職場でアカウントのパスワード変更を求めるIT部からのメールや、人事から有給休暇の日程確認のメールなど、誰でも受信したことがあるでしょう。ただし、このようなメールが予期せぬタイミングで届いたら、慎重に行動する必要があります。会社に対するサイバー攻撃の始まりである可能性があります。詐欺でないことをしっかり確認するために、何をどうチェックすべきなのでしょうか。
最も注意を払う点はドメイン名です。つまり、電子メールの@の後、URLの先頭部分に注目します。犯罪者はドメインに、被害者に疑われないような文字や数字などを使用しています。サイバー犯罪者は、狙った企業の公式ドメインやその取引関係のあるサプライヤー、ビジネスパートナーのドメインをハイジャックする方法が一番だと考えていますが、攻撃の初期段階では通常それは不可能です。その代わりに、標的の組織のドメインに似せたドメインを登録し、その違いを見破られないように工夫しています。そのあとのステップは、そのドメインで偽のウェブサイトをホストしたり、ドメインに関連するメールボックスからなりすましメールを送信したりします。
この記事では、偽のドメインに気づかれないようにするために攻撃者が使うスプーフィングの手口を紹介します。
同形異字を使用するホモグリフ
攻撃者は、視覚的に見分けがつきにくい文字をよく使います。例えば、アルファベット小文字の「l(エル)」は大文字の「I(アイ)」と同じように見え、フォントによってや、注意散漫な時、急いでいたりすると見分けられないことがあります。そのため、JOHN@MlCROSOFT.COM というアドレスから送信されたメールには、誰でも騙される可能性があります。この送信者の実際のアドレスは、john@mLcrosoft.comで、Microsoftの公式ドメインから送られたメールではありません。
さらに、ラテン文字を使わないものも含め、さまざまな言語でドメインを登録できるようになってから、悪質な二重登録が増えました。ギリシャ文字のオミクロンの “ο“、ロシア文字の “о“、ラテン文字の “o“は、人の目ではまったく区別がつきません。コンピュータだけが3つの異なる文字を判別することができます。そのため、oの組み合わせを変えて、microsоft.cοmに似たドメインを複数登録することが可能です。このような視覚的に類似した文字を使用する技術は、ホモグリフ攻撃、またはホモグラフ攻撃として知られています。
コンボスクワッティング
近年、「コンボスクワッティング」と呼ばれる攻撃がサイバー犯罪者の間で流行しています。コンボスクワッティングとは、標的企業のEメールやウェブサイトを模倣するために、Microsoft-login.comやSkypeSupport.comなど、企業名と関連するキーワードを組み合わせたドメインを作成し、メールの件名とドメイン名の末尾は一致させます。例えば、メールアカウントへの不正アクセスに関する警告は、outlook-alertという偽ドメインのサイトにリンクさせることができます。
この脅威は、実際にキーワードを含むドメインを持つ企業があることによってより対策が難しくなっています。例えば、login.microsoftonline.com は、マイクロソフト社の正規のウェブサイトです。
アメリカの企業、アカマイによりますと、最も一般的なコンボスクワッティングのキーワードは、support、com、login、help、secure、www、account、app、verify、service です。このうち www と com の 2 つについては、別途言及する必要があります。wwwmicrosoft.com、microsoftcom.auのように、ウェブサイトの名前に含まれていることが多く、不注意なユーザーはピリオドが抜けていることに気づかない可能性があります。
TLDスクワッティング
サイバー犯罪者は、microsoft.comの代わりにmicrosoft.co、office.comの代わりにoffice.proといったように、正規のドメインを悪用して、トップレベルドメイン(TLD)のみ変更して登録することに成功しています。この場合、標的となった会社名は変更されません。このテクニックは、TLD squatting(TLDスクワッティング)と呼ばれています。
このような置換は犯罪者にとっては非常に効果的です。今年7月、アメリカ国防総省の関連組織が、10年以上にわたって、米軍の「.MIL」ドメインではなく、マリ共和国の「.ML」ドメインに誤って電子メールを送信していたことが報告されました。「.ML」ドメインを管理していたオランダの業者は、2023年だけでも、マリ共和国に向けて送信された11万7000通以上のメールを確認し、誤送信を阻止しました。
タイポスクワッティング
ドッペルゲンガードメインを作り出す最も簡単で手っ取り早い方法は、同じ文字が連続で使われている単語を利用したり、(office.comの代わりにofice.com)、ハイフンや句読点の追加や削除(cloudflareの代わりにcloud-flareまたはc.loudflare)、似たように聞こえる文字に置き換える(safebankの代わりにsavebank)などです。
詐欺師は、これまで誤字脱字を頻繁に使っていましたが、今日、このような手法は、偽のウェブサイトのコンテンツと組み合わせて、スピアフィッシングやビジネスメール詐欺(BEC)を実行するためのベースづくりのために利用されています。
身を守るには
ホモグリフは発見が難しく、正当な目的で使用されることはほとんどありません。そのため、ブラウザーの開発者やドメインのレジストラは、このような攻撃の被害に遭わないように事前に対策を講じています。例えば、いくつかのドメインゾーンでは、異なるアルファベットの文字を含む名前を登録することは禁止されています。しかし、他の多くのTLDではそのような対策がなされていないため、セキュリティツールに頼るしかありません。確かに、多くのブラウザーにはアルファベットが混在するドメイン名を表示する特別な方法があります。xn--micrsoft-qbh.xn--cm-fmc(これは、ロシア語のoが2つあるmicrosoft.comというサイトです)。
タイポスクワッティングやコンボスクワッティングに騙されないためには、油断しないことが重要です。企業として、従業員に基本的なセキュリティ意識向上トレーニングを受けさせ、主なフィッシングテクニックの見破り方を学ばせることなどをお勧めします。
残念なことにサイバー犯罪者は、様々な手口を使っており、類似したドメインを使う攻撃に限定されません。特定の企業に合わせてカスタマイズされ、慎重に実行される攻撃に対しては、従業員の注意力に頼る対策だけでは不十分です。たとえば今年、攻撃者は、Redditの従業員向けイントラネットゲートウェイの模倣サイトを作成し、同社への侵入に成功しました。したがって、情報セキュリティの担当者は、従業員に対するセキュリティトレーニングだけでなく、下記の保護ツールの導入についても真剣に検討する必要があります。
- スパムメールやスピアフィッシングからメールサーバーを保護します。例えば、Kaspersky Security for Mail Serverは、機械学習とリアルタイムに更新されるスパムデータベースを使用して悪意のあるメールを検知します。また、疑わしいメールをサンドボックスで「爆発」させたり、隔離したりすることも可能です。
- 業務で使用するスマートフォンやパソコンを含む、すべての従業員用デバイスを保護します。これにより、ビジネス全体のセキュリティが向上します。特に、電子メールではなく、SNSどの他のチャネルを介して送信される悪意のあるリンクやファイルを事前に発見し遮断するために重要です。