メール改竄とは何か

メール改竄とは何か

DMARCで偽メール、即見抜く

2024年6月11日
著者: Ahona Rudra
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 What is Email Spoofing? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メール改竄対策は、メールのセキュリティ体制を強化するうえで重要な要素です。
その理由は次の通りです。メール改竄はインターネット詐欺の一種です。
ハッカーが正規の企業や人物から送られたように見せかけたメールを送信し、この偽のメールを使って受信者を騙し、機密情報を漏えいさせる手口です。

これは2つの方法で行われます。
1つはあなたのメールアドレスを偽造する方法、もう1つはあなたのアドレスに似せた偽のメールアドレスを作成する方法です。

メール改竄対策は、なりすまし攻撃の初期段階でそれを阻止することにより、攻撃者が機密情報を盗むのを防ぎます。
最新のフィッシング統計を確認することで、自ら脅威の状況を把握することもできます。

重要なポイント

  1. メール改竄は、正規のものに見える詐欺メールを通じて、個人に機密情報を漏らさせる可能性があります。
  2. 組織は特にメール改竄攻撃の標的になりやすく、その結果、重大なデータ漏えいや金銭的損失を招くことがあります。
  3. DMARCは、メールの認証を行い、偽装の試みを防ぐために、企業が導入すべき重要な仕組みです。
  4. 改竄されたメールを見抜くには、送信者のドメインを確認すること、明らかな誤りを探すこと、そして不審なリンクをクリックする前に確認することが重要です。
  5. DMARCのMSP(マネージドサービスプロバイダー)になることで、組織はメールセキュリティを強化し、顧客を詐欺から保護するためのツールを活用できるようになります。

メール改竄とは?

メール改竄をわかりやすく説明すると、誰かがあなたから送られたように見せかけたメールを送信することを指します。
実際にはあなたが送っていないのに、「送信者(From)」アドレスを偽装して、受信者にそのメールがあなたの会社や銀行、友人などの信頼できる相手から届いたと思い込ませるのです。
しかし、実際にはそのメールは詐欺師から送られたものです。

メール改竄の仕組み

なりすまし(アイデンティティの盗用)の一種として、改竄では攻撃者が他人の名前を装ってメールアドレスを偽装します。
メールは最も信頼されている通信手段の一つであるため、人々は警告のサインを無視して、知らない送信者からのメールを開いてしまうことがよくあります。
そのため、メール改竄対策が不十分だと、企業に深刻な影響を及ぼす可能性があります。

攻撃者があなたの会社や取引先から送られたように見せかけてメールアドレスを偽装すると、従業員を騙してフィッシングメールを開かせたり、返信させたりすることができます。
これらのフィッシングメールには、ウイルスやその他のマルウェアに誘導する悪意のあるリンクが含まれている場合や、将来的にあなたの会社に対する攻撃に利用される可能性のある個人情報を求める内容が含まれている場合があります。

ハッカーがメールアカウントを改竄する方法

ハッカーはメール改竄を使って自身の身元を偽り、あなたのメールアカウントにアクセスします。
改竄はさまざまな方法で行われますが、ここでは最も一般的な手法を紹介します。

