スプーフィングとは何か、どのように機能するのか、DMARCと認証のベストプラクティスを使用して電子メールのスプーフィング攻撃を防ぐ方法を学びます。
なりすましは、デジタル詐欺で最も古くから使われ、最も根強い手口の一つですが、一目で見破るのが最も難しい手口の一つです。
簡単に言うと、なりすましとは、攻撃者が自分の身元を偽り、メッセージやウェブサイト、電話を信頼できる発信元からのもののように見せかけることです。その目的は、受信者を欺き、偽りの行動(リンクのクリック、情報の開示、送金など)を取らせることです。
なりすましにはさまざまな形態がありますが、最も被害が大きいのは、攻撃者がドメイン名や送信者アドレスを偽造して組織になりすますEメールのなりすましです。
この記事では、なりすましの仕組み、なりすましメールが特に危険な理由、なりすましを検知して阻止するための対策について説明します。
なりすましの種類
なりすまし」という言葉には、デジタルチャネルを欺くいくつかの種類があります。これらのカテゴリーを理解することで、それらが互いにどのように関連しているのか、またなぜメールが最も一般的な攻撃手段であるのかを理解することができます。
1.メールなりすまし
攻撃者は、メールの「差出人」アドレスを偽造し、正規のドメイン(多くの場合、ブランド、サプライヤー、同僚)から送信されているように見せかけます。メッセージには、フィッシングリンクやマルウェアをインストールする添付ファイルが含まれている場合があります。
2.ウェブサイトやドメインのなりすまし
犯罪者は、本物のウェブサイトと同じように見える偽のウェブサイトを登録し(例えば、キリル文字の「a」が付いた「yourbаnk.com」)、ユーザーをおびき寄せ、認証情報や支払い情報を入力させます。
3.発信者番号通知または音声なりすまし
電話を使った詐欺で、攻撃者が発信者番号を操作し、信頼できる番号(銀行や役所など)を表示させます。
4.IPまたはDNSスプーフィング
ネットワーク・データを改ざんする技術的な攻撃で、分散型サービス拒否(DDoS)攻撃やサーバー間の接続を乗っ取るために使われることが多い。
これらはすべて、被害者の信頼を得るのに十分な時間、他人のふりをするという同じ原理に依存している。
なりすましメールの仕組み
電子メールなりすましは、従来の電子メール・システムが送信者の身元を確認するために構築されていなかったことを利用します。サイバー犯罪者は、電子メールのヘッダー内の特定のフィールドを編集することで、あたかも正当なドメインからのメッセージであるかのように見せかけることができます。
簡単に説明すると、次のようになる:
- 攻撃者は、本物のメールと同じように見えるメールを作成し、多くの場合、見慣れたロゴ、口調、署名を使用します。
- From」アドレスを変更し、お客様のドメインまたは信頼できる連絡先になりすます。
- メッセージは不正なメールサーバーを経由して送信されます。
- 受信者は見慣れた送信者名を見て内容を信用し、リンクをクリックしたりデータを共有したりする。
適切な認証がなければ、ほとんどのメールシステムは正当な送信者となりすましの区別がつきません。
だからこそ、SPF、DKIM、DMARCのような認証プロトコルが開発されたのです。SPF、DKIM、DMARCのような認証プロトコルが開発されたのはそのためです。これらのプロトコルは、メッセージが実際に承認されたサーバーから送信されたものかどうか、ドメイン名の使用が許可されているかどうかを検証します。
なりすましの実社会への影響
なりすましメールは技術的な問題だけでなく、風評被害にもつながります。攻撃者が御社のドメインから詐欺メールを送信すると、顧客、パートナー、そして世間はたちまち信頼を失います。 一般的な影響には以下が含まれます:
- 金銭的損失
- データの盗難
- 評判の低下
- 配信可能性の問題
特に金融、保険、教育、政府機関など、権威と機密性が重要な分野では、たった1回のなりすましキャンペーンでも、長年にわたるブランドの信頼を台無しにしてしまう可能性があります。幸いなことに、なりすましインシデントが発生した後でも、回復するための対策があります。
なりすましを検知する方法+テストタスク
なりすましメールの多くは、目視で確認できるほど本物らしく見えます。それでも、注意すべき手がかりはあります:
- 予期しない、または緊急の支払いやデータの要求。
- ドメイン名やURLの微妙な違い。
- パーソナライズされたメッセージではなく、一般的な挨拶文(「Dear Customer」)。
- 見慣れない送信者からの添付ファイルやリンク。
質問このスクリーンショットのメールは、悪意のあるなりすましメールです。どうすれば見分けられますか?
