最近、某大学が gmail 充てのメールアドレスを gmai 宛に送ってしまい、個人情報(メールアドレスとメールに含まれる情報)が流出したとのアナウンスがありました。
その際に、「ドッペルゲンガー・ドメイン」の毒牙にかかるというような見出しが躍ったことで記憶が新しいかと思います。
ドッペルゲンガー・ドメインについて知る
ドッペルゲンガー・ドメインはタイポスクワッティングを行うための土台になりやすいです。タイポスクワッティング(Typosquatting)というのは、ユーザーが本来意図したURLとは別のドメインへ誘導したり、情報窃取を行う行為です。
名前の由来
ドイツ語のドッペル(英語では double )に由来するドッペルゲンガーは、「二重」「生き写し、コピー」という意味から「他人と同一の名前を持つ人物」または「ある人物と同一容姿の分身」、「二重身体験」という意味に由来し、紛らわしいドメイン名をドッペルゲンガー・ドメインと呼んでいます。
英語で言えばダブル・ドメインになるわけですが、そう言ってしまうと同じものが二つあるドメインという感じでとらえられてしまいます。そこでわざわざドッペルゲンガー・ドメインと表現し、同じように見えるけど、よく見たら違うものだという意味を含ませています。
ドッペルゲンガー・ドメインをもう少し詳しく
一般的に言われるドッペルゲンガードメインは、著名ドメインとは少しだけ異なり、全く同じドメイン名ではなく、そのドメインをタイプミスしたり、一見すると誤認識してしまうようなメイン名のことです。
一般的にはサブドメインとドメインの間のドットを落としたもの(例:yahoo.co.jp を yahooco.jp にしたもの)がドッペルゲンガー・ドメインとして認識されています。
また、ドット以外の文字を欠落させたもの、例えば、「gmail.com」に対する「gmai.com」のようなドメイン名もそれにあたります。
ドッペルゲンガー・ドメインは悪意なのか?
何度も例を挙げて申し訳ない gmai.com ですが、これは当初から悪意を持って gmail.com のドッペルゲンガーになったのかということが問題です。もしそうなら、日本国内なら不正競争防止法である程度何とか対応可能です(gmai.com の場合は国内法だけでは対処できません)。しかし、gmai.com の場合はそうなりません。
gmai.com はもともと米国ミシガン州の GMA Industries Inc が自社ドメインとして利用していました。ところが 2011年に同社は自社のドメインを変更し(gmaind.com に変更し)、gmai.com のドメイン名を手放しています。現在は誰が所有しているのか詳細は分かりません。しかし、そのドメインのトップページにアクセスすると、マルウェアを仕込むようなサイトにリダイレクトされますので、カタギな感じはしない悪意を感じます。
ドッペルゲンガー・ドメインはどう悪用する?
ドッペルゲンガー・ドメインは紛らわしいドメイン、というよりほぼ悪意的に登録されたドメインも大多数見受けられ、現実にはあまり良い使われ方はしません。
基本は受動的に使います。例えば、先ほどの gmail.com 宛のメールが送信者のタイプミスや登録ミスで gmai.com 宛に送信されてしまうようなケースです。
たとえば某大学が前期分授業料のお知らせみたいな内容を、生徒A ******a@gmail.com に送るつもりが、******a@gmai.com に送ってしまったようなケースです。
このようなケースでは、gmai.com でアクセスできるサーバーが、送信されてきたすべての電子メールを受け取る設定(拒否しない設定)になっている場合があります。その場合は、誤送信されたメールが内容を含めてすべて受信されてしまうことになります。
gmai.com のドメイン所有者が悪意者なら、そのメール内容を利用して某大学関係者を装い、授業料の支払い先の銀行口座を偽装したり、はたまたビットコインで支払えなどやってくるかもしれません。また、メールで研究室等の入室パスワードのリセットも行えるかもで、悪用度合いによってはうれしいカモが飛び込んできたことになります。
現実問題、大学からのメールは生徒の保護者宛にも CC されていることがあるので、支払い請求を CC されているアドレスだけに送信するようなことも可能です。生徒の親が情弱なら、疑わずに支払ってしまうかもしれません。
ドッペルゲンガー・ドメインを積極的に悪用する例
スパムメールをしっかりチェックしていると、ドッペルゲンガー・ドメインはよく見つかります。上の例の gmai.com は有名すぎて、悪者の間ではドッペルゲンガー・ドメインとしてとても価値のあるものです。
しかし、世の中そんなわかりやすいドッペルゲンガー・ドメインだけではありません。ずさんなドッペルゲンガー・ドメインもどきのものもよくあります。
日本国内で知られているドッペルゲンガー・ドメイン
インターネットなので国内・国外はあまり大したことないのですが、明らかに Yahoo Japan をターゲットにしたものなどあります。また、大学名などのバリエーションを含めると数は膨大にあります。
| 正規のドメイン | ドッペルゲンガードメイン | どう誤認させるか |
|---|---|---|
| gmail.com | gmai.com | 文字不足 |
| gmail.com | gmali.com | スペル誤認(打ち損じ)型 |
| yahoo.co.jp | yahooco.jp | 別レベルドメイン結合 |
| yahoo.co.jp | yahoo-co.jp | ハイフン誤入力 |
| gmai.com | gmail.com.com | 別TLD結合 |
| gmai.com | gmail.cm | 別トップレベルドメイン |