オープンSMTPリレー
ご自宅のコンピュータやネットワークからメールを送信している場合、システムにオープンSMTPリレーが存在する可能性が高いです。
これは、誰でもあなたのサーバに接続して、あたかもあなたが送信しているかのようにメールを送信できることを意味します。
表示名の改竄
表示名の改竄は比較的見分けやすいです。
ハッカーはメールアカウントの表示名を、「security@domain.com」のように自分が望む名前に変更します。
問題は、表示名が変更されているかどうかを確認するのは簡単で、送信者名にマウスを重ねれば分かることです。
「John Smith」ではなく「security」と表示されていれば、それは改竄されていると分かります。
正規ドメインの改竄
この場合、ハッカーは正規のものに似せた偽のウェブサイトを立ち上げます(例えば @gmail.com の代わりに @googlemail.com のように)。
彼らはログイン情報やその他の個人情報を求めるメールを送信し、その情報を自分で利用するか闇市場で販売します(前者はフィッシングとして知られています)。
Unicode改竄
Unicode改竄は、ドメイン名の改竄の一種で、ドメイン名の中の ASCII 文字の代わりに、見た目が似ている Unicode 文字を使う手法です。
この手法を十分に理解するには、キリル文字やウムラウトのような非ラテン文字が使われるドメインで用いられるエンコーディング方式に精通している必要があります。
Punycode は、Unicode 文字をラテンアルファベット、ハイフン、数字(0~9)で表現する ASCII 互換エンコーディング(ACE)表現に変換する方法で、これを利用できるようにするために開発されました。
また、多くのブラウザやメールクライアントは Unicode ドメインを表示します。
類似ドメインによる改竄
類似ドメインとは、攻撃者が既存のドメイン名をほぼそのままコピーして登録し、そのドメイン名を使ってあたかも貴社が所有しているかのようにスパムやフィッシング攻撃を仕掛けることを目的としたものです。
ドメイン名が非常に似ているため、ユーザはメールヘッダのすべてを注意深く読まないと両者を見分けられないことが多いです。
ソーシャルエンジニアリング手法
ソーシャルエンジニアリングは、人を騙して機密情報を引き出すハッキングの一種です。
ハッカーはしばしば友人、家族、または同僚になりすまし、電話やメールを通じて、疑うことのない被害者からパスワードやクレジットカード番号などの情報を入手します。

メール改竄が危険な理由

企業は特に脆弱です。なぜなら、ハッカーがクレジットカード番号や社会保障番号などの機密情報を狙って攻撃の標的にすることが多いからです。
このようなデータが、メール改竄を通じて行われるフィッシング攻撃によって第三者に渡ってしまうと、事業者に多大な損害を与える可能性があります。

企業がメール改竄によって被害を受ける一般的な2つの方法は、
1つは自社のドメインからフィッシングメールが送られる場合、もう1つは類似ドメインを使用して企業になりすまされる場合です。

改竄されたメールがもたらす危険

改竄されたメールはパンドラの箱のようなもので、サイバー攻撃の高い割合(ある研究では70%以上と示唆されています)が悪意あるメールから始まり、多くのデータ漏えいが改竄のようなソーシャルエンジニアリング手法を伴います。
これらは多くのトラブルを引き起こし、次のような危険な結果を招くことがあります。

  1. 改竄によって、あなたになりすましたフィッシングメールが送信され、ログイン情報やクレジットカード情報などの機密データが盗まれる可能性があります。
  2. 改竄はBEC(ビジネスメール詐欺)攻撃を引き起こすこともあります。
    サイバー犯罪者は、正規の企業幹部になりすまして送金を指示したり、機密情報を共有させたりします。
  3. 改竄されたメールは、マルウェアやスパイウェアの拡散、さらにはランサムウェア攻撃につながることもあります。
  4. あなたのドメインに対して繰り返し改竄攻撃が行われると、企業の評判が大きく損なわれ、ブランドへの信頼が低下します。
    その結果、顧客が正規のメールであっても開封をためらうようになる可能性があります。
    また、これには商標権や知的財産権の侵害が関係する場合もあります。
    このような攻撃は、企業に多大な金銭的損失をもたらす可能性があります。
  5. 改竄攻撃が繰り返し成功すると、個人情報の盗用やアカウントへの不正アクセスにつながるおそれがあります。
  6. メールドメインの保護を怠った組織は、複数のコンプライアンス枠組みにおいて、規制罰金や法的責任を問われる可能性があります。
  7. サプライヤーやベンダーを標的とした改竄メールは、ビジネス関係を危険にさらし、不正取引、データ漏えい、または業務の中断を引き起こすことがあります。

メール改竄の検出と防止

信頼している相手からメールを受け取ったのに、「送信者(From)」欄にその名前が表示されていない場合は注意してください。
それは改竄攻撃の可能性があります!

