古くて新しい攻撃手法「ドッペルゲンガードメイン」とは:Tech Basics/Keyword
正規のドメインに似たドメイン名に間違ってメールを送信してしまう事故が、忘れた頃に報道される。メールアドレスのタイピングミスが主な原因だが、ミスを誘導しやすいドメイン名が悪用されているのも一因だ。こうした正規のドメインに似たドメイン名とは……。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「ドッペルゲンガードメイン」とは、有名なドメインに似た(そっくりの)ドメイン名のことだ。
タイプミスなどにより、ドッペルゲンガードメインを使ったフィッシングサイトに誘導するというのが典型的な攻撃例である。また、フィッシングメール内にドッペルゲンガードメインを使ったリンクを設定し、受け取った人が誤認して、クリックするのを誘導するという手法もある。
ドッペルゲンガードメインとは
ドッペルゲンガーとは、自分とそっくりな人の姿を自分で見る幻覚の一種のことである。ドッペルゲンガーに遭遇すると、その人物の「死の前兆」とも言われている。ここから、そっくりなドメイン名のことを「ドッペルゲンガードメイン」と呼ばれるようになった。
ドッペルゲンガードメインは、ドッペルゲンガーとは異なり、全く同じドメイン名ではなく、タイプミスや誤認識しやすいドメイン名である。例えば、「example.com」に対する「exampl.com」のようなドメイン名だ。
| 正規のドメイン | ドッペルゲンガードメイン | 説明 |
|---|---|---|
| example.com | exampl.com | 文字が足りない |
| example.com | examplr.com | スペルが微妙に違う |
| abc.example.com | abcexample.com | セカンドレベルドメインとサードレベルドメインを結合 |
| example.com | example.in | 異なるトップレベルドメイン |
| ドッペルゲンガードメインの例 | ||
有名なドメイン名に対して、こうしたタイプミスしやすいドメイン名を取得し、ユーザーが間違ってアクセスするのを待ち受けたり、フィッシング用のメール内のアクセス先として設定したりする。なお、有名なドメイン名に似たドメイン名を取得すること自体は、違法ではない。
また通常、メールはメールサーバにないアドレス宛てのものに対しては、エラーメールとして返すのが一般的だ。しかし、ドッペルゲンガードメインを使った攻撃を行う場合、メールサーバの設定を「キャッチオール」にする(全てのアドレスを受信する)ことで、タイプミスしたメールアドレスであっても全て受け取るようにする。これにより、タイプミスによる誤送信であっても、エラーメールが返って来ないため、ユーザーは間違ったアドレスに送信したことに気付かないことになる。
@gmail.com宛てのメール送信に注意
ドッペルゲンガードメインが注目され始めたのは、「gmail.com」に送信するメールを誤って、「gmai.com」に送信してしまう事故の報道が頻繁になされているためだろう。直近では、2021年3月31日に京都市立芸術大学が入学予定の学生の氏名などの個人情報を含むリストを、教員に送付する際、「@gmail.com」宛てとすべきところ、「@gmai.com」宛てに送信してしまったことを明らかにしている。また、2022年11月21日には埼玉大学が教員による転送先メールアドレスの設定ミスにより、個人情報を含むメールを、やはり「@gmail.com」宛てとすべきところ、「@gmai.com」宛てに送信していたことを公表した。
このような事故が多いことから、「gmai.com」が「gmail.com」のドッペルゲンガードメインの代表として取り上げられることも多い。だが、このドメイン自体はgmail.comのドッペルゲンガードメインとして取得されたものでない。もともとは「GMA Industries」という会社が自社のドメインとして運用していたものである。Internet Archive(Wayback Machine)で過去のWebページを探ったところ、2011年6月までは同社が運営していたようだ(その後、GMA Industriesはドメイン名を変更している)。
現在、gmai.comの運営元は不明だ。Webブラウザで「www.gmai.com」を開くと、別のドメインにリダイレクトされた後、Windows Defenderによるブロックを偽装したダイアログが表示される(このような手法は、Microsoftが「マイクロソフトのサポートを装った詐欺にご注意ください」で警告している)。このことからも、このドメイン名は善意のある人が取得しているとは思えない状態だ。
Webブラウザでgmai.comを開くとWebブラウザでgmail.comを開くつもりで、gmai.comを開いてしまうと、別のドメインにリダイレクトされて、偽のWindowsセキュリティによる警告ダイアログが表示される。このダイアログで表示されているボタンをクリックすると、マルウェアがインストールされる危険性がある。
gmail.comを開くつもりで、誤って「gmai.com」を開いてしまった場合は、表示されたダイアログには触れずに、Webブラウザを閉じること。また、念のため、ウイルスチェックを行った方がよい。Windows 10/11なら標準装備の[Windowsセキュリティ]アプリを起動し、[ウイルスと脅威の防止]を選択、[クイックスキャン]ボタンをクリックすると、簡単にウイルスチェックを行える(他のウイルス対策ソフトウェアを利用している場合は、そのソフトウェアでウイルスチェックを行うとよい)。
また、誤ってgmai.comに重要なデータを送信してしまった場合、メールの削除を依頼しても、そのメールが重要なものであることを悪意のある人に教える結果となりかねない。むしろ悪用される危険性が高まるだけなので、別の方法で対処した方がよいだろう。
特に「@gmail.com」のメールアドレスにメールを送信する場合、「@」前のアドレス部分の間違えも発生しやすいことから、できるだけアドレス帳を使って送信を行う、手でアドレスを入力した場合は念入りに確認を行う、といった誤送信をしない対策を必ず行ってほしい。
ドッペルゲンガードメインはgmai.comだけではない
フィッシングサイトで使われるドッペルゲンガードメインでは、トップレベルドメイン(.comや.jpなど)を別のものにして、銀行やカード会社などのドメイン名に偽装する手法も使われる。
例えばフィッシングメールは、その本文が本物の案内メールをコピーしていることも多く、メール本文からフィッシングメールであることが分かりにくい。その上、リンク先のボタンなどにドッペルゲンガードメインが指定されると、簡単にはフィッシングメールであるとは気付けない。こうしたメールに反応し、ボタンをクリックしてしまうと、偽装されたWebサイトに誘導され、クレジットカード番号や銀行口座番号などを詐取されてしまう危険性がある。
筆者に届いたフィッシングメールある大手銀行系のクレジットカードのパスワード変更を求めるフィッシングメール。[次に進む]ボタンをクリックすると、その銀行の正規のサービスに似たドメイン(フィッシングサイト)に誘導される。
このようにドッペルゲンガードメインを使った攻撃は巧妙になってきている。「支払いに問題が発生した」「カード番号が漏えいした」など、Webサイトへ誘導するメールが届いた場合は、リンク先がドッペルゲンガードメインでないかどうか、送信元の会社名やサービス名でWeb検索を行い、正規のドメイン名を確認して比較するとよい。少しでも怪しいアドレスからの送信の場合は無視すること。また、カード番号の漏えいなどの連絡が届いた場合に、本当に漏えいしていないかどうか心配だったら、メール内のリンクはクリックせず、正規のWebページに記載されている問い合わせ窓口(電話やメール)を経由して連絡するとよい。
更新履歴
【2022/11/22】埼玉大学によるメールの誤送信に関する情報を追記しました。
【2021/06/04】初版公開。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。