主なポイント
- フィッシング攻撃は、攻撃者が攻撃を開始する前に、あなたのドメインに関する公開情報を分析する「偵察」から始まります。
- DMARCの設定がない、あるいは適用されていないなど、メール認証の設定が不十分な場合、そのドメインはフィッシング攻撃の標的として格段に狙われやすくなります。
- 攻撃者は、DNS検索、証明書透明性ログ、電子メールのヘッダーなどの手法を用いて、認証上の脆弱性や管理から漏れた資産を突き止めます。
- SPF、DKIM、DMARCのレコード、サブドメイン、および送信者側のインフラを定期的に監査することで、攻撃者が悪用しようとする脆弱性を排除することができます。
- 最善の防御策は、強力な認証の徹底、継続的な監視、そして積極的なドメイン管理を通じて、自社のドメインを攻撃の標的としにくいものにすることです。
多くの人は、フィッシングを「数で勝負する手口」だと考えています。つまり、何百万通ものメールを一斉送信し、誰かがクリックするのを待つというものです。今でもそのような手法で成功するキャンペーンは存在します。しかし、実際に深刻な被害をもたらす攻撃、つまり企業の受信箱に届き、訓練を受けた従業員さえも騙してしまうような攻撃は、ほとんどの場合、メールの送信から始まることはありません。その始まりは、事前の調査にあるのです。
フィッシングの偵察とは、攻撃者が1通のメールを作成する前に、標的となるドメインの特性を把握するために行う体系的なプロセスのことです。攻撃者は、認証記録、DNS設定、サブドメインの分布状況、送信環境の複雑さを調査します。その目的は単純明快です。なりすましメールがフィルタをすり抜け、実際の受信箱に届く可能性が最も高いドメインを見つけ出すことです。
APWGによると、2025年第1四半期だけで100万件以上のフィッシング攻撃が記録されており、FBIの2024年IC3報告書では、フィッシングとスプーフィングが苦情のトップカテゴリーとして挙げられています。 これほどの大規模な攻撃が可能となっている背景には、偵察段階において特別なアクセス権やエクスプロイト、特権ツールが一切必要とされないという事実がある。偵察は、ほぼ完全に公開されている情報のみに依存している。攻撃者が使用するのと同じツールを用いて、攻撃者があなたのドメインについてどのような情報を把握できるかを理解することが、攻撃者が悪用する脆弱性を塞ぐ最も直接的な方法である。
フィッシング偵察とは何か?
フィッシングの偵察とは、攻撃者がキャンペーンの成功確率を最大限に高めるために、標的に関する公開情報を収集する攻撃前の段階を指します。これはOSINT(オープンソースインテリジェンス)の一形態であり、直接的な攻撃や不正アクセスを必要とせずに、すでに一般に公開されている情報源からデータを収集するものです。
メールを悪用したフィッシング攻撃において、偵察活動は主に以下の3点に焦点を当てます。すなわち、標的となるドメインの認証体制を把握すること、その送信およびサブドメインのインフラ全体をマッピングすること、そして、なりすましメールがフィルタリングをすり抜け、受信トレイに到達する可能性が最も高い最も脆弱なポイントを特定することです。認証制御が不十分あるいは存在せず、監視されていないサブドメインがあり、かつ複雑で文書化されていない送信者環境を持つドメインは、理想的な標的となります。
この段階で使用されるツール――DNS検索ツール、証明書透明性ログ、サブドメイン列挙ツール、WHOISレコード、メール認証サービス――は、すべて無料で、公開されたドキュメントがあり、操作に技術的な専門知識を必要としません。どのドメインに対してもフィッシングの偵察を行うためのハードルは低いです。また、何に注目すべきかを知っていれば、それに対する防御のハードルも低いと言えます。
フェーズ1:ドメインの認証状況の確認
フィッシング攻撃者がまず確認するのは、ドメインのDMARCレコードです。これは、無料のDNS検索ツールを使えば数秒で完了し、適用されている適用レベルが即座に判明します。
DMARCポリシーの照会
