はじめに
企業や組織のドメイン名は、Webサイトやメールアドレスの信頼性を支える重要な資産です。しかし、ドメイン名の乗っ取りや類似ドメインを悪用した攻撃が増加しており、メールの誤送信やフィッシング詐欺の温床となっています。IPAの解説書でも、ドメイン名の管理不足による情報漏えいを注意すべき脅威として取り上げています。この記事では、ドメイン名に関する脅威とその対策を解説します。
ドメイン乗っ取りの手口
ドメイン期限切れと不正取得
ドメイン名の登録期間が切れたまま更新手続きが行われないと、第三者に再取得されてしまうことがあります。攻撃者はこのドメインを使ってフィッシングサイトを開設したり、以前と同じメールアドレス形式で詐欺メールを送信します。組織のブランドと関係者の信頼を利用し、機密情報を盗み取ることが目的です。
ドッペルゲンガードメイン
ドッペルゲンガードメインとは、正規ドメインに似せた別のドメインを登録し、メールアドレスのスペルミスや打ち間違いを利用してメールを受信する手口です。IPAは、似た文字やスペルの違いを狙う攻撃者が存在し、誤った宛先にメールを送ってしまうと機密情報が漏えいする恐れがあると指摘しています。例えば、「example.co.jp」と「exarnple.co.jp」のように似た形の文字を用いて登録されることがあります。
DNS設定の不備
DNSレコードの設定誤りや管理アカウントの乗っ取りによって、攻撃者がドメインのDNSを改ざんし、悪意のあるサイトへ転送するケースもあります。特に、レジストラやDNSプロバイダのアカウントが弱いパスワードで保護されている場合、攻撃者に乗っ取られるリスクが高まります。
ドメイン乗っ取りの実例
ドメイン乗っ取りの具体的な事例として、ある企業の主要ドメインが登録更新を失念していたため第三者に取得され、偽のコーポレートサイトが開設される事件がありました。攻撃者は正規サイトを模倣し、顧客情報の入力フォームを設置して機密情報を盗み取るフィッシングサイトとして運用していました。別の例では、企業名と酷似したドメインを取得した攻撃者が取引先に偽の請求書を送付し、金銭をだまし取ったケースも報告されています。このようにドメイン管理の不備はBECやサプライチェーン攻撃の基盤にもなり得るため、日常的な管理が欠かせません。
メール認証と送信ドメインの保護
フィッシングやBECを防ぐためには、送信ドメイン認証技術の導入が重要です。SPF、DKIM、DMARCはメール送信者を認証し、なりすましメールを検出・拒否するための技術です。IPAの資料では、これらのメール認証技術を導入し、DMARCポリシーを「reject」に設定することで不正メールを拒否できると説明しています。また、メールに電子署名を付与することで、受信者が送信者の正当性を確認できるようになります。
ドメイン管理のベストプラクティス
更新と監視
ドメイン名の登録情報を定期的に確認し、有効期限が切れる前に更新することが基本です。複数年契約や自動更新の設定を利用し、期限切れを防ぎます。また、WHOIS情報が正確であるかを確認し、レジストラのアカウントに多要素認証を導入して不正ログインを防ぎます。
類似ドメインの保護
自社ドメインに似た文字列を攻撃者に取得されないよう、重要な商標やブランド名に近いドメインを事前に複数登録することが効果的です。定期的に類似ドメインの登録状況を監視し、不審なドメインを発見した場合はレジストラや検索エンジンに通報します。
DNSSECとレジストラロック
DNSSECは、DNS応答に電子署名を付与し、DNSキャッシュポイズニングや応答の改ざんを防ぐ技術です。また、レジストラロックやドメインロックを設定することで、登録情報の変更を事前にロックし、第三者による不正変更を防ぎます。これらの設定を施すことで、DNS設定の乗っ取りを大幅に減らせます。
セキュリティ運用体制
ドメイン名管理を担当するチームを明確にし、更新・設定変更時には承認フローを設けます。メールの誤送信を防ぐため、送信先ドメインやアドレスを自動チェックする機能を持つメールシステムやDLPツールを導入することも有効です。誤送信が発生した場合は速やかに相手に連絡し、関係者に報告・共有して二次被害を防ぎます。
新たな脅威と手口
