メールスプーフィングは、攻撃者がメールを改ざんして正当な送信者を騙る場合をいいます。この手口はフィッシング攻撃でよく使われます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
メールスプーフィングでは、攻撃者はメールヘッダーを使い、自分のアイデンティティを隠して正当な送信者になりすまします。(メールヘッダーは、送信者、受信者、追跡データなどメッセージに関する重要情報を含んだコードスニペットです。)
メールスプーフィングとは、メールのヘッダー情報を偽造する特殊な手口ですが、攻撃者は他の手口で同様の成果を上げることができます。例えば、攻撃者は、受信者がエラーに気づかないことを期待して、正規の送信者のドメインに酷似したメールドメインを作成することがあります。例えば、「@legitimatecompany.com」ではなく、「@1egitimatecompany.com」というドメインを使用することが挙げられます。攻撃者は、送信者になりすますために表示名を変更することもあります。例えば、「LegitimateCEOName@legitimatecompany.com」ではなく「LegitimateCEOName@gmail.com」から悪意のあるメールを送信するような場合です。
これらの手口の主な相違点は、メールスプーフィングが成功した結果が、スペルミスのあるドメイン(janeexecutive@jan3scompany.com)やドメインとまったく無関係のアドレス(janetherealceo@gmail.com)としてではなく、(cloudflare.comのような)正当なドメインとして見えることです。この記事では、ヘッダーを偽造したメールに特化してお話します。
メールスプーフィングは、ドメインスプーフィングという大きな括りに入ります。ドメインスプーフィングでは、攻撃者は通常フィッシング攻撃の一環としてWebサイト名(またはメールアドレス)を偽造します。ドメインスプーフィングはメール偽造に止まらず、偽のWebサイトや詐欺的な広告を作るのにも使われます。
攻撃者はスクリプトを使ってメールの受信者が見るフィールドを偽造します。それらのフィールドはメールヘッダー内にあり、送信者アドレス(“from”)と返信先アドレス(“reply-to”)を含みます。以下の例は、スプーフィングされたメールでそれらのフィールドがどのように見えるかを示しています。
これらのフィールドの偽造が可能なのは、メール伝送プロトコルの簡易メール転送プロトコル(SMTP)にメールアドレスの認証方式が組み込まれていないからです。実際、送信者と受信者のメールアドレスはメール内の2か所に存在します。ヘッダーとSMTPエンベロープです。メールヘッダーには受信者が見るフィールドが含まれますが、SMTPエンベロープにはメールを正しいアドレスに配信するためにサーバーが使う情報が入っています。ただ、これらのフィールドが一致しなくてもメールの送信は可能です。SMTPエンベロープがヘッダーをチェックすることはなく、受信者はエンベロープ内の情報を見ることができないため、メールスプーフィングは比較的簡単にできるのです。
スプーフィングされたメールは正当な送信者から来たように見えるため、受信者は騙されて、機密情報を漏らしたり、悪意のあるリンクをクリックしたり、本来ならしないようなことをしてしまったりする場合があります。このため、メールスプーフィングはフィッシング攻撃でよく使われます。
中には、攻撃者がスプーフィングしたメールドメインの信ぴょう性を上げようとして他の方法を使うこともあります。たとえば、会社のロゴやブランドアート、その他のデザイン要素をコピーする、なりすまされた会社にふさわしいメッセージや言葉を使うなどです。
メールの受信者は、以下のステップによりメールスプーフィングの被害に遭わないようにすることができます。
ドメイン所有者は、自分のドメインから攻撃者がメッセージを送らないように対策を講じることができます。そのために、組織で認証用のドメインネームシステム(DNS)レコードを作成することができます。これには次のものが含まれます。
組織レベルでも、セキュリティリーダーがフィッシング対策やマルウェア対策を講じることで、従業員をメールスプーフィングから保護できます。
メール認証はメールスプーフィング対策に役立ちますが、包括的なメールセキュリティソリューションではありません。たとえば、メール認証は他の一般的なフィッシング手法(よく似たドメインや、安全が損なわれた正当なドメインから送られるメールなど)は防げません。
Cloudflare Area 1 Email Securityはもっと総合的なアプローチを提供します。インターネットを事前予防的にクロールして攻撃者のインフラを特定し、それによってフィッシング攻撃を防止し、受信トレイの安全を確保します。