攻撃者が狙っているのは、p=none、つまりDMARCレコードがまったく存在しない状態です。 p=none に設定されたドメインは、DMARCレコードを公開しており(つまり何らかの監視体制が整っている)、認証に失敗したメールに対して、すべての受信メールサーバーに何の措置も講じないよう指示しています。実際には、攻撃者がそのドメインからなりすましメールを送信しても、受信サーバーはそれが未認証であることを検知できても、ドメイン自身のポリシーでブロックしないよう定められているため、そのメールを配信してしまうことになります。
DMARCレコードがまったく設定されていないドメインは、さらに攻撃にさらされやすい。ポリシーによる指示も、集計レポートも、フォレンジック分析による可視性も存在しないからだ。攻撃者はこうしたドメインを積極的にスキャンし、なりすまし攻撃の標的として優先的に狙う。その理由は、まさにドメイン所有者がなりすまし攻撃を検知・阻止する仕組みを持っていないからである。
p=none は、認証設定に取り組む組織にとって一般的な出発点であり、強制適用に移行する前に監視を開始するのに妥当な段階です。問題は、多くの組織がそこからスタートしたものの、それ以上進まないままになっていることです。p=none の状態で数か月あるいは数年も稼働し続けているドメインは、フィッシング攻撃においてよく知られた標的となりやすい対象として、多くの報告がなされています。
SPFレコードの確認
DMARCのチェックに続いて、攻撃者はSPFレコードを確認します。適切に設定されたSPFレコードには、そのドメインに代わって送信を許可されたすべてのサーバーが列挙され、末尾に「-all」と記載されています。これにより、受信サーバーはリストにない送信元からのメッセージをすべて拒否するよう指示されます。 攻撃者が狙うのは、~all(ソフトフェイル。この場合はメッセージが配信される)や+all(すべての送信者を許可する)で終わる寛容なSPFレコード、あるいはDNSルックアップの制限である10回を超過し、完全に失敗してしまうSPFレコードです。
-all ではなく ~all で終わる SPF レコードには、些細ながらも重要な違いがあります。受信サーバーはソフト失敗を不審とみなしますが、特に DMARC が強制モードになっていない場合は、通常、メッセージを配信します。この組み合わせ(~all を含む SPF と p=none の DMARC)を見抜いた攻撃者は、そのドメインからのなりすましメールが、ほとんどの場合、受信トレイに届くことを知っています。
DKIMの設定チェック
DKIMは、公開鍵の照会には使用中のセレクタを知る必要があるため、直接確認するのはやや困難です。しかし、攻撃者は、DMARCの集計レポートや、標的となるドメインから正当に送信されたメッセージのヘッダー情報を分析することで、DKIMの設定を推測することができます。 LinkedInの通知、プレスリリースの購読、またはマーケティングメールから取得したヘッダーには、使用されているDKIMセレクタと署名ドメインが記載されています。攻撃者がセレクタを把握すれば、公開鍵を照会して、DKIM署名が有効であり、一貫性があるかどうかを確認することができます。
署名に一貫性がないドメイン――つまり、送信元によってはDKIMによる認証が行われる一方で、そうでないものもあるようなドメイン――は、特に標的になりやすい。DMARCのアラインメントでは、SPFまたはDKIMの少なくとも一方が、識別子のアラインメントを満たして合格している必要がある。一部のトラフィックでは認証が行われ、他の部分では行われないようなドメインは、まさになりすましトラフィックが正当なエラーと混在してしまうような環境そのものである。
フェーズ2:サブドメインおよびドメインのフットプリントの把握
ドメイン認証のチェックは、プライマリドメインを対象としています。しかし、多くの組織では、実際に監視されている範囲よりもはるかに広範なドメインを保有しており、フィッシング攻撃の偵察は、そうしたドメインを見つけ出すことを目的としています。
証明書透過性ログの列挙
