なりすましメールを見破るには？ 偽ドメインの見分け方、対策をKasperskyが解説：ドメインスプーフィングやコンボスクワッティングとは

[＠IT]

　職場でパスワード変更や休暇期間の確認、あるいは社長から送金を求める緊急メールを受信したことがあるだろう。このような予期せぬ依頼はサイバー攻撃のきっかけの可能性もあるため、詐欺ではないことを確認する必要がある。

　では、電子メールが本物であるかどうかを確認する際、メールアドレスやWebサイトのリンクはどのように確認すればよいのか。

　Kasperskyは公式ブログで、サイバー犯罪者によるなりすましの手口であるドメインスプーフィングやコンボスクワッティングを解説した。

同形異字を用いるホモグリフ攻撃

　1つ目は、視覚的に非常に似ている、または区別できない文字を使用することだ。多くのフォントの小文字の「L」（l）は大文字の「i」（I）と同じように見えるため、送信者の実際のアドレスが「john@mLcrosoft.com」だったとしても「JOHN@MlCROSOFT.COM」と表示されている場合、だまされる人も少なくない。

　Kasperskyは、ラテン文字以外の言語でドメイン登録が可能になってから、なりすましの数は爆増しているとし、ギリシャ語の「ο」、ロシア語の「о」、ラテン語の「o」といったさまざまな言語のoの組み合わせを駆使して、一見すると「Microsoft.com」に見える「microsоft.cοm」というような多数のドメインが登録されているとした。視覚的に類似した文字を使用する手口は、ホモグリフ（ホモグラフ）攻撃として知られている。

件名とドメインを類似させるコンボスクワッティング

　2つ目は、近年、サイバー犯罪者の間で流行しているコンボスクワッティングだ。ターゲット企業の電子メールやWebサイトを模倣して、その名前と関連する補助語（Microsoft-login.comやSkypeSupport.comなど）を組み合わせたドメインを作成する手口だ。

　Kasperskyによると、電子メールの件名とドメイン名の末尾を一致させることで、より本物のように錯覚させることが狙いだという。

　最も一般的なコンボスクワッティングでは「support」「com」「login」「help」「secure」「www」「account」「app」「verify」「service」が用いられているとした。

トップレベルドメインのスプーフィング

　3つ目は、サイバー犯罪者が「microsoft.com」の代わりに「Microsoft.co」や「office.com」の代わりに「office.pro」を取得するなど、別のトップレベルドメイン（TLD）を用いて正規ドメインになりすますTLDスクワッティングだ。

　つい最近も、10年以上にわたり、米国国防総省のさまざまな請負業者やパートナーが米軍の「.MIL」ドメインではなく、マリ共和国に属する「.ML」ドメインに誤って電子メールを送信していたことが報告されるなど、非常に効果的な手口だ。

これらの手口から身を守るには

　ホモグリフは見つけるのが最も難しい一方で、正当な目的で使用されることはほとんどないため、ブラウザ開発者とドメイン登録事業者による対策が進んでいる。その1つに非ASCII文字をASCII文字に変換するエンコーディング方式の一種「punycode」がある。

　punycodeにより、異なる言語やアルファベットのドメイン名を安全に表示、処理できる。ロシア語のoが2つ付いた偽ドメイン（Microsoft.com）は、n--micrsoft-qbh.xn--cm-fmcに変換される。

　コンボスクワッティングの最善の対策は、注意を払うことだ。全ての従業員が基本的なセキュリティ意識のトレーニングを受け、主要なフィッシング手法を見分ける方法を学ぶ必要がある。

　サイバー犯罪者の手口は広範囲にわたり、これらにとどまらない。Kasperskyは、情報セキュリティチームが従業員のトレーニングに加えて、保護ツールの使用も検討すべきとしている。