皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、トレンドマイクロ社のあるコラムを読んでいたところ、『ビジネスメール詐欺』に関連したものが紹介されていましたので、今日はそれをお伝えします。

類似ドメインを使ったなりすまし詐欺

事業者の場合、メールを送信する際に『なりすまし』対策の一つとして『SPF（送信元メールサーバのIPアドレス確認）』、『DKIM（電子署名確認）』、『DMARC（SPFとDKIMの認証を利用した認証と処理宣言）』といったドメイン認証を用いていることが多いですが、それを逆手に取ったような事象が起きています。

それは、『類似ドメイン』を使った『なりすまし』詐欺です。

例えば、example.comというドメインがあったとします。

この『example.com』になりすましたい場合、偽物のドメインとして『exarnple.com』というドメインを使い、事業者へ『請求書』などのメールを送りつけます。

この例によるポイントは、exampleの『m（エム）』を『rn（アール・エヌ）』に変えて模倣されている、『模倣ドメイン』であることです。

確かに、パッと見た限りでは『rn（アール・エヌ）』が『m（エム）』に見えてしまいます。

そして、この模倣ドメインと『SPF』、『DKIM』、『DMARC』といったドメイン認証を組み合わせることで余計に本物であるかのように見えてしまいます。

理由は簡単です。

模倣ドメインは攻撃者側が所有しているドメインですから、『SPF』、『DKIM』、『DMARC』、いずれも正常に認証をPassさせることができるからです。

『m（エム）』と『rn（アール・エヌ）』以外にも、『0（ゼロ）』と『O（オー）』、『o（オー）』と『a（エイ）』、『S（エス）』と『5（ゴ）』などがだましの模倣ドメインに使われていたりします。

このような『なりすまし』に対しては、徹底した社内教育に加え、それらを検知するセキュリティの導入などにてリスクを軽減する必要があるとされています。

参考：『ビジネスメール詐欺：DMARCなどドメイン認証のすり抜けを狙った手口』