ドメインに対して発行されたすべてのSSL/TLS証明書は、証明書透明性(CT)ログに公開記録されます。このログは誰でも閲覧・検索可能です。crt.shのようなツールを使えば、攻撃者は数秒でドメインの証明書履歴全体を検索でき、これまでに証明書が発行されたことのあるすべてのサブドメイン――開発環境、ステージングサーバー、地域別のマイクロサイト、そしてすっかり忘れ去られたキャンペーンページなど――を明らかにすることができます。
これは、包括的かつ履歴情報を網羅しているため、利用可能なパッシブ偵察手法の中でも最も強力なもののひとつです。現在は廃止されているものの、かつて証明書が発行されていたサブドメインは、CTログに依然として表示されます。攻撃者は、標的に対してパケットを1つたりとも送信することなく、組織のサブドメインの足跡に関する完全な履歴を把握することができます。
サブドメインの列挙
CTログに加え、パッシブDNSデータベースやサブドメインのブルートフォース攻撃ツールを利用することで、さらなるサブドメインを特定できる可能性があります。サブドメインハイジャック――忘れ去られたサブドメインのDNSレコードが、攻撃者が乗っ取ることのできる廃止済みのサービスを依然として指し示している状態――は、偵察活動において特に狙われる、既知の攻撃パターンです。 有効期限が切れたサードパーティのサービスを指し続ける、未処理のCNAMEレコードを持つサブドメインは乗っ取られ、正当な組織から送信されたように見えるフィッシングメールを送信するために悪用される可能性があります。
サブドメインは、セキュリティチームが設定した認証の範囲外になりがちであるため、フィッシング攻撃において特に悪用されやすい。メインの送信ドメインでDMARCが適用されているものの、サブドメインがDMARCのspタグの対象外となっているドメインの場合、メインのポリシーがどう定められていようとも、すべてのサブドメインがなりすましの標的となる。
WHOISおよびドメイン登録履歴
WHOISレコードには、登録日、レジストラ情報、場合によっては登録者の詳細情報が記載されています。ドメインの登録期間は、攻撃者が、そのドメインに、なりすましトラフィックのフィルタリングを困難にするような確立された送信履歴があるかどうかを判断するための指標となります。また、攻撃者はWHOISを利用して、同じ組織によって登録された関連ドメイン(買収ドメイン、ブランド保護のための登録、地域ごとのバリエーションなど)を特定し、それらが積極的に監視されていない可能性を探ります。
フェーズ3:送信側の環境の分析
ドメインの送信者環境(そのドメインに代わって電子メールを送信する権限を持つサービスやプラットフォームのすべて)は、DMARC集計レポートを通じて確認できるほか、公開されている電子メールヘッダーからも部分的に推測することができます。フィッシング攻撃者にとって、複雑であるか、あるいは文書化が不十分な送信者環境は、悪用可能な条件となります。
サードパーティ送信者の複雑さ
現代の組織では通常、メインのメールサーバー、マーケティングプラットフォーム、HubSpotのようなCRM、チケット管理システム、請求サービスプロバイダー、カレンダーツールなど、さまざまな送信元からメールを送信しています。それぞれについて、SPFレコードやDKIMの設定において明示的な認証が必要です。また、それぞれがDMARC集計レポートにエントリを生成します。大規模な組織の場合、これらのレポートには、数十の送信元から1日あたり数千行ものデータが含まれることがあります。
このような大量のトラフィックはノイズを生み出し、フィッシング攻撃者はこれを意図的に悪用します。組織のDMARC集計データに40件の正規送信元が記録されている場合、異常な送信元を検出するための信号対ノイズ比は大幅に低下します。悪意のある送信元からの1日あたり数百通という少量のなりすましトラフィックは、トラフィック量の多い企業の送信環境のレポートデータに埋もれてしまい、自動アラートがトリガーされることなく見過ごされてしまう可能性があります。
公開されたメールヘッダー
標的となるドメインから送信される正当なメールは、フィッシング攻撃者にとって、送信者の環境に関する情報を得る上で最も有用な情報源の一つです。マーケティングニュースレター、プレスリリースの購読通知、求人応募の確認メール、顧客への通知などには、いずれもメールヘッダーが含まれており、そこから使用されている送信インフラ(メール転送エージェント、DKIMセレクタおよび署名ドメイン、Return-Pathドメイン、受信サーバーに記録された認証結果など)が明らかになります。
