スプーフィングの定義
サイバーセキュリティでは、人の信用を得るために他の誰かまたは何かになりすます詐欺のことを「スプーフィング」と呼びます。その動機は通常はシステムにアクセスすること、データや金銭の盗難、マルウェアの拡散です。
スプーフィングとは?
スプーフィングは、広い意味では「サイバー犯罪者が信用を得ている人物・団体や端末になりすまし、サイバー犯罪者には有益だがユーザーにとって不利益な行動をユーザーにさせること」とされています。オンライン詐欺師が身元を別人に偽装する行為はどれも、スプーフィングと呼ばれます。
スプーフィングは様々な通信チャネルで応用され、使用される技術の複雑さの度合いも異なります。スプーフィング攻撃は通常、ソーシャルエンジニアリングの要素が関係し、詐欺師は技術的知識の欠如、恐怖、強欲などの人間のぜい弱性を悪用して、被害者を心理的に操ります。
スプーフィングの仕組み
スプーフィングは一般的に、偽のメールやWebサイトなどのなりすまし自体と、被害者に行動を促すソーシャルエンジニアリングの側面の、2つの要素を当てにしています。たとえば、スプーフィング攻撃者は、標的が信頼している先輩や上司からに見えるメールを送り、もっともらしい理由を添えてオンライン送金を依頼します。攻撃者は多くの場合、被害者に疑念を抱かせずに、してほしい行動をさせるには、どう操ればいいのか知っています。前述の例では、不正な電信送金への承認です。
スプーフィング攻撃が成功すると、個人情報や会社情報の盗難、今後の攻撃で使用される資格情報の収集、マルウェアの拡散、ネットワークアクセス権の不正取得、アクセス制御の回避など、甚大な被害が出るおそれがあります。企業の場合、スプーフィング攻撃がランサムウェア攻撃や、データの損傷およびコストのかかるデータ漏洩につながることもあります。
スプーフィング攻撃には様々な種類がありますが、より直接的なものでは、メール、Webサイト、電話が使われます。より複雑で技術を要する攻撃では、IPアドレス、アドレス解決プロトコル(ARP)、ドメインネームシステム(DNS)サーバーが使用されます。以下で、最も一般的なスプーフィングの例を説明します。
スプーフィングの種類
メールのスプーフィング
最も広く使用される攻撃の1つであるメールのスプーフィングでは、送信者がメールのヘッダーを偽装し、クライアントソフトウェアが偽の送信者のアドレスを表示します。ほとんどのユーザーは、それを文字通り受け取ります。メールの受信者がヘッダーを注意深く調べなければ、そこに表示されている送信者がメッセージを送ったと思い込みます。それが知っている名前であれば、信じる可能性が高くなります。
偽装されたメールは多くの場合、送金やシステムへのアクセスの許可を要求します。加えて、開封されるとトロイの木馬型マルウェアやコンピューターウイルスなどのマルウェアをインストールするファイルが添付されている可能性があります。多くの場合、偽装されたメールから侵入するマルウェアは、そのユーザーのコンピューターを感染させるだけでなく、ネットワーク全体を感染させるよう設計されています。
メールのスプーフィングの手口には、ソーシャルエンジニアリングの手法が使われます。ユーザーが閲覧しているものを正規の情報であるとユーザーに信じ込ませて、添付ファイルの開封や送金といった行動をさせるのです。
メールスプーフィングの阻止方法
残念ながら、メール送信の基盤であるSMTP(シンプルメールトランスファープロトコル)は、何らかの認証を要求しないので、メールのスプーフィングを完全に阻止するのは不可能です。しかし、一般ユーザーは安全なメールプロバイダーを選択し、次のような優れたサイバーセキュリティ対策を実行することで、メールのスプーフィング攻撃のリスクを簡単な手順で低減できます。
- サイトに登録するときは使い捨てのメールアカウントを使用してください。これにより、偽装メールのメッセージの一括送信に使用されるリストに、プライベートのメールアドレスが含まれるリスクが減ります。
- メールのパスワードを強力で複雑にしましょう。強力なパスワードを使えば、犯罪者がアカウントにアクセスし、そのアカウントを悪用して、そこから悪意のあるメールを送信するのが難しくなります。
- 可能であれば、メールのヘッダーを調査する(これは使用しているメールサービスにより異なり、デスクトップのみの対策です)。メールのヘッダーにはどのようなルートでメールが届いたかと、それがどこから送信されたのかに関するメタデータが含まれています。
- スパムフィルターをオンにしてください。これにより、ほとんどの偽装メールが受信箱に来なくなります。
IPスプーフィング
メールのスプーフィングはユーザーを対象としていますが、IPスプーフィングが主に標的とするのはネットワークです。
IPスプーフィングでは、攻撃者はシステムに不正アクセスするために、偽装した偽IPアドレスからメッセージを送信します。そうすることで、メッセージが同じ内部ネットワーク上に存在するコンピューターなどの信頼できる出所から送信されたかのように装うことができます。
