ドメイン・スプーフィングを理解し、防御する方法

ブログ

ドメインスプーフィングとは、ドメイン名に対するなりすまし攻撃の一種で、オンライン上の評判や信用を損なう危険な行為です。

byアホナ・ルドラ

読書時間 6
ドメイン・スプーフィングを理解し、防御する方法
目次-

ドメインスプーフィングは、組織のデジタルエコシステムに深く入り込み、機密情報を盗み、業務を妨害し、企業の評判を落とす、最も一般的で重大なサイバーセキュリティの脅威の1つです。フィッシング攻撃の陰湿な形態である フィッシング攻撃ドメインになりすますことで、疑うことを知らないユーザーを騙し、合法的な組織とやりとりしているかのように信じ込ませます。フィッシングやスプーフィングのようななりすまし攻撃は、ドメインの健全性に劇的な影響を与え、認証の失敗やメールの漏洩などにつながります!そのため、今日からこれらの攻撃に対する防御を強化する必要があるのです。

このような攻撃がビジネスに多大な影響を及ぼすことは否定できませんが、国家安全保障にも重大な脅威をもたらす可能性があります。今日の相互接続された世界におけるドメイン・スプーフィングの重大性を認識し、連邦捜査局(FBI)とサイバーセキュリティおよびインフラセキュリティ局(CISA)は、2020年に以下のような発表を行いました。 2020年選挙に関連するインターネット・ドメインのなりすましを認識し、回避できるようにするためです。

この記事では、ドメインスプーフィングとは何か、その様々な症状、そしてITインフラを保護するための包括的なドメインスプーフィング対策について、さらに掘り下げて説明します。

主なポイント

  1. ドメイン・スプーフィングとは、電子メールやウェブサイトを使った詐欺的なフィッシングの手口で、企業やセキュリティを脅かす。
  2. 攻撃者は、ホモグリフ、サブドメーンスプーフィング、タイポスクワッティングを使用して、信頼できるドメインを模倣し、ユーザーの信頼を悪用する。
  3. SPF(送信者検証)、DKIM(メッセージの完全性)、DMARC(ポリシーとレポート)などの電子メール認証プロトコルを実装することは、防御のために非常に重要です。
  4. DMARCは、レポートを通じて可視性を提供し、ドメイン所有者が、なりすましの可能性のある電子メールが受信サーバーによってどのように処理されるかを制御することを可能にする。
  5. ユーザーの用心(リンクの上にカーソルを置く、2FAを使用する)と従業員トレーニングは、なりすましに対する技術的防御を補完する。

ドメイン・スプーフィングとは?

標的のセキュリティ態勢を侵害する古典的な手法に、ドメイン・スプーフィングがある。この種の攻撃は、ウェブサイトや電子メールという2つのチャネルを通じて実行されるのが一般的です。 信頼という人間の本質的な性質を利用し、脅威者は偽のウェブサイトや、信頼できる/評判の良い名前に酷似した電子メールを作成し、ユーザーを欺いて個人情報を漏らさせたり、マルウェアをインストールさせたりします。 マルウェアをインストールさせたり、不正な口座に送金させたりします。

PowerDMARCでドメインスプーフィングから身を守ろう!

15日間のトライアルデモを予約する

ドメイン・スプーフィングの仕組み

今日、サイバー攻撃はそのアプローチのニュアンスを増し、洗練されてきているが、根本的な前提は、下心のために脆弱性を悪用することに変わりはない。基本的に、ドメイン・スプーフィングは、ドメイン・ネーム・システム(DNS)内の脆弱性を悪用し、ユーザーを騙して悪意のあるコンテンツにアクセスさせることで機能する。ここでは、ドメイン・スプーフィング攻撃の仕組みについて詳しく見ていこう:

ホモグリフ

なりすまし攻撃を展開する最も一般的な方法の1つは、偽造ドメインにホモグリフを組み込むことである。ホモグリフとは、一見すると似ているが、Unicodeのコードポイントが異なる文字のことである。例えば、攻撃者はドメイン内の「o」のような文字を「ο」(ギリシャ文字のオミクロン)に置き換えることで、本物と酷似していながら別のウェブサイトにつながるURLを作成することができる。気づかないユーザーがこのようなリンクをクリックすると、セキュリティ防御を脅かすように設計された詐欺的なウェブサイトに誘導される。 

サブドメイン・スプーフィング

この種のドメインスプーフィング攻撃では、脅威者は認識可能なドメインの信用を悪用し、「login」や「secure」のような正規のエンティティに似せたサブドメインを作成します。この欺瞞に満ちた手口は、気づかない被害者を騙してログイン認証情報を入力させたり、悪意のあるサブドメインにアクセスさせたりし、機密データやアカウントへの不正アクセスを許します。 

タイポスクワッティング

タイポスクワッティングは一般的なフィッシング・テクニックで、人気のあるドメインと似たようなドメインを登録するが、文字の置き換え、スペルの間違い、文字の追加など、誤字脱字のあるドメインを登録する。これらのドメインの目的は、不正な目的を達成するために、ユーザーを詐欺的なウェブサイトに誘導することである。このような戦略は、機密情報のセキュリティを脅かすだけでなく、合法的な企業の評判を傷つけることになる。

ドメイン・スプーフィングの一般的な例とは?