ドメイン名の乗っ取りは、単に期限切れを狙う方法だけではありません。近年ではドメイン登録レジストラのアカウント自体をフィッシングやパスワードリスト攻撃で乗っ取り、DNSレコードを書き換えて悪意のあるサイトへ誘導するケースも報告されています。また、DNSキャッシュポイズニングやBGPルートハイジャックを利用して、正規ドメインを指定しているのに攻撃者が用意した偽サーバに接続させる攻撃手法も存在します。これらの攻撃は技術的に高度なため、専門家による監視と多層的な防御が必要です。企業はレジストラアカウントに多要素認証やIP制限を導入し、不審なログイン試行を検知した時点でアカウントを凍結する運用を徹底すべきです。
組織への影響と被害事例
ドメイン名の乗っ取りや類似ドメインの悪用は、組織の信用失墜だけでなく具体的な金銭被害をもたらします。例えば、海外のエネルギー企業では、類似ドメインから送信された偽の請求書メールに騙され、数億円規模の不正送金が行われた事例があります。国内でも、物流会社のサブドメインが第三者に取得され、配送情報を盗まれたり、偽の追跡ページが公開されたりしたケースが報告されています。これらの事件では、ドメイン管理とサプライチェーンの脆弱性が複合的に関与していることがわかります。ドメイン乗っ取りが発生した場合、法務部門やCSIRTが連携して被害報告と法的対応を迅速に行うことが重要です。
監視ツールとプロアクティブな対策
ドメイン名やブランド名の悪用を早期に検知するため、監視ツールの導入が有効です。ドメイン監視サービスは、インターネット上で登録された新しいドメイン名をチェックし、自社名に類似したドメインや悪用の兆候がないかを検出します。また、ブランド保護会社やレジストラが提供するアラート機能を利用して、第三者による登録申請があった際に通知を受けることもできます。これにより、攻撃者がフィッシングサイトを構築する前に法的手段で差止めが可能になります。さらに、電子証明書の自動監視(証明書トランスペアレンシーログの監視)を行うことで、見覚えのない証明書が自社ドメインに発行されていないか確認できます。
国際的な規制とICANNの役割
ドメイン名制度は国際的に統一された管理体系のもとで運用されています。ICANN(Internet Corporation for Assigned Names and Numbers)はドメイン名やIPアドレス空間の管理・調整を担っており、紛争解決手続きやWhois情報の公開方針などを定めています。国際仲裁機関であるUDRP(統一ドメイン名紛争処理方針)は、ブランド名を含むドメインの不正取得に対して迅速に返還や取消を行う仕組みとして活用されています。国内法でも商標権や不正競争防止法を用いて類似ドメインの使用差止めを求めることができますが、国際的なルールと整合性を持たせることが重要です。
電子メールとWebアプリケーションの一体的な管理
ドメイン名はWebサイトだけでなく電子メールの信頼性にも直結します。SSL/TLS証明書を適切に取得し、HSTS(HTTP Strict Transport Security)を設定することで、ユーザーが常に暗号化された通信を利用できるようにします。また、メールサーバに暗号化強制(MTA‑STS)やTLS Reporting(TLS-RPT)を導入すると、メール配信過程での盗聴や改ざんを検出できます。Webアプリケーションとメールのセキュリティ設定を統合的に管理し、セキュリティヘッダーの設定やコンテンツセキュリティポリシー(CSP)の実装を行うことで、クロスサイトスクリプティングやクリックジャッキングなど二次的な攻撃も防止できます。
ドメイン管理のフレームワークと教育
ドメイン名管理の成熟度を高めるために、NIST CSF(サイバーセキュリティフレームワーク)やISO/IEC 27001のような規格を参考に運用プロセスを定義することが有効です。これらのフレームワークでは、資産の識別、リスク評価、運用管理、監視、改善サイクルの各ステップを通じて継続的にセキュリティ水準を向上させることが推奨されています。また、従業員への教育も欠かせません。メールアドレスの入力時に受取人ドメインを再確認する習慣や、未知のリンクを開かないといった基本動作を周知徹底し、誤送信による情報漏えいを未然に防ぎます。定期的にフィッシング訓練やドメイン監視レポートの共有を行うことで、組織全体のセキュリティ意識を高めることができます。
おわりに
ドメイン名は組織の信用を支える重要な資産であり、その管理を怠るとドメイン乗っ取りやフィッシング被害に直結します。IPAが指摘するように、ドッペルゲンガードメインによる誤送信や類似ドメインを悪用した攻撃は実在し、日常的なドメイン管理とメール認証の導入が欠かせません。ドメインの更新と監視、類似ドメインの保護、DNSセキュリティの強化を徹底し、安心してインターネットを活用できる環境を整えましょう。
