ドメインスプーフィングとは

ドメインスプーフィングは、攻撃者が偽のウェブサイトやEメールドメインを使用して既知の企業や個人になりすまし、人々をだまして信頼させるフィッシングの一種です。通常、ドメインは一見正当に見えますが、よく見るとWが2つのVだったり、小文字のLが大文字のIだったりします。メッセージに返信したり、サイトとやり取りしたりするユーザーはだまされて機密情報を漏らしたり、送金したり、悪意のあるリンクをクリックしたりしてしまいます。

スプーフィングは、一度に1人のユーザーをだますだけでなく、他の問題も引き起こします。

  • スプーフィングは、マルウェアの配布や、分散型サービス拒否(DDoS)攻撃中間者攻撃などの他のタイプの攻撃の実行に使用されることがあります。
  • 攻撃者はスプーフィングを使用して、法執行機関などから身元を隠すことができます。
  • 攻撃者は、ユーザーを意図しないサイトにリダイレクトして、広告収入を得ることができます。逆に、広告主を騙して、意図しないサイトに広告掲載を入札させることもできます。
  • 標的となるネットワークは、攻撃を受けていることに気付かない可能性があり、その場合はアラートを送信しません。
  • スプーフィングされたIPアドレスは正当なものであるように見えるため、ファイアウォールやその他のセキュリティ制御によってブラックリストに登録されない場合があります。

ドメインスプーフィングの主なタイプとは

1. Eメールスプーフィング

攻撃者は、友人、企業、政府機関など、なじみのある送信者から送信されたように見えるEメールを送信します。偽のEメールには、悪意のあるダウンロードやリンクが含まれていることがあり、受信者を有害なウェブサイトに誘導したり、ユーザーがアクセスを望んでいないウェブサイトにリダイレクトしたりする可能性があります。

2. ウェブサイトスプーフィング

攻撃者は、正当なドメインに類似したドメインを登録します。このドメインを使用して正当なサイトをほぼ複製するサイトを作成し、スプーフィングされたEメールを送信して被害者を誘導することができます。スプーフィングされたサイトにアクセスしたユーザーは、悪意のあるダウンロードを提示されたり、ログイン認証情報や銀行情報などの個人情報の提供を求められたりする可能性があります。スプーフィングされたウェブサイトは、広告詐欺に使用される場合もあります。攻撃者は偽のドメインをアドエクスチェンジに送信し、広告主を騙して、正当なサイトではなく、スプーフィングされたサイトのスペースに入札させます。

3. DNSポイズニング

DNSポイズニングはIPスプーフィングの一種で、検出はより困難です。DNSポイズニングでは、サイトにアクセスしようとするユーザーが別のサイトにリダイレクトされます。例えば、中国政府の「中国のグレートファイアウォール」は、ユーザーを検閲対象のサイトからさまざまな種類の合法的なサイトにリダイレクトして、中国国民が検閲対象のサイトにアクセスするのを防ぎます。このような合法的なサイトへの予期しない大量のトラフィックはクラッシュを引き起こす可能性があるため、このように使用された場合、DNSポイズニングはDDoS攻撃になります。

ドメインスプーフィング攻撃の仕組み

Eメールスプーフィング攻撃は、スパム、フィッシング、スピアフィッシングなどの攻撃と同様に機能し、攻撃者がランダムにスパムを送信したり、悪意のあるリンクを含む偽のメッセージで業界や企業のユーザーを標的にしたり、ユーザーを有害なウェブサイトに誘い込んだりします。偽のウェブサイトはそれ自体がドメインスプーフィングの例であり、Eメールスプーフィングとドメインスプーフィングが並行して使用されるのは珍しいことではありません。

また、ドメインスプーフィング攻撃は、DDoS攻撃などのより大規模な攻撃の一部である可能性があります。DDoS攻撃は、スプーフィングされたIPアドレスを攻撃者が使用し、標的のウェブサイトまたはサーバーのリソースが枯渇して、速度が低下するかクラッシュするまでフラッディングする攻撃です。

スプーフィングされたドメインを検知するためのヒント

  • ドメインに余分な文字や数字が含まれていないか精査します。特に、小文字のLと大文字のIなど、見間違えやすい文字を探します。
  • Eメールのヘッダー情報を確認します。「Received from」フィールドと「Received-SPF」フィールドを確認します。これらのフィールドに表示されるドメインが、想定される送信者について知っている情報と一致しない場合、Eメールはスプーフィングされています。これらのフィールドに表示されるデータがIPアドレスになっている場合があります。ICANNDomain ToolsGoDaddyなどの正当なサイトでWHOIS検索にアクセスし、そのIPを入力して確認してください。結果が期待されたものでない場合(ドメインが東ヨーロッパでホストされているように見える場合など)、そのEメールは信頼できません。
  • ドメインが正しいと思われる場合は、他の情報が一致していることを確認します。例えば、Eメールがカリフォルニアにある本社から送信されたように見える場合は、電話番号の市外局番が正しい都市のものであることを確認します。ハイパーリンクの上にマウスを置いて、リンク先が予想どおりかどうかを確認します。企業の名前がサブドメインでないことを確認します。例えば、Eメールがクラウドストライクから送信されたように見える場合、リンク先は「crowdstrike.customersupport.com」ではなく、「customersupport.crowdstrike.com」である必要があります。正しい名前は常に「.com」などのファイル拡張子の直前に表示される必要があり、最初に表示されることはありません。
  • SSL(セキュアソケットレイヤー)証明書があることを確認します。SSL証明書はウェブサイトのIDを認証し、サーバーに送信される情報を暗号化するテキストファイルです。今日のほとんどのウェブサイトにはSSL証明書があります。
  • SSL証明書を確認します。証明書のドメインがスプーフィングされたドメインではなく、正しいドメインであることを確認します。ChromeまたはBraveでは、アドレスバーの南京錠アイコンをクリックして証明書を確認し、ポップアップの[証明書(有効)]をクリックします。Firefoxでも同じことを行いますが、ポップアップの[証明書(有効)]ではなく、企業名の右側にある矢印をクリックすると、接続ステータスのセキュリティを宣言するメッセージが表示されます。Safariでは、南京錠をダブルクリックして[証明書を表示]を選択します。
  • メッセージまたはウェブサイト内のリンクをクリックしないでください。代わりにエンティティを検索し、検索結果のリンクをクリックします。

バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。