「ドッペルゲンガー・ドメイン」によるメール盗難

Typosquatting（タイポスクワッティング）をご存知ですか？ ZDNet Japanの用語解説によれば、「Typosquattingとは、ある有名なWebサイトのドメイン名によく似たドメイン名を取得し、タイプミスしたユーザーを不本意なWebページへ導く行為のこと」と定義されています。たとえば、google.comに似せたgoggle.comなどがよく知られていますが、このようなドメインは多くの場合フィッシングサイトとして利用されます。つまり、Webブラウザでのアクセスが中心でした。

このタイポスクワッティングの危険性をメールの分野で調査した結果がnakedsecurityの「Missing dots from email addresses opens 20GB data leak」で取り上げられています。レポートそのものはwired.comの「Doppelganger Domains（ドッペルゲンガー・ドメイン）」で読むことができますが、かなりショッキングな結果になっています。

この調査では、世界的によく知られた企業の所有するドメインによく似たドメイン（ドッペルゲンガー・ドメイン）を取得し、そのドメイン用のメールサーバーをキャッチオール設定（宛先のアカウント（ユーザー）に関わりなく、そのドメイン宛のすべてのメールを受信する設定）で設置する、という簡単な手順で行われています。メールサーバーを設置した経験をお持ちの方なら、この手順そのものはそれほど難しいことではないことがわかると思います。

この調査で具体的にどのようなドッペルゲンガー・ドメインを使用したのかは明らかにされていませんが、正規のドメイン名の中に含まれるサブドメイン名のドットを削除してドッペルゲンガー・ドメインとする、といった方法（例：ru.bank.com ⇒ rubank.com）も使われたようです。このように取得したドッペルゲンガー・ドメイン用のメールサーバーを設置して6ヶ月間試験運用したところ、メール数として12万通、データ量にして20GBのメールが届いたことが報告されています。その中には人事情報、請求書などの書類、ネットワーク構成図やユーザーアカウントの情報など、機密情報が含まれていたとのことです。
もちろん、12万通という数の中にはSPAMメールも大量に含まれているはずですが、報告によれば数千通のメールは機密情報だったとされています。

これは、メールの送信者が宛先メールアドレス（ドメイン）をちょっと間違えて書いてしまったために、正しい相手に届かないだけでなく、無関係の第三者（場合によっては悪意あるユーザー）にその情報が渡ったことを意味しています。

レポートでは、単に待ち受けるタイプだけの攻撃だけではなく、そのドメイン宛にメールを送らせるように仕向けるアクティブな方式についても説明されています。最近流行しているターゲット型の攻撃が広まれば、この問題はより深刻になること間違いないでしょう。

ドッペルゲンガー・ドメインを使ったタイポスクワッティングは、Webサーバーよりもメールサーバーを利用したもののほうがより簡単に引っかかり、悪影響も大きくなると考えられます。メールの場合、やり取りされる内容の重要性や機密性が高いことが多いことに加え、間違えて送信したことにそもそも気づきにくく（エラーメールが戻ってこなければ、まず間違いなく相手に届いたと思い込みますよね？）、さらにはいったん送信してしまうと取り戻せない、という問題があるためです。また、大企業や教育機関、組織などでは、メールアドレスにサブドメイン（場合によっては深い階層のものも）を含んだドメインを使用していることがあり、送信者がその宛先ドメインの正確性を確認するのが容易でない場合もあります。

このレポートでは、企業の側でできる対策として、自社ドメインに似たドメインを先に取得してしまうことや、社内向けDNSの設定変更によって他者のサーバーに飛ばないようにするなどの対策が挙げられています。

送信するユーザーの側で取れる対策としては、メールアドレスを入念に確認することはもちろん、初めてメールを送る相手にはいきなり重要な情報は送らない（まずは挨拶程度のメールにして、その返信をもって相手先を確認する、など）、メール本文や添付するデータの暗号化などを徹底する、といった策が考えられます。

APT（Advanced Persistent Threat）など、特に最近メールを起点にした攻撃が増えています。企業のネットワークセキュリティにおけるメールセキュリティの重要性は今後もますます高くなっていきそうです。