「実在しないメールアドレスからのアクセス」の答え合わせでもありますが。この「ドッペルゲンガードメイン」の存在を知って、そういうことか、と腑に落ちました。
そもそも「ドッペルゲンガー」ってなに?
ドッペルゲンガーとは自分自身の姿を自分で見る幻覚の一種で、「自己像幻視」とも呼ばれる現象である。自分とそっくりの姿をした分身。第2の自我、生霊の類。
ドッペルゲンガー-Wikipedia
中学生の頃に「世界のモンスター辞典」みたいな本を持っていたんですけど、そこで「ドッペルゲンガーとは自分そっくりな分身になるモンスター」的なこと書かれており、「ドッペルゲンガー」という言葉の意味はそのときに知りました。そして、この「ドッペルゲンガードメイン」という言葉を聞いて、「なるほど。言い得て妙なネーミングだな」と。
今回、Chat-GPTに構成をお願いしてみました(文章全部ではないです)。
Contents
ドッペルゲンガードメインとは
ドメイン名の役割と重要性
・ウェブサイトの「住所」としてのドメイン名の役割
ドメインというのはいわゆる「アドレス」とか「URL」とか言われるものです。このブログで言えば「mutsu.me」がドメインですね。
詳細は割愛しますけど、地図の座標がIPアドレスで、その座標に充てられる住所が「ドメイン」になります。
・ブランドや企業の信頼性を示す要素としての重要性
ドメインというのは企業名やサービス名、商品名などを名付けられることが多く、そのドメインを見れば企業や商品、サービスを想起するような重要なものだったり、
最近はダジャレというわけではないですが、ドット以 降の文字も含めてサービス名や商品名になるような組み合わせのものも出てきたりしていますね(このブログも僕の名前をもじったドメインになっています)。
ドッペルゲンガードメインの定義
・「ドッペルゲンガー(Doppelgänger)」の由来
上記に記載したとおり、分身や二重存在という言葉の意味になります。
「ドッペルゲンガードメイン」とは正規のドメイン名に酷似したドメイン名が第三者によって登録されることだったり、登録されたドメインを指します。
非常に厄介でして、「タイポスクワッティング」や「フィッシング詐欺」の一種としての位置付けされています。
・ドッペルゲンガードメインの種類
タイポスクワッティング型:小さな綴りミスを利用(例: gogle.com)
文字置換型:似た文字を置き換える(例: rnicrosoft.com)
サブドメイン型:サブドメイン部分に正規名を含める(例: secure.bank-example.com.fake-site.com)
ドッペルゲンガードメインはどういったトラブルを招くのか
・フィッシング詐欺
偽サイトを通じて個人情報やログイン情報を詐取する手口。実際の銀行やECサイトを装い、偽のログインページを作成。メールの文中に記載されているURLを見て、「正しいURLだ」と思ってしまい、アクセスしたら偽サイトだった、みたいな。
・ブランドイメージの低下
顧客が偽サイトを正規サイトと誤認し、不信感を抱く可能性。SNSや口コミを通じたネガティブな影響の拡大が考えられます。同時にSNS自体も最近はニセアカウントが増えていますね。似たようなアカウント名作ってフォロワーにDMでリンク送ってキャンペーン情報送って個人情報を登録させたり。
・経済的損失
同時に発生するのが、詐欺による顧客からの損害補償請求や法的対応コスト、顧客離れや売上減少につながるリスク。対策や対応を怠ると、ユーザーからも怒られますし。
・SEOへの悪影響
偽ドメインが悪質なリンクを含む場合、正規サイトの検索順位が低下する可能性があります。
ドッペルゲンガードメインが引き起こした事故の実例
米国エネルギー省関連組織の情報漏洩事件(2011年)
事件名(通称): Doppelganger Domain Attack by Godai and Fujii
概要:日本人セキュリティ研究者・神田雅之(Masato Godai)と藤井浩和(Hiroaki Fujii)が発見・実証した有名なドッペルゲンガードメインによる情報漏洩の例です。
手口:「typo-squatting」(タイプミスによるドメイン乗っ取り)ではなく、メールの送信先ドメインのスペルミスを悪用しました。例:本来は「example.com」へ送るべきメールが「example.com(mが全角)」や「examplle.com」に誤送信されるケースを狙い、これらの**”typo”ドメインを事前に登録**して待機。
結果:米国エネルギー省の請負企業や航空宇宙業界、銀行など多数の大手組織から、誤送信された機密情報や添付ファイル付きメールがこれら偽ドメインに届く事態が発生。
被害範囲:30以上の企業・政府関連機関から、合計20,000通以上の誤送信メールが観測されたと報告されています。情報には、社内IDやネットワーク構成、従業員の個人情報なども含まれていたとされます。
ただ、Chat-GPTを信じきれないので調べてみたんですけど、実験だったのかな?