標的となる組織のマーケティングリストに登録した攻撃者は、コストをかけず、かつ検知されるような活動を行うことなく、その組織の認証設定に関する詳細な情報を得ることができます。この情報は、フィッシングキャンペーンの構築方法――どの送信元を装うか、どのヘッダーを偽造するか、そしてどの認証上の脆弱性を突けばメッセージを通過させられるか――を直接決定づけるものです。
フェーズ4:ローンチ前のターゲット検証
ドメインのプロファイル作成が完了すると、フィッシング攻撃の運営者は、キャンペーンを開始する前に追加のチェックを行い、成功率を最大化し、インフラの無駄を最小限に抑えるようにしています。
メールアドレスの確認
オペレーターは、対象となるメールアドレスが有効であり、経営幹部、財務チームのメンバー、機密システムへのアクセス権を持つ者、あるいは支払いの承認権限を持つ者など、重要な人物のものかどうかを確認します。無効なアドレスにメールを送信するとバウンス率が高くなり、送信インフラのスパムスコアが上昇し、キャンペーンが本来のターゲットに届く前に検知されるリスクが高まる可能性があります。
メールアドレスは、LinkedIn、企業のウェブサイト、データ漏洩による流出データ、および過去のキャンペーンなどから頻繁に収集されています。theHarvesterのようなツールは、対象ドメインに対するこの列挙作業を自動化し、検索エンジンの検索結果、ソーシャルメディア、公開ディレクトリから従業員のメールアドレスを抽出します。
インフラのウォームアップを開始中
主要なメールサービスプロバイダーの多くは、送信履歴を信頼性の指標として重視しています。送信履歴のない新規登録ドメインは、実績のあるドメインに比べて、レピュテーションベースのフィルタによってフラグが立てられる可能性がはるかに高くなります。そのため、フィッシング攻撃の運営者は、キャンペーン開始の数週間あるいは数ヶ月前に類似ドメインを登録し、送信量を少なく抑えてベースラインとなるレピュテーションを築いた上で、規模を拡大することがよくあります。
ウォームアップ段階は、正規の送信者が新しいドメインを登録する際に受けるのと同じレピュテーションチェックを通過できるよう設計されています。外部から見ると、このインフラはメールの送信を始めたばかりの新しい企業やサービスのように見えます。キャンペーンが開始される頃には、そのドメインは初期のレピュテーションフィルターを通過済みとなっています。
ホモグリフおよび類似ドメインの構築
CSCの「ドメインセキュリティレポート」によると、主要ブランドを標的としたホモグリフドメインの88%は、第三者によって所有されています。これらのドメインは、一瞥しただけでは見分けがつかないよう、ほぼ同一の文字を置き換えたり挿入したりしています。例えば、「amazon.com」の代わりに「arnazon.com」を使用したり、ほとんどのメールクライアントでラテン文字と区別がつかないように表示されるUnicode文字を使用したりしています。
また、表示名のなりすましを目的として、類似ドメインが作成されることもあります。これは、「From」ヘッダーには信頼できる名前が表示されているものの、実際の送信ドメインが類似ドメインであるという手口です。DMARCは「From」ヘッダーに記載されたドメインについてSPFおよびDKIMによる認証のみを行い、表示名の認証は行わないため、この手法によってDMARCを完全に回避できてしまいます。これが、DMARCの適用が不可欠であるとはいえ、それだけでは不十分であり、さらに別の対策層が必要とされる理由の一つです。
フィッシングによる偵察を防御上の強みに変える
フィッシングの偵察が探しているあらゆる兆候は、セキュリティチームが一般に公開されている同じツールを使って監査・監視できるものです。その目的は、攻撃者がドメインを調査した際に、標的とする価値のあるものを何も見つけられないようにすることです。具体的には、完全な認証の徹底、送信者環境の文書化、そして放置されたサブドメイン資産がない状態を確保することです。