ドレインがどのような構成になっているかに精通しているか、少なくとも慣れていれば yahooco.jp みたいな幼稚なものには騙されないかもしませんが、タイプミスを誘発するようなものは注意が必要です。
また、自分ではタイプミスしていないつもりでも、入力システム(方式)が勝手に補完して gmail.com.com みたいなメールアドレスで確定してしまうことはよくありますので、この点も注意です。
日本国内で知られているドッペルゲンガー・ドメイン例
| gmajil.com | gmil.com | gmaii.com |
| gmaoil.com | icliud.com | yahooco.jp |
| gmall.com | ickoud.com | icolud.com |
| gmail.com.com | gmgil.com | icoud.com |
| gmaile.com | gmiel.com | icluod.com |
| gmaij.com | gmaol.com | iclud.com |
| gmail.co.com | gmial.com | icroud.com |
| gmahil.com | gmalil.com | i.sftbank.jp |
| gmail.cm | gmcil.com | icloid.com |
| gmai.com | gmajl.com | gmile.com |
紛らわしいメールアドレスですが、ほぼ実在するドメイン名です(廃止や摘発されていない限り)。ミスタイプして送信してしまったら、まずその送付内容は筒抜けになっていると考えてよさそうです。つまり、情報漏洩リスクが高まります。
ドッペルゲンガー・ドメイン防御策
ドッペルゲンガー・ドメインはウィルスがネットからやってくるというより、自分から間違ってアクセスしに行って感染してくるケースが大半です。また、何をもってドッペルゲンガーとするかも微妙ですので、ウィルス防止ソフトや、ウィルススキャナー、VPN などではそれに対応しきれません。
そもそも、自分がメアドをタイプミスして送信したメールが敵に渡った場合、それは敵(の紛らわしさが)が悪いという理屈には無理があります。
紛らわしいアドレスも、後に著名性を獲得すれば、どちらがドッペルゲンガーか割らなくなる時もあります。
つまり、自分が気を付けなければ、特にメール送信などでは注意を払わなければどうしようもありません。
ドメイン管理者は使用ドメインを極力増やさないようにする
使用しているドメインが多ければ多いほど、可能なドッペルゲンガー・ドメインも増えます。サブドメインを利用する場合も、いたずらに増やしすぎると、別レベルドメイン結合(ドット抜け)タイプのドッペルゲンガーを作られかねません。
そのため、管理者は自分が管理できる範囲を的確に見極めておきましょう。管理者が今後変更されることも見越して、むやみやたらとドメインを増やさないようにするのがコツです。
PGP で暗号化して送る
メールは今でも昔でも PGP(Pretty Good Privacy)で暗号化して送るのが安全です。しかし、セキュリティに敏感な人の間以外ではあまり使われていません。理由は、エシュロンシステムがメールの中身をインディックス化できないからとか言われていますが、定かではありません。いずれにせよ、開発元がそういう理由で圧力がかかったのか(真偽は不明) 2001 年に解体されて、別会社に売却されたりといろいろあり、現在はシマンテック社の一部になっています。
PGP で暗号化したメールを誤送信しても、正規の宛名人にしか複合できませんので、つまりメールの中身が漏洩するリスクは最小限です。それでも、誤送信宛のメールアドレス、差出人アドレス、CC などはそのまま漏洩します。
セキュリティソフト(ウイルス対策ソフト)を使う
ドッペルゲンガー・ドメインの場合は、セキュリティソフトの本来の役割からすれば、セキュリティソフトはあまり役に立ちません。
役に立ちませんが、流行りのハッキングの情報などはソフトを通じて得ることができますので、無いよりはましかと思います。
著名なソフトは以下のものがありますので、興味がある方はチェックしてみてください。
私は長くESETセキュリティソフトを愛用していますが、ドッペルゲンガー対策としては役には立たないようです。セキュリティ情報を得るのがメインなら、ノートン 360が充実しているようにも思います。ウイルスバスタークラウドも定番で、ウイルス対策に関しては昔からの定番でもあります。
その他の対策ソフトでもいいかと思いますが、ドッペルゲンガー対策はソフトの機能そのものよりソフトからの情報提供の充実度に着目した方がよさそうです(もちろん本体のウイルス対策機能の方が重要です)。
サイバー攻撃者の狙いは、要は作業者の入力ミス(ヒューマンエラー)です。作業者がアマい場合は、この手のミスは多発します。また、誤送信した事実に気づかない作業者すら、現実には多数存在します。
まとめ
まとめ
- 有名な組織のサイトには、まずドッペルゲンガー・ドメインば存在すると考えるべし
- メールの誤送信対策を各自で意識する
- メールの誤送信を防止するシステムを考慮に入れる
セキュリティに関することに興味ある方は、以下の記事もどうぞ。
自宅以外の Wi-Fi によく接続する人は、知らない間に安全ではないネットワークに接続してしまっていることがあります。特 ... 続きを見る VPN (バーチャル プライベート ネットワーク)を利用してアクセスすれば、原則匿名になります。暗号化通信のコアである仮 ... 続きを見る 前回、リダイレクトハックの概要をまとめました。 今回は、リダイレクトハックからいかにして生き返るか(回復させるか)がテー ... 続きを見る
知っておくべき VPN のメリットとデメリット(初心者指南)
VPN の違法性を探る、ロシアと中国で使うとアウトなのか?
[WP]リダイレクトハック被害から回復とその対策