答え送信者アドレスを見てください。明らかにメタからのものではありません!
技術的な観点からは、認証結果のメールヘッダーをチェックすることもできます。次のような行を探してください:
Authentication-Results: dmarc=fail (p=reject) header.from=yourdomain.com のような行を探してください。DMARCが失敗した場合、メッセージはなりすましの可能性が高い。DMARCがどのようになりすまし攻撃を阻止するかについての詳細な内訳は、ガイドをお読みください:DMARCでなりすましメールとフィッシング攻撃を阻止する方法。
なりすましを防ぐには
なりすましを防ぐには、技術的なコントロールとユーザーの意識を組み合わせる必要があります。
1.SPF、DKIM、DMARCの導入
これら3つのDNSレコードは、メール認証のバックボーンを形成します:
- SPFは、お客様に代わって送信できるメールサーバーを定義します。
- DKIMは、改ざんを防ぐためにメッセージにデジタル署名を付けます。
- DMARCはこれらを結びつけ、メッセージが失敗した場合の対処法を受信者に伝えます。
一度設定すれば、これらは不正使用からお客様のドメインを保護し、メールボックスプロバイダにお客様のメールが本物であることを明確にします。
特にDMARCを有効にする方法については、DMARC有効化ガイドをご覧ください。
2.レポートの監視とポリシーの実施
DMARCは、お客様のドメインを使用してメールを送信しているサーバーと、それらのメッセージのパフォーマンスを示すレポートを毎日生成します。これらを監視することで、不正な送信者を検出し、"なし "から "拒否 "に安全に移行することができます。
DMARC集計レポートの読み方ガイドを参照してください。
3.ユーザーのトレーニング
技術的な保護は戦いの半分に過ぎません。定期的なフィッシング・シミュレーションとセキュリティ意識向上トレーニングを実施することで、従業員はクリックする前に赤信号に気づくことができます。
4.信頼できる送信サービスを利用する
マーケティングとオートメーションのプラットフォームがDKIMとDMARCをサポートしていることを確認する。サードパーティツールの設定ミスは、最も一般的な弱点の1つです。
さまざまな業界におけるなりすまし
なりすましは、顧客、従業員、パートナーとのコミュニケーションにEメールを利用しているあらゆる業種に影響を及ぼしますが、そのリスクや攻撃パターンは業種によって大きく異なります。それぞれの環境でスプーフィングがどのように発生しているかを理解することで、技術的な防御と意識向上トレーニングの両方を調整することができます。
金融機関
金融機関は、攻撃者がすぐに金銭や個人情報にアクセスできるため、なりすましの最重要ターゲットの1つです。
- 攻撃者は、銀行、信用組合、または決済処理業者になりすまし、顧客を騙してログイン情報やワンタイムコードを共有させます。
- 偽の「アカウント・アラート」や「疑わしい取引」メールによって、受信者はフィッシング・ページにつながる緊急リンクをクリックするように仕向けられる。
- 社内の財務チームでさえ、攻撃者が幹部になりすまして送金を承認するビジネスメール詐欺(BEC)に直面している。
銀行やフィンテック企業にとって、なりすましメールはすべて評判を落とすことになる。詳しくはフィッシング・メールの検知方法をご覧ください:金融機関向けガイド
保険
保険におけるなりすましは、しばしば信頼とタイミングを悪用します。攻撃者は偽の保険契約更新、更新通知、保険金請求通知などを送りつけ、ユーザーにログインや文書の共有を促します。
- このようなメールの多くは、ログイン認証情報や個人データを収集するために設計されたそっくりなポータルサイトにリンクしています。
