表示名なりすましの定義・手法・検出方法および防止策

スパムフィルタを通過するなりすましメール

2023年9月19日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 Display Name Spoofing: Definition, Technique, Detection, and Prevention の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

2020年以降、ブランドへのなりすましが30%以上も急増しており、さらに恐ろしいことに、サイバー攻撃の98%が表示名なりすましのようなソーシャルエンジニアリングの要素を一つ以上含んでいるという事実があります。

表示名なりすましの定義によれば、これは標的型フィッシング攻撃であり、メールの表示名を操作して変更します。
これにより、通常、評判の良い企業や友人などの正当な送信元から送られたかのように見せかけることができます。
このブログでは、表示名なりすましが何であるか、それをどのように防ぐかなどについて説明します。

表示名なりすましとは？

表示名なりすましは、詐欺メールを正当なものに見せかけるためにサイバー犯罪者が用いる手口です。
一般的な方法として、受信者が個人的に知っている、そして頻繁にメールをやりとりしている相手になりすまします。
それは上司、同僚、ビジネスパートナー、カスタマーケア担当者などである可能性があります。

目的は、信頼関係を築き、銀行の詳細情報、社会保障番号※、OTP（ワンタイムパスワード）、ログイン情報、重要な文書、健康診断書、パスポートの詳細などの機密情報を入手することです。
彼らは、オンライン取引を騙ることさえあります。

※訳注：社会保障番号とは、アメリカで利用されているマイナンバーのようなID番号です。

悪名高い実際の表示名なりすましの例の一つとして、2013年から2015年の間にGoogleとFacebookが1億ドルも騙し取られたケースがあります。
攻撃者は、両社が台湾に本社を置くQuantaという会社をベンダとして利用しているという事実を悪用しました。
彼らはQuantaになりすまして偽の請求書を一連のメールで会社に送りつけ、FacebookもGoogleもそれを支払ってしまいました。

表示名なりすましはどのように機能するのか？

表示名なりすましとはどのような手口なのか見てみましょう。

詐欺師は、Gmail、Yahoo、Outlookなどの無料のメールサービスプロバイダを使用して新しいメールアドレスを作成します。
新しいメールアドレスは、なりすまし対象のアドレスに似ており、同じ表示名が付けられます。
このメールアドレスは技術的には問題なく、偽造もされていないため、スパム対策フィルタを回避することができます。

この手法は、受信者が多くの場合、メールアドレスではなく表示名だけを見るという単純な事実に基づいています。
また、ドメイン名が欠落しており、ESP（無料のメールサービスプロバイダ）の名前が記載されていたとしても無視して、それを送信者の個人的なメールアドレスだと認識します。

詐欺師はまた、本物の送信者から来ているかのように見せかけるために、メールの最後に本物と同じメール署名を使用します。

なぜ携帯端末では表示名なりすましが成功しやすいのか？

表示名なりすましが携帯端末でより成功しやすいことをご存知でしょうか？
これは携帯端末がメタデータ（メールの詳細情報）を表示しないためです。
そのため、受信者は「From:」アドレスではなく、表示名しか目にしません。

これにより、このような詐欺が簡単に成功し、被害者が機密情報を共有したり、悪意のあるリンクをクリックしたり、オンライン取引を行ったりする可能性が高くなります。

表示名なりすましメールはどのようにしてスパム対策メールフィルタを通過するのか？

表示名なりすましを止める方法を知ることは非常に重要です。
なぜなら、スパム対策メールフィルタによる一般的な検査では正当なものとして判断されるためです。
これは、メールサービスプロバイダがメールアドレスの上に表示名だけを表示するために起こります。

これらのメールは、不要な・不審な、またはウイルスに感染したリンクのような疑わしいコンテンツがないため、フィルタを通過します。
したがって、スパム対策フィルタは、外部へのフィッシング攻撃、なりすまし攻撃、ドメインなりすまし、マルウェア、ランサムウェアに対しては効果的がありません。

※訳注：たとえ自社が顧客や取引先などの外部のためにスパム対策フィルタを用意したとしても、攻撃を止めることはできない、という意味です。

DMARCを使用することで、これらのサイバー犯罪からドメインを保護することができます。
DMARCとスパム対策ソリューションの違いについての詳細は、こちらからご覧いただけます。

表示名なりすましメールを防ぐには？

表示名なりすましを防ぐためには、不正なメールを見抜くための警戒ポイントを、自分自身と従業員に教育する必要があります。
以下に注意すべき点を挙げます。

怪しい送信者のアドレス

特にドメイン名に注意を払って、メールアドレスを確認することで、会社名でのなりすましメール攻撃を効果的に防ぐことができます。
また、以前のやり取りで交換したメールアドレスと照らし合わせて確認してください。

SSL証明書がない

SSLはSecure Sockets Layerの略で、オンラインでのやりとりを保護するコードです。
これはドメイン名、所有者、関連するサブドメインなどにの情報を保持しています。

ですから、「http」で始まるリンクではなく「https」で始まるリンクのみをクリックしてください。
この「s」はSSLによって保護されていることを示しています。

SSL証明書がないWebサイトは、詐欺行為に関連している可能性があります。
書かれている内容を読むだけであれば問題ありませんが、それらのサイトに何らかの情報を入力することは絶対に避けてください！

プロ意識に欠けたコンテンツ

文法やスペルミス、プロ意識に欠けたグラフィック、および形式が整っていないメールに注意してください。
ハッカーはこのような作業を専門家に依頼することはないからです。
さらに、「1時間以内に」「遅れずに」といった言葉を使って緊急性を感じさせ、あなたが内容を急いで読むように仕向けて、ミスに気づかせないようにします。

クリックする前にリンクを確認

クリックせずにカーソルをリンクやハイパーリンクされたテキストの上に置き、画面の左下を見てください。
リンクの全文が表示されます。

間違いがなければ、そのWebページを開くためにクリックしてください。
もし誤ってフィッシングへのリンクをクリックしてしまった場合は、インターネットから切断し、ウイルススキャンを実行してください。

変わったリクエスト

OTP、パスワード、社会保障番号、財務詳細など、重要な情報を共有するように求められた場合、それはフィッシングへのリンクである可能性があります。
ログインページに誘導するリンクには特に注意が必要です。

チームメンバーに教育を施す

表示名なりすましやその他の種類のサイバー攻撃を防ぐ方法について、チームメンバーを教育してください。
差出人不明（のメール）、変わったリクエスト、切迫感があるトーン、要求していない添付ファイルやリンクなど、注意が必要なサインについて指導してください。

スマートなメール活用が鍵

表示名なりすましの手法を用いたオンライン犯罪は一般的であり、特にIT関連企業をターゲットにしたものが多くなっています。
ハッカーは、評判の良い企業、同僚、友人、上司などの名前で、機密情報や送金を求めるメールを送ります。
スパム対策フィルタでさえも、フィッシングやなりすまし攻撃からドメインを保護することはできません。

これらを防ぐためには、SPFやDMARCのようなメール認証プロトコルを使用する必要があります。
SPF（Sender Policy Framework）は、ドメインを使用してメールを送ることが許可されたIPアドレスのリストを使用します。

一方、DMARCは、ドメインから送られた未認証のメールをどのように扱うか、受信者のメールボックスに指示を出します。
DMARCポリシーとしては、none（なし）、reject（拒否）、quarantine（隔離）のいずれかを使用することができます。

PowerDMARCの無料トライアルから、SPFやDMARCを設定できます。