ドメインスプーフィング攻撃は、人為的ミス、信頼の傾向、悪意のある目的を達成するための戦略的アプローチを利用していることがお分かりいただけたと思う:

なりすましメール

電子メールは、企業が利用する最も一般的な通信手段の1つであり、脅威者はこの手段の脆弱性を悪用し、電子メールのドメインスプーフィングを実行する。この場合、犯人は「from」フィールドを偽装することで、信頼できる送信者になりすます。 トップレベルドメイン(TLD)を使用したり、ブランドのロゴやその他の資料を偽造したりすることで、信頼できる送信者になりすます。

ウェブサイト偽装 

Eメールのドメイン偽装と同様の戦略で、攻撃者は評判の良いブランドのドメインを悪用し、偽のウェブサイトを作成します。この欺瞞的な手口は、ユーザーを騙して正規のサイトとやりとりしているかのように思わせることを意図して実行され、ロゴ、レイアウト、カラーホイールを使って選択されることの多い配色など、細部を模倣することによって、オリジナルブランドのビジュアル・アイデンティティと密接に一致させます。真正性とユニークなデジタルフットプリントを確保するために、多くの企業は、このような模倣の試みを受けにくくするために、特徴的でオリジナルのウェブサイトを作成するウェブデザインエージェンシーを利用しています。

ドメイン偽装メールとはどのようなものか?

サイバーセキュリティの専門家は、電子メールがサイバー犯罪者に悪用される脆弱性のトップであり続けていることを指摘している。脅威行為者の間で電子メールが最重要の選択肢となっているのは、これらの電子メールが巧妙な手口によって達成できる欺瞞の範囲にある。 

敵対的な電子メールは、電子メールのドメインを詐称するだけでなく、より洗練された策略も含んでいる。巧妙に作成されたEメールには、本物と酷似したヘッダー、緊急性を感じさせる関連性のある件名やキャッチーな件名、綿密に偽造されたビジュアル要素、そして巧みに構成されたコンテンツなどが含まれます。これらの要素はすべて、偽の信頼感を作り出し、被害者を誘い、認証情報の暴露、マルウェアのダウンロード、または業務妨害に陥らせます。 

ドメインのなりすましは簡単か?

1日あたり3,000億通を超えるメールが送信される中、メールドメインのなりすましがかつてないほど広まっているのは驚くにはあたらない。この驚異的な数の背景には多くの理由がありますが、最も顕著なのは、包括的な メール認証の欠如である。

実際、PowerDMARCの UAE DMARCオプション・レポートによると、961の分析対象ドメインのうち、その大半がなりすまし攻撃から保護するために必要な電子メール認証の実装を欠いていました。1日に送信される電子メールの数と強固な認証手法の導入との間のギャップが拡大し続けているため、ドメインのなりすましが容易になる一因となっています。

ドメイン・スプーフィングを防ぐには?

ドメイン・スプーフィング攻撃から身を守るために、組織とユーザーは以下の予防策を講じるべきである:

クリックする前にURLにカーソルを合わせる

このような攻撃の餌食になるのを防ぐ簡単な方法は、埋め込まれたURLの上にマウスカーソルを置いて、その構成要素を検査し、真正性を確認することです。そうすることで、重大な矛盾に気づき、リンク先の信頼性を知ることができるかもしれません。 

二要素認証の有効化 

セキュリティ対策を強化するために、二要素認証を有効にすることをお勧めします。この追加保護レイヤーは、ハッカーがお客様のアカウントにアクセスできないようにし、許可されたユーザーだけがお客様の機密情報にアクセスできるようにします。

電子メール認証プロトコルの導入

などのメール認証プロトコルを実装することで SPF(送信者ポリシーフレームワーク) DKIM(DomainKeys Identified Mail)、および DMARC(Domain-based Message Authentication, Reporting, and Conformance)を利用することで、組織の防御を強化し、ハッカーによるデジタルインフラへの侵入を防ぐことができます。SPFは、ドメイン所有者がDNSに送信許可IPアドレスのリストを公開することを可能にし、受信サーバーがメールが許可された送信元から発信されたものかどうかを確認し、ドメインの不正使用を減らすのに役立ちます。DKIMは、ドメイン名にリンクされたデジタル署名を送信メールに追加します。受信サーバーは、この署名を使用して、メッセージの内容が転送中に改ざんされていないことを確認します。DMARCはSPFとDKIMの上に構築され、ドメイン所有者は、SPFまたはDKIMのチェックに失敗したメールを受信サーバーがどのように処理すべきか(隔離または拒否など)を指定することができます。DMARCはまた、電子メールのトラフィックに関する貴重なレポートを提供し、組織がドメインの使用状況を監視し、なりすましやフィッシング攻撃などの潜在的な脅威を特定し、ブランドの評判を保護するのに役立ちます。これらのプロトコルは互いに連携して動作し、送信者の正当性とメッセージの完全性を検証することで、メールフィッシング攻撃やドメイン偽装に関連するリスクを大幅に軽減します。

従業員への意識の浸透

健全なサイバーセキュリティ態勢を維持する責任は、セキュリティ・チームだけの責任ではなく、組織の全メンバーの責任であることを理解することが極めて重要である。そのため、企業は従業員に対して包括的なセキュリティ意識向上トレーニングを実施し、フィッシング詐欺やその他のソーシャル・エンジニアリングを認識できるようにすべきである。

結論 

ドメインスプーフィングは、ほとんどのセキュリティチームにとって根強い課題であり、これらの攻撃を防御する特効薬はありませんが、戦略的なアプローチに従うことで、組織はより安全なデジタル環境を構築することができます。PowerDMARC では、お客様の安全を最優先し、IT 資産の保護に努めます。 

フィッシング攻撃やなりすましからEメールを保護する信頼性の高いソリューションをお探しなら、PowerDMARCが最適です!お客様のEメールドメインとレピュテーションを保護するための包括的なサービスを提供しております。お問い合わせDMARCデモ 今すぐ

最新記事 by Ahona Rudra(全て見る)
IoTセキュリティリスクとその防止策IoTセキュリティのリスクとその防止策_|日本経済新聞RUAとRUF - DMARCレポートの種類の違いについてRUAとRUF - DMARCレポートの種類の違いについて