- また、ソーシャル・エンジニアリングを利用して、クレームや支払いに関する機密情報を収集するものもある。
保険会社は機密性の高い顧客データを取り扱っているため、なりすましが1件でも成功すると、コンプライアンス調査や長期的なレピュテーションの低下につながる可能性があります。詳しくは Email Spoofing How Impacts Customer Trust in Insuranceをご覧ください。
教育
学校、大学、研究機関がなりすまし攻撃の標的になるケースが増えています。
- サイバー犯罪者はIT部門や事務職員になりすまし、「パスワードのリセット」、「成績へのアクセス」、「学資援助の最新情報」などのメールを送信します。
- 教員と学生は異なるメールシステムを使うことが多いため、ドメインのアライメントが複雑になり、なりすましが容易になる。
- 教育ネットワークは、データ窃盗の格好の標的でもある。攻撃者は学生の記録、認証情報、知的財産へのアクセスを狙う。
強力なDMARCポリシーは、公式な通信を保護し、大規模で分散化されたシステム全体のデジタルトラストを維持するのに役立ちます。詳しくは、「 学校および大学におけるなりすましメールの防止方法」をご覧ください。
政府・公共機関
政府機関におけるなりすまし攻撃は、国民の信頼を損なうため、特に深刻です。
- 攻撃者は政府機関や役人になりすまして、誤った情報を流したり、税金や手数料を不正に徴収したり、悪意のある添付ファイルを配信したりします。
- 小規模な自治体や部局では、すべてのドメインで一貫した認証ポリシーを維持するリソー スがないことが多い。
DMARCは、市民が公式メッセージが本物であり、改ざんされていないことを確認するのに役立つため、公共部門でDMARCの採用が増加しています。
詳しくは、政府機関におけるフィッシング攻撃を防止する効果的な 戦略をご覧ください。
電子商取引と小売
小売業におけるなりすまし攻撃は、取引メールにおける顧客の信頼を悪用することに焦点を当てています。
- 偽の注文確認、配送の最新情報、返金通知などを送りつけ、ユーザーをフィッシングサイトに誘い込み、カード情報や認証情報を盗み出します。
- 攻撃者はまた、カスタマーサービスチームになりすまして「アカウント確認」を要求することもあります。
- 季節的なキャンペーン(ホリデーセールなど)では、ドメインのなりすましやなりすましが急増することがよくあります。
eコマース事業者にとって、配信可能性とドメインのレピュテーションは収益に直接影響します。なりすましが原因で正規のメッセージがスパムに届くようになると、コンバージョン率は即座に 低下します。 具体的な防止策については、Eコマースにおけるフィッシングメールの検知方法( )をご覧 ください。
どの業界でも共通する のは信頼です。本物そっくりのメールが信用 できないと、人間関係が悪化します。SPF、DKIM、DMARCを使用してお客様のドメインを保護することで、お客様のメッセージがどこに届いたとしても、確実にお客様のものであることが保証されます。
DMARCeyeがなりすましから保護する方法
DMARCを実装したら、次の課題は、特に複数のドメインやシステム間でDMARCを維持することです。
DMARCeyeは、複雑なXMLデータを明確なビジュアルレポートに変換することで、このプロセスをシンプルにします。以下のことが可能です:
- どのシステムが自社に代わって送信しているかを確認
- 不正な送信者やなりすましを即座に検知。
- 認証結果とポリシー施行の追跡
- ドメインが進化するメール標準に準拠していることを確認します。
DMARCeyeは、防止、監視、継続的な保護のループを閉じることで、ドメインのレピュテーションを保護することができます。
今すぐDMARCeyeの無料トライアルをダウンロードして、メールドメインの保護を開始しましょう。