DMARCとなりすましドメイン:どのようにしてお客様を保護するか?

DMARCとなりすましドメイン:どのようにしてお客様を保護するか?

偽装ドメインを見破れ

2024年7月4日
著者: Ahona Rudra
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 DMARC and Lookalike Domains: How Can you Protect Your Customers? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

理想的な世界では、DMARCはメールセキュリティの究極の解決策になり得たかもしれません。
しかし、DMARCとなりすましドメイン(Lookalike Domains)が関わることで、サイバーセキュリティの脅威に対処することはこれまで以上に困難になっています。
ビジネスの世界でメール通信への依存が高まり、新しいクラウドベースのサービスが台頭する中、メールは攻撃者が最も狙う主要な経路となっています。

多くの企業は、これらの攻撃リスクを軽減するためにメール認証プロトコルを実装していますが、ドメインなりすましのような偽装攻撃はその監視をすり抜ける可能性があります。
本記事では、DMARCおよびなりすましドメインに関連するリスクを検証し、なりすましドメイン攻撃からお客様を保護するための他の方法を探ります。

重要なポイント

  1. なりすましドメインは、正規のアドレスを装ってユーザをだまし、機密情報を提供させようとします。
  2. サイバー犯罪者は、タイポスクワッティング(タイプミスを利用したドメイン登録)やサイバースクワッティング(類似ドメインの悪用)といった手法を使い、似たドメイン名を詐欺目的で悪用します。
  3. DMARCは有用ではありますが、高度ななりすましドメイン攻撃を完全に防ぐことはできない場合があります。
  4. 企業は、なりすましリスクを軽減するために、複数のドメインバリエーションを購入することを検討すべきです。
  5. 従業員に対して潜在的なサイバー脅威に関する意識を高めることは、組織のセキュリティ体制を強化します。

なりすましドメイン(Lookalike Domain)とは何か?

悪意のある目的を達成するために、サイバー攻撃者は「なりすまし」戦術として、正規の送信元からのメールであると標的に信じ込ませるために、なりすましドメイン(Lookalike Domain)をよく使用します。
攻撃者が企業のセキュリティ構造をすり抜けるために使用するなりすまし攻撃の手法は多岐にわたりますが、その中でも「なりすましドメイン」(別名:カズンドメイン(cousin domains)またはドッペルゲンガードメイン(doppelgänger domains))は最も一般的な手法の一つです。

なりすましドメインとは、正規のドメインに非常によく似せて意図的に作成されたドメインのことで、よく見るまで気づかないようなわずかな変更が加えられています。
例えば、戦略的な欺瞞手法として、なりすましドメインには次のようなタイプミス的な変化が含まれることがあります。
文字「I」を数字の「1」に置き換える、文字の位置を入れ替える、繰り返す、または記号や単語を付け加える、などです。

さらに、詐欺師はトップレベルドメイン(TLD)を入れ替えることもあり、正規ドメインの「.com」を「.net」に変更する、またはその逆にすることで、受信者をだまし検知を回避します。
このように、「From」アドレスをなりすまし対象ブランドのドメインに似せることで、フィッシング攻撃者は標的となるユーザからログイン情報、金融情報、個人情報などの機密データを引き出そうとします。

なりすましドメインの例

これらのなりすましドメインがデジタル空間でどのように現れるのかをよりよく理解していただくために、以下にいくつかの例を示します。

なりすましドメインが危険な理由

予想どおり、なりすましドメインは個人および組織にとって重大な脅威となっています。
サイバー犯罪者は、フィッシング、個人情報の窃取、不正行為などの違法行為を実行するために、これらのドメインを頻繁に利用します。
問題は、これらの偽装ドメインが正規のものと見分けにくいことであり、注意を怠ったユーザが知らず知らずのうちにその手口の犠牲になる可能性がある点です。

なりすましドメインに関連する一般的なリスクには、以下のようなものがあります。

サイバースクワッティング(Cybersquatting)
サイバースクワッティングとは、加害者が商標名やブランド名と同一または類似したドメイン名を登録または使用し、ブランド所有者の知的財産を不正に利用しようとするサイバー犯罪の一種です。
多くの場合、攻撃者はこれらのドメインを安価に取得し、後になって法外な価格で譲渡するよう要求します。
たとえば、シュウェップス(Schweppes)の事例では、サイバースクワッターが「Schweppes.ca」を登録し、利益目的で売却しようとしたことが知られています。
タイポスクワッティング(Typosquatting)
タイポスクワッティングとは、正規のブランド名やWebサイト名のスペルミスや入力ミスを含むドメイン名を登録する、サイバースクワッティングの一種です。
タイポスクワッターのWebサイトは、正規のサイトを模倣するように設計されており、最終的な目的は、疑いを持たないユーザを詐欺サイトへ誘導し、不正な手段で収益を得ることです。

米国の「反サイバースクワッティング消費者保護法(Anticybersquatting Consumer Protection Act)」によると、2013年にFacebookはタイポスクワッターに対する訴訟で損害賠償を勝ち取った最初の大企業となり、100以上のドメインの管理権を獲得しました。
同社は、dacebook.com、facebokook.com、faceboocklogin.com などの誤綴りドメインに対して、約280万ドルもの多額の賠償金を得ました。
グライプサイト(Gripe Sites)
グライプサイトとは、個人、企業、団体、または製品に対する不満や批判、苦情を表明するために作成されたWebサイトのことです。
これらのサイトは、不満を持つ顧客、不平を抱えた従業員、あるいは活動家などが、自分の意見を表現したり、否定的な経験を共有したりする目的でインターネット上に開設します。
しかし、これらのサイトは、企業や個人に関する虚偽または中傷的な情報を拡散するプラットフォームとして利用されることもあり、評判を損なったり、経済的損失を引き起こしたりする可能性があります。