Godai Groupによるホワイトペーパー(2011年)
セキュリティ研究者のPeter KimとGarrett Geeが、ドッペルゲンガードメインを利用して企業からの誤送信メールを受信する実験を行い、その結果をまとめたホワイトペーパーです。
内容の要約:
ドッペルゲンガードメイン(例:financecorpudyne.com)を登録し、企業からの誤送信メールを受信。
6か月間で20GB以上のメールデータを収集。
収集した情報には、ユーザー名、パスワード、ネットワーク構成情報、機密文書などが含まれていた。
詳細は以下のPDFで確認できます:
Doppelganger Domains Whitepaper(PDF)
WIREDによる報道記事(2011年9月)
上記の研究に関する報道記事で、実験の背景や影響について詳しく解説されています。
記事のポイント:
Fortune 500企業の30%がドッペルゲンガードメインの脅威にさらされている可能性がある。
一部のドメインは既に中国の組織によって登録されており、情報収集に利用されている可能性がある。
homelandsecuritynewswire.com
記事全文はこちらで読めます:
Researchers’ Typosquatting Stole 20 GB of E-Mail From Fortune 500
MyEtherWallet 偽ドメイン事件(2018年)
事件名: MyEtherWallet Phishing via Fake Domain
概要:暗号資産(仮想通貨)を管理する有名ウォレット「MyEtherWallet」の偽サイトが作られ、ユーザーの資産が盗まれる事件が発生。
手口:ロシア系の攻撃者が、正規のドメイン「myetherwallet.com」に酷似したドッペルゲンガードメインを用意し、Google広告を通じて偽サイトを検索上位に表示させた。偽サイトにアクセスしたユーザーが秘密鍵やパスワードを入力してしまい、資産が窃取される被害が続出。
結果・被害:少なくとも**数千ETH(数億円相当)**の資産が盗まれたとされ、当時仮想通貨界隈で大きな話題となりました。
MyEtherWallet(MEW)を標的とした2018年の偽ドメイン事件に関する詳細な情報は、以下の信頼性の高い記事で紹介されています。
・フィッシング対策協議会による注意喚起(日本語)
日本のフィッシング対策協議会は、2018年5月15日にMyEtherWalletを装ったフィッシングメールの出回りについて注意喚起を行いました。これらのメールは、ユーザーを偽のログインページに誘導し、秘密鍵やパスワードを入力させることを目的としていました。報告されたフィッシングサイトのURL例やメールの件名など、具体的な情報が掲載されています。
「MyEtherWallet」かたる偽メール出回る、仮想通貨ウォレットのアカウント停止を装う
MyEtherWallet をかたるフィッシング (2018/05/15)
・CoinPostによる報道(日本語)
日本の仮想通貨メディアであるCoinPostも、MyEtherWalletのDNSハイジャック事件について報じています。記事では、攻撃の手口や被害額(約215ETH、当時のレートで約1600万円相当)について詳しく解説されています。
MyEtherWalletが使用するDNSサーバーがハッキングされる|公式対処法掲載
国際的ブランド「Google」「Apple」などをかたるフィッシング
これは身近ですよね。ドッペルゲンガードメインは、Google、Apple、PayPal、Amazonなど大手IT企業のブランドを模倣するフィッシングで多用されています。
手法:
例:
g00gle.com(数字の0を使う)
paypa1.com(Lの代わりに数字の1)
icloud-support-apple.com(サブドメインを使った偽装)
特徴:
メール内リンク、Google広告、SNS広告などを使い、偽サイトへ誘導。ログイン情報やクレジットカード番号が盗まれるケースが多発しています。
ドッペルゲンガードメインの対策
早期発見とモニタリング
・まず、なぜ発見が遅れるのか?