メール改竄の兆候を見抜く方法

予防策

1.メール認証方式

SPF(Sender Policy Framework)
メール認証プロトコルの基本の一つであり、DKIMやDMARCと併用することでメール改竄を防止するのに役立ちます。
SPFは、自分のドメインからメールを送信することを許可された送信元を認証する仕組みです。
DKIM(DomainKeys Identified Mail)
すべての送信メールに署名を付与し、メールの改竄を防ぐためのメール認証プロトコルです。
DMARC(Domain-based Message Authentication, Reporting & Conformance)
DMARCは、組織が改竄やフィッシング攻撃から自らを保護するためのメール認証プロトコルです。
これはSPFとDKIMの上位レイヤーとして機能し、ドメイン所有者が受信サーバに対して、SPFまたはDKIMの認証や整合性チェックに失敗したメールをどのように処理すべきか(例:隔離、拒否、配信)を定義するポリシーを公開できるようにします。

:DMARCは、ドメイン自体を直接偽装するタイプの改竄攻撃からドメインを保護できますが、類似ドメインを用いた攻撃には効果がありません。

2.追加のセキュリティ対策

従業員の教育
従業員は、攻撃に対する最初の防衛線となるため、メール改竄を防ぐうえで重要な役割を担っています。
組織は、フィッシングの兆候を見分ける方法、送信者情報の確認方法、そして不審なメールへの適切な対応方法についての教育を実施する必要があります。
BIMIの有効化
BIMIBrand Indicators for Message Identification)は、DMARCポリシーの適用を前提とし、受信者の受信トレイにブランドロゴを直接表示できる視覚的なメールセキュリティ機能です。
BIMIは信頼性と信用を高め、受信者が偽のメールを見抜きやすくします。
BIMIを正しく構成するには、ドメインに適用されたDMARCポリシー(p=quarantine または p=reject)と、BIMI準拠のSVGロゴが必要です。
AIベースのメールセキュリティツールの活用
AIを活用した脅威インテリジェンス技術は、サイバー攻撃を発生前に検知・防止するのに役立ちます。
この技術を統合したメールセキュリティツールを使用することは、サイバー詐欺と戦うための現代的なソリューションです。

メール改竄被害に遭った場合の対処法

自分のメールアドレスが改竄攻撃に利用された疑いがある場合は、以下のドメイン改竄対応のベストプラクティスに従ってください。

よくある質問

1.メール改竄とフィッシングの違いは何ですか?
改竄は、正規の送信者のメールアドレスを偽造する行為です。
フィッシングは、疑うことのない被害者を騙して機密情報を漏らさせようとする行為です。
改竄は、フィッシング攻撃の中でよく利用される手口の一つです。
2.無料のメールプロバイダ(GmailやYahoo)は改竄を防ぐことができますか?
GmailやYahooのような無料のメールプロバイダは、ユーザ宛に送信された改竄メールを検出することはできますが、他者があなたのドメインを改竄して利用するのを完全に防ぐことはできません。
3.DMARCですべての改竄攻撃を防止できますか?
いいえ。DMARCは、ドメインを直接偽装するタイプの改竄攻撃に対してのみ有効です。
類似ドメインを使用した攻撃を防ぐことはできません。
4.自分のドメインが改竄されているかを確認するにはどうすればよいですか?
ドメインに対してDMARCレポート機能を有効にしてください。
この包括的なレポートによって、不正な送信の試み、認証の失敗、メール配信に関する問題などを把握することができます。

まとめ

メール改竄はサイバー世界で最も根強い脅威の一つですが、企業は適切なツールと戦略を導入することでそれを防ぐことができます。
継続的な監視、メール認証のベストプラクティスの遵守、そして改竄対策ツールへの投資によって、大部分のリスクを軽減することが可能です。

メール改竄を防止することで、企業は大規模な金銭的損失や次なる重大なデータ漏えいからブランドを守ることができます。
今こそ積極的に行動を起こし、無料のDMARCトライアルに登録して、自社ドメインを改竄から保護し始めましょう。