なりすましドメイン・スプーフィング

なりすましドメイン・スプーフィングは、悪意のある者が正規のドメインに酷似した偽のメール用ドメインを作成するサイバー攻撃の一種です。
その目的は、実際には詐欺的なドメインから送信されているにもかかわらず、受信者に正規の送信者からのメールだと信じ込ませることです。
攻撃者は通常、元のドメインに似た名前のメール用ドメインを作成し、気づきにくい小さな差異を加えます。

たとえば、"microsoft.com"の代わりに"microsof.com"のように、正規ドメインと非常に似た名前のメール用ドメインを作成することがあります。
なりすましドメイン・スプーフィングの目的は、ログイン情報、クレジットカード番号、その他の個人情報など、受信者の機密情報を盗み出すことです。
攻撃者はその情報を利用して、なりすましや金融詐欺を行うことができます。

DMARCはなりすましドメイン攻撃からお客様を守るのに十分か?

サイバー攻撃がますます高度化していることを考えると、標準的なメール認証プロトコルだけでは、これらの攻撃に十分対抗できないと言えます。
DMARCは包括的なツールではありますが、なりすましドメインに対してはその有効性が損なわれることがよくあります。
メールを利用したブランドなりすましを防ぐためには、企業は単にDMARCを導入するだけでなく、それ以上の対策を講じる必要があります。

なりすましドメインによるスプーフィングは、しばしばDMARCの適用範囲を回避するからです。
その理由のひとつは、ブランドが保有するすべてのドメインにDMARCを実装することが困難である点にあります。
特に、大規模な企業では、複数の部門、事業部門、パートナー企業がそれぞれの名義でメールを送信しており、管理が複雑になります。

さらに、ドメイン所有者は自分のドメインの名義でメール送信を許可するサーバを指定する必要があるため、複数のドメインを管理する場合、このプロセスは非常に煩雑になります。
多くの企業は「防御用ドメイン(defensive domains)」を多数登録していますが、これは完全な解決策ではありません。
無限に存在し得るドメインのすべてを保護することは、現実的に不可能だからです。

関連情報:DMARCで防げない攻撃とは?

DMARCで防御できるサイバー攻撃

DMARCは、メール詐欺やその他のサイバー攻撃に対する重要な防御層として機能する包括的なツールです。
この仕組みにより、組織は受信メールが正規の送信元から送信されたものであり、詐欺者によって改竄されていないことを検証できます。
DMARCを導入することで、企業は自社および顧客をサイバー攻撃から保護し、自社の信頼性を維持し、デジタル資産を安全に守ることができます。

以下は、DMARCによって防御可能な代表的なサイバー攻撃の例です。

直接ドメイン・スプーフィング(Direct Domain Spoofing)
DMARCは、正規のドメインから送信されたように見せかける「直接ドメイン・スプーフィング」からの保護に役立ちます。
DMARCは、メールが認可されたサーバから送信されているかどうかを検証するため、攻撃者がドメインを偽装して不正なメールを送信することをより困難にします。
フィッシング攻撃(Phishing Attacks)
DMARCは、メールが正規の送信元から送信されていることを検証することで、フィッシング攻撃の防止に役立ちます。
この検証プロセスにより、攻撃者がユーザをだまして機密情報を提供させたり、悪意のあるソフトウェアをダウンロードさせたりする状況を回避することができます。
ランサムウェア(Ransomware)
DMARCは、フィッシングメールにおいて自社ブランドがなりすましに利用されるのを防ぐことで、ランサムウェア攻撃に対する重要な防御策となります。
DMARCは、SPFおよびDKIM認証基準に基づいてメールを認証することで、不正なIPアドレス、改竄、ドメインなりすましを検出・排除することができます。

なりすましドメイン攻撃からお客様を守る方法

DMARCがなりすましドメインに対しては十分な防御力を持たないことを理解した今、企業は自社の評判と顧客の信頼を守るために、シンプルでありながら重要な対策を実施する必要があります。
以下は、なりすましドメイン攻撃からビジネスを保護するための方法です。

Webサイトドメインの購入
このような攻撃から身を守るために、企業は主要なトップレベルドメイン(.com、.net、.org、.ca、.io など)を含むドメイン名を取得することを検討するとよいでしょう。
これにより、攻撃者が偽のドメインを作成することを難しくすることができます。
二要素認証
メール、銀行口座、顧客データを扱うWebサイトなどにおいて、二要素認証を有効にすることは極めて重要です。
万が一、誰かが誤って偽のドメイン上でログイン情報を入力してしまった場合でも、二要素認証によって追加の防御層が設けられ、ハッカーがアカウントへ不正アクセスするのを防ぐことができます。
意識の向上
DMARCやなりすましドメインなど、さまざまなサイバー攻撃とその防止策についてチームに教育を行うことが重要です。
潜在的な脅威について十分な知識を持つことで、従業員は不審なメールをより注意深く見分け、報告できるようになり、組織全体のセキュリティ体制を強化することができます。

まとめ

DMARCを導入することは重要ですが、フィッシング攻撃を軽減し、ブランドのデジタル資産とイメージを完全に保護するためには、なりすましドメインへの防御対策も同様に不可欠です。
PowerDMARCでは、包括的なメール認証ソリューションを提供しており、ビジネスにおける最も重要な通信チャネルを安全に保護することができます。

なりすましに対する確実な防御をお求めですか?
ぜひ当社にお問い合わせいただき、DMARCやなりすましドメイン攻撃について詳しくお知りください。