すべてのドメインおよびサブドメインにわたってDMARCポリシーを監査する
まず、メインドメインおよび特定できるすべてのサブドメインについて、DMARCレコードを取得することから始めましょう。運用開始から数ヶ月以上経過しているにもかかわらず、依然として p=none の状態にあるドメインは、優先的に対応すべき対象です。p=none から p=reject への移行は、一晩で完了する必要はありませんが、明確なスケジュールに基づいて行う必要があり、監視モードのまま無期限に放置してはなりません。
サブドメインにも適用範囲を拡大するため、DMARCのspタグを明示的に設定してください。正当な送信トラフィックがない非アクティブなサブドメインについては、直ちにp=rejectに設定する必要があります。何も送信していないドメインについて、適用レベルをnoneのままにしておく理由はありません。
SPFレコードの検証と強化
ドメインのSPFレコードを検索し、リストされているすべての送信元が現在も実際に使用されており、適切に認証されていることを確認してください。送信環境が安定しており、完全に文書化されている場合は、~allという修飾子を-allに変更してください。レコードがDNS検索の制限である10件に近づいている、またはそれを超えている場合は、SPFフラット化で対応してください。制限を超えるSPFレコードは完全に失敗し、配信性という点ではレコードがない場合よりも悪影響を及ぼすだけでなく、攻撃者にその設定ミスを察知される恐れがあります。
送信環境全体を可視化し、監視する
DMARCの集計レポートを活用して、自社ドメインを名乗ってメールを送信しているすべての送信元を網羅した完全なリストを作成してください。レポートに表示され、かつ承認済み送信者リストに含まれていない送信元は、設定ミスによる正当なサービスか、あるいは不正な送信者のいずれかです。いずれの場合も、適切な対応が必要です。
多くの組織では、新しいSaaSツールや連携機能が絶えず導入されています。つまり、送信元の環境は静的なものではありません。3か月前には正確だった環境の把握状況も、今日では古くなっている可能性があります。送信元の環境のマッピングは、一度きりの作業ではなく、継続的なプロセスとして扱う必要があります。
自身のサブドメインのフットプリントを列挙する
crt.sh やパッシブ DNS ツールを使用して、攻撃者が把握しているのと同じようなドメインのフットプリントの全体像を把握しましょう。 監視されていないもの、認証されていないもの、またはダングリングDNSレコードがあるものは、すべて直ちに対処する必要があります。類似ドメインやホモグリフドメインについては、ドメインスプーフィング対策やブランド監視ツールを活用することで、実際の攻撃キャンペーンで悪用される前にそれらを検知できます。自社のドメインについては、複数のドメインやサブドメインに潜むセキュリティリスクを検証し、これを包括的なドメイン監査の出発点とすることが重要です。
攻撃者があなたのドメインに対してフィッシングの偵察を行った際に何を見つけるか
前述のフィッシング攻撃のための下調べプロセス全体――認証状況の確認、サブドメインの分布の把握、送信元環境の分析、標的の検証――は、経験豊富な攻撃者であれば、無料のツールを使って1時間もかからずに完了できます。DMARCチェッカー、SPFルックアップ、crt.sh、そしてWHOISクエリさえあれば、あなたのドメインが攻撃の標的として価値があるかどうかを判断するのに十分です。
攻撃の標的として最も狙いにくいのは、偵察を行っても有用な情報が得られない組織です。具体的には、サブドメインを網羅した p=reject の DMARC ポリシーが設定されており、-all で終わるクリーンな SPF レコードがあり、すべての送信元で DKIM 署名が適切に行われていることが文書化されており、認証上の脆弱性が残された放置されたサブドメインが存在しないような組織です。攻撃者が偵察を行い、こうした「扉」がすべて閉ざされているドメインを見つけると、次の標的に移ります。それこそが目標なのです。