一見して気づきにくい(文字の類似性)
正規ドメインとSSLもあるため、偽サイトでも「安全なサイト」と表示されることがある
ユーザーがブックマークやメールから直接アクセスしない限り、間違ったドメインに気づかない
・ドメイン名の登録状況を常時監視するツールの活用
例えば、「お名前.com」、簡単にブランド保護対策ができる「ドメインモニタリング」を提供開始とか?ですかね?
知的財産不正利用検知ツールっていうサービスもあるみたいだけど、企業名がわからない上にwho is検索やっても名前出てこない・・・。
・近似ドメインの早期発見と適切な対応
法的措置の準備
・ドメイン名に関する知的財産権の確保
・WIPO(世界知的所有権機関)やICANNを通じた紛争解決手続き
社内外への啓発活動
・社員や顧客に対するフィッシング対策のトレーニング
これ、結構重要かと思います。何故かというと、ユーザー自ら間違えることもあって、企業側はユーザーが登録した情報がおかしくないか、確認したほうがいいと思います。
必ずしもユーザーが正しいユーザーとは限らないこともあります(話は変わりますけど、プレゼントキャンペーンで何十件とメール届くけど、発信元のIPアドレスが全部同じとかね)。
そういう悪意のあるものだけじゃなく、「実在しないメールアドレスからのアクセス」のときと同じで、お客様がメールフォームに登録したメールアドレスが入力ミスで「ドッペルゲンガードメイン」になっていることもあり、企業側はそれに気づかずメールを送ってしまうと、そのメールアドレスが生成されていた場合、ドッペルゲンガードメインを登録したところに届いてしまう、ということです(ないとは言い切れない)。
・定期的なセキュリティ情報の発信と注意喚起
僕はこれに「顧客データベースのメンテナンス」も加えたいですね。メルマガなどはまだ使われているマーケティング手法ですが、送付前に送信リスト内でスペルミスがありそうなメールアドレスを検索して抽出したり、
顧客データベース内で検索かけてユーザーの入力ミスのメールアドレスをメンテナンスすることを推奨します。セキュリティ向上がもちろんメインの目的ですが、休眠ユーザーの発掘(休眠というかメールアドレスが間違っていたが故に今までメールが届かなかっただけ)。
例えば、こんなメールアドレスで検索してみると、意外と見つかるはずです。
gamil.com/gmil.com/gmai.com/gmall.com/gmailt.com/gmial.com/gmal.com/gmail.ne.jp/gmaile.com/gmail.con/gmai.co ・・・僕が過去に見たものでGメール系でもこれだけあります。
あとほかにちょこちょこ見かけるのは、携帯のメールアドレス(auやsoftbank、nttなどのキャリアメールのスペルミスや、icloud.comのミスなど)
これを放置すると、こういったことを招くことにもなります。
「gmail」ドメインを「gmai」と誤記、10カ月気付かず2000件超の情報漏えいか 埼玉大が「ドッペルゲンガー・ドメイン」の毒牙に
ドメイン保護の強化
・自社ブランドに関連する複数のバリエーションドメインを予防的に登録
これ、昔いた会社がGMOさん系の企業の代表と仲が良かったんで、代理店をやらせてもらえないか話を聞きに(上の命令で聞かされに)行ったことあります。このときに初めて「知的財産権」やgTLDとかccTLDとかを覚えた気がします。2011年か2012年か、そのくらいの頃。有名企業の関連ドメインを企業に変わって軒並み抑えていくっていう業務でした。
・SSL証明書の導入による安全性の強化
まとめ
対策としては、「企業もユーザーも、自社を/自身を守るための意識改革が必要」(=まずはリテラシーの向上)ですね。
WEBの攻撃って大手企業ばっかでしょ?と思うかもしれませんが、むしろ攻撃をされていても気がついてない、たまたまされていないレベルです。僕ですら攻撃を受けたことは何度もあります。
すぐ身近にあることなんだ、ということを理解してください。企業はユーザーを守ることが自社を守ることにも繋がります。売上に繋がらないから、とかじゃなくて。信用を失ってからでは遅いのです。
ドッペルゲンガードメインは、デジタル時代において企業が直面する重大なリスクです。
適切な対策と継続的なモニタリングにより、ブランドの信頼性を維持し、顧客を守ることが重要です。常に最新のセキュリティ情報を把握し、迅速な対応が求められます。