具体的には、まず正規ホストのIPアドレスを取得して、サイバー犯罪者のシステムから送信されるパケットヘッダーを書き換えることにより、正規の信頼できるコンピューターが送信元であるかのように見せかけます。IPスプーフィング攻撃は早期検知が特に重要です。なぜならこの攻撃は、DDoS(分散型サービス拒否)の一部になっている場合が多く、ネットワーク全体をオフラインにするおそれがあるからです。詳細については、当社のIPスプーフィングに関する詳細記事をご確認ください。
IPスプーフィングの阻止方法 - Webサイト所有者のためのコツ
- 異常な活動がないかネットワークを監視する
- ネットワーク上のIPアドレスと合致しない送信元IPアドレスで送信されたパケットなど、不一致を検知できるパケットフィルタリングシステムを使用する
- すべてのリモートアクセス(ネットワークに接続されたコンピューターも含む)に対して検証を行う
- すべてのIPアドレスを認証する
- ネットワーク攻撃ブロッカーを使用する
- 少なくとも一部のコンピューターリソースにファイアウォールを適用する
Webサイトのスプーフィング
Webサイトのスプーフィングは、URLスプーフィングとも呼ばれ、正規のWebサイトにそっくりに作られた偽のWebサイトが使用されます。偽造されたWebサイトには、なじみのあるログインページ、盗まれたロゴマーク、そっくりのブランディング、一見すると正しい偽のURLすら表示されます。これらのWebサイトはログイン情報を盗むために構築されたもので、マルウェアをコンピューターに侵入させる可能性があります。多くの場合、Webサイトのスプーフィングはメールのスプーフィングと連動しています。たとえば、偽のWebサイトへのリンクを含んだメールが送信されることがあります。
Webサイトスプーフィングの阻止方法
- アドレスバーを確認してください。偽装Webサイトはセキュアではない可能性が高いです。URLの冒頭が「http://」ではなく、「セキュア」であることを意味する「s」が付いた「https://」かどうかを確認してください。また、アドレスバーに鍵のマークもあるべきです。これがあれば、そのサイトは最新のセキュリティ証明書を所持しています。これがないサイトは偽装だと一概には言えません。他の証拠も探してください。
- 誤記や文法誤り、少し違って見えるロゴや色に注意してください。コンテンツが完全かどうか確認してください。たとえば、偽装Webサイトの場合、プライバシーポリシーや利用規約を実際のコンテンツに含める面倒を避けることがあります。
- パスワードマネージャーを使用するようにしましょう。ログイン資格情報の自動入力を使用するソフトウェアは、偽装Webサイトでは機能しません。もしソフトウェアが自動でパスワードとユーザー名の欄を埋められなければ、Webサイトが偽装されている可能性があります。
発信者IDまたは電話のスプーフィング
発信者IDのスプーフィングは電話スプーフィングと呼ばれることもあります。詐欺師は、発信者IDに送信される情報を改ざんして、身元を偽装します。その理由は、知らない番号からより、市内局番からかかってきていると思われた方が、電話を取ってもらえる確率が高いと知っているからです。
発信者IDのスプーフィングではVoIP(ボイスオーバーインターネットプロトコル)が使用されます。これにより、詐欺師は好きな電話番号と発信者IDを作成できます。受信者が電話を取ると、詐欺師はだます目的で機密情報を取得しようと試みます。
自分の電話番号がスプーフィングに使用されるのを防ぐ方法
- 電話会社がスパム電話を特定またはフィルタリングするサービスやアプリを持っていないか確認する。
- スパム電話をブロックする第三者アプリの使用を検討する。ただし、その第三者に個人データを提供することに注意してください。
- 知らない番号からの電話には出ない。スパム電話に出ると、詐欺師は相手をかっこうの標的とみなし、スパム電話が増える結果になります。
テキストメッセージのスプーフィング
テキストメッセージのスプーフィングは、SMSスプーフィングとも呼ばれ、テキストメッセージの送信者が偽の送信者情報を表示して、ユーザーを欺きます。正規の企業でも時々、表向きは顧客の利便性を高めるためとして、マーケティング目的で長い番号を短くて覚えやすい英数字のIDに変えた送信者情報を表示します。しかし、詐欺師も真の身元を英数字の送信者IDに隠します。通常は正規の企業や団体になりすまします。多くの場合、これらの偽装テキストには、SMSフィッシング(「スミッシング」とも呼ばれます)サイトやマルウェアをダウンロードするためのリンクが含まれています。
テキストメッセージのスプーフィングの阻止方法
- 可能な限りテキストメッセージ内のリンクをクリックしないