ドメインスプーフィングとは?| WebサイトスプーフィングとEメールスプーフィング

ドメインスプーフィング(ドメインのなりすまし)とは、偽のWebサイト名やEメール名を使い、安全でなく、悪意のあるWebサイトやEメールをあたかも安全に見えるようにする行為です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ドメインとは何かが分かる
  • Webサイトスプーフィングについて理解する
  • Eメールスプーフィングについて理解する
  • ドメインスプーフィングから保護する方法を確認する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

Cloudflareの無料SSL/TLSを使用し、セキュリティと信頼を高めます。

ドメインスプーフィングとは?

ドメインスプーフィングとは、サイバー犯罪者がWebサイト名やEメールドメインを偽って、ユーザーを欺こうとする行為を指します。ドメインスプーフィングの目的は、ユーザーに正規のEメールやWebサイトだと思わせて、悪意のあるEメールやフィッシングWebサイトとやり取りするよう仕向けることです。ドメインスプーフィングは、偽の資格証明書を見せて信頼を獲得し、相手を利用する詐欺師のようなものです。

ドメインスプーフィングはフィッシング攻撃で使われることが多々あります。フィッシング攻撃の目的は、アカウントのログイン資格情報やクレジットカードの情報などの個人情報を盗み、被害者をだまして送金させたり、ユーザーをだましてマルウェアをダウンロードさせたりすることです。ドメインスプーフィングは、広告主が支払いを行っているWebサイト以外のWebサイトに広告を表示して、広告主に支払いを強要するなどの広告詐欺の手段としても使用されます。

これは、DNSスプーフィングやキャッシュポイズニングそして、BGPハイジャック(乗っ取り)とは異なります。これらは、ユーザーを非正規のWebサイトにダイレクトする方法ではありますが、単に名前を偽るよりもだいぶ複雑な手法です。

ドメインとは?

正しくはドメイン名というドメインは、Webサイトのフルネームです。「cloudflare.com」はドメイン名の一例です。企業や組織では、従業員が使用するEメールアドレスの「@」マークの後ろに、ドメインが使用されています。個人用Eメールアカウントは「gmail.com」や「yahoo.com」をドメインとして使用しているかもしれませんが企業の業務用Eメールは通常、企業のWebサイトを使用します。(ドメインの詳細については、DNSとは?をご覧ください。)

ドメインスプーフィングの主な種類とは?

Webサイト/URLスプーフィング

Webサイトスプーフィングは、ユーザーがよく知っていて、信頼している正規のWebサイトのURLに酷似した、または正規のURLをそのままコピーした偽のURLを使用して、攻撃者がWebサイトを構築することを指します。URLのなりすましだけでなく、攻撃者は、正規Webサイトのコンテンツやスタイルをコピーして、さらに画像やテキストで完全に本物になりすまします。

URLを真似るために、他言語の文字や、正規のASCII文字とほとんど同じに見える、ユニコード文字を使用することさえあります。(これはホモグラフ攻撃と呼ばれます。)精度の低いなりすましURLは、頻繁に使用される文字をURLに足したり、URLの一部に置き換えたりするだけで、ユーザーが本物でないことに気づくこともあります。

ドメインスプーフィングの例

偽のWebサイトは通常、フィッシングのような犯罪行為に使われます。正規URLのように見せかけた偽のログインページで、ユーザーをだましてログイン資格情報を送信させます。なりすましWebサイトは、デマの流布やいたずらにも使用されます。

Eメールスプーフィング

Eメールスプーフィングとは、攻撃者が正規のWebサイトのドメインを使用した、偽のEメールアドレスを使用することを指します。これは、Eメールが構築されている簡易メール転送プロトコル(SMTP)にドメイン検証機能が組み込まれていないことから発生します。DMARCやDKIMなどの、最近開発された電子メールセキュリティプロトコルは、より強力な送信ドメイン認証機能を提供します。

攻撃者はEメールスプーフィングをフィッシング攻撃で頻繁に使います。ドメイン名になりますまし、フィッシング目的の偽装Eメールが本物だとユーザーに信じ込ませます。企業の代表者から来たと思わせるEメールは、その他のドメインから送信されたEメールよりも、一見、信頼性が高いように見えます。

フィッシング攻撃の目的は、騙されたユーザーが特定のWebサイトにアクセスしたり、マルウェアをダウンロードしたり、悪意のあるEメールの添付ファイルを開いたり、アカウントの資格情報を入力したり、攻撃者が管理するアカウントに送金したりすることです。

Eメールのなりすましは、多くの場合、Webサイトのなりすましとペアになっています。EメールがなりすましのWebサイトにつながり、そこでユーザーがアカウントのユーザー名とパスワードを入力するよう設計されているためです。

広告でのドメインスプーフィング

広告詐欺を行う詐欺師は、正規のWebサイト名に似せたWebサイトを構築し、正規Webサイトからトラフィックを引き寄せ、広告主に対し、なりすましサイトでの広告掲載への入札を勧めます。その結果、掲載された広告をクリックすると、広告主が希望したWebサイトの代わりにまったく別の望ましくないサイトが開きます。

では、ユーザーはどうすればドメインスプーフィングから身を守ることができるでしょうか。

ソースに注意する。Eメールに記載されたリンクか。全く予期しないEメールではなかったか。予期せぬ要求や警告は、詐欺師からのものである場合が多々あります。

URLを入念に確認する。本来あるべきではない追加の文字がないか。URLをコピーして新しいタブに貼り付けても、まだ同じように表示されるか。(これはホモグラフ攻撃の検出に役立ちます。)

SSL証明書があることを確認する。SSL証明書とは、Webサイトを識別し、Webサイトとの間のトラフィックを暗号化するテキストファイルです。SSL証明書は通常、外部の認証局により発行されます。発行前に認証局は証明書の発行を依頼した者が、実際にそのドメイン名を所有していることを(最低限であることが多いのですが、)確認します。最近では、ほとんどすべての正規WebサイトがSSL証明書を所有しています。

SSL証明書がある場合には、その内容を確認します。SSL証明書に記載されたドメインは期待される通りの名前ですか?(SSL証明書をChromeで表示するには、URLバーの左端にある錠前アイコンをクリックして、次に [証明書] をクリックします。)なりすましWebサイトに本物のSSL証明書があったとしても、それは、なりすましドメイン名のための証明書であり、実際のドメイン名の証明書ではありません。

重要なWebサイトはブックマークに追加します。ブラウザに組み込まれたブックマークに正規Webサイトを保存します。リンクをクリックしたり、URLを入力したりする代わりに、ブックマークをクリックすることで、常に正しいURLを読み込むことができます。たとえば、「mybank.com」と入力したり、Googleで銀行のWebサイトを検索したりする代わりに、その銀行のWebサイトをブックマークを作成します。

企業が自社ドメインのなりすましを防御するには、どうすればいいでしょうか。

SSL証明書は、Webサイトのなりすましを困難にします。攻撃者は、なりすましドメインを登録することに加え、なりすましのSSL証明書を登録する必要があるためです。(Cloudflareは無料のSSL証明書を提供します。)

しかし、Eメールのドメインなりすましを阻止する方法はありません。企業はEMARCやDKIMをはじめ、その他のプロトコルを使用して、正規に送信するEメールに検証を加えることができますが、それでも外部の何者かが、所有するドメインを使って、検証なしの偽のEメールを送信することを止める手立てはありません。