるのです。
受信者は「CEOのベン」から送られた正しいメールであると受け取ります。
なぜなら、From:の項目(ほとんどのメールプラットフォームではデフォルトで非表示になっています)にのみ、「CEOのベン」が実際に使用しているものとは異なるメールアドレスが記載されているからです。
フィッシング詐欺で広がる「表示名なりすまし」、その理由は?
近年、フィッシング詐欺において、表示名のなりすましが行われることが多くなっています。
これは、実際のFrom:メールアドレスと同じ名前を表示することで、多くの人を騙して、実際に知っている人や信頼できる人からのメールであると思わせることができるからです。
➜スマートフォンの普及
スマートフォンの普及により、メール表示名のなりすましがフィッシング詐欺の手口として広まっています。
モバイル端末のメールソフトは、メールのメタデータを表示しないため、メールの表示名のなりすましが可能です。
つまり、受信者が知らない人からのメールを開くと、送信者のメール表示名だけが表示され、From:アドレスは表示されないということです。
お察しの通り、これでは詐欺師が簡単に知り合いと交流しているように騙せてしまいます。
➜なりすまし防御メカニズムの突破
この種の詐欺が効果的なのは、メール表示名なりすましが通常のメールアドレスを経由して行われるからです。
SpamAssassinなどのほとんどのなりすまし対策を回避できるため、これらのフィッシングメールをフィルタリングすることは非常に困難な場合が多いのです。
➜メールのメタデータが隠される
ほとんどの人は、メールは友人や家族から来たように見えるものだという考え方に慣れています。
実際に、ほとんどの人はメールの全てのメタデータを読まないため、その罠にはまってしまうのです。
このような理由から、ハッカーは使いやすさを優先して設計されたユーザインターフェースを標的にすることができるのです。
最近のメールクライアントアプリの多くは、読みやすさを考慮してメタデータを表示しません。
そのため、受信者がクリックして全てのメタデータを確認するまで、From:アドレスは見えないようになっています。
ほとんどの受信者は、メールのやり取りをすべて読むことはなく、表示名だけを頼りに相手を確認します。
そのため、「自分の知っている人に似ているメールなら、正当で安全なメールに違いない」と思い込んでしまい、このフィッシング詐欺に引っかかってしまうのです。
メール表示名なりすましの被害に遭わないためには?
メールの確認に表示名をあてにしない。
確信が持てない場合は、メールのやり取りを見直して、本当にその人からのメールなのかどうかを確かめてください。
表示名なりすましを防ぐために、さらに役立つヒントをご紹介します。
- まず、問題のメールメッセージに移動し、そのメールから全てのメタデータを抽出します。
これにより、送信者の名前、メールアドレス、および完全なメールヘッダ情報にアクセスすることができます。
もしこれがなりすましであれば、メタデータの一部が本物と違っている可能性があります。
例えば、メールアドレスが連絡先リストの他のアカウントと一致しない場合、これはフィッシング詐欺であることを示す明らかな兆候です。 - SPFレコードを確認します。
これは、そのドメインからのメールの配信を許可した(または拒否した)ドメインのリストです。 - DKIMレコードを確認します。
これは、メールの信頼性を確認するために、秘密鍵で署名しているドメインのリストです。
これらのレコードのいずれかが、メールヘッダのドメインと一致しない場合、これはなりすましであることを示す明らかな兆候です。 - DMARCレコードを確認します。
これは、上記のチェックのいずれかに失敗した場合、メールを拒否するポリシーを設定したドメインのリストです。
このレコードとメールヘッダのドメインが一致しない場合は、なりすましの可能性が高いです。 - 公式なページを指しているように見えるハイパーリンクが、どこか別の場所に移動している場合、これはなりすましの可能性があります。
メールの本文にタイプミスやその他の誤りがある場合も、メール表示名なりすましの可能性があります。
メール表示名なりすましに対する配信ルールの作成
配信ルールは、組織外から送信された特定のメールをブロックまたは許可するための方法です。
個々のメールメッセージに適用されるため、これを使用して配信すべきメッセージと配信すべきでないメッセージを指定することができます。
CEO「ベン」の配信ルールは以下の通りです。
このルールは次のような場合に適用されます。
- 送信者が組織の外部にいる。
- メッセージのヘッダ、「From」ヘッダが「ベン」と一致する。
この場合、以下のようにします。
免責事項「<disclaimer>」を前置する。
(訳注: Disclaimer(免責事項)は、メールサーバ側で設定できます。
この配信ルールを使用すると、組織外から来た、Fromヘッダに「ベン」という単語を含むメールメッセージはすべてブロックされ、ユーザー定義のメールボックスに送信されます。
これにより、偽のベンが実際のベンのアドレスや表示名になりすますことができなくなります。
ブロックされた各メッセージに前置きされた免責事項が、「これは本物のビジネスメールではないので、開いたり返信したりしてはいけない」とユーザに警告を出します。
PowerDMARCはビジネス保護のため、どのようにメール表示名なりすましと戦っているのでしょうか?
メール表示名なりすましは増加傾向にあり、PowerDMARCはその対策を支援します。
DKIMやSPFチェックなどのDMARCプロトコルを実施し、なりすましメール対策に不可欠なツールを提供します。
また、機械学習を利用してなりすましメールの脅威の予測モデルを生成し、その予測と高度なコンテンツ分析ツールを組み合わせて、フィッシングメール攻撃に対する防御を最大限に強化します。
そうすれば、従業員を騙してクリックさせようと、誰かがあなたになりすましたメールを送っても、フィルタがメール表示名の偽装やタイポスクワッティングを検出するため、メールを通過させることができなくなります。
(訳注:タイポスクワッティングとは、ある有名なWebサイトのドメインによく似たドメインを取得し、タイプミスしたユーザを誘導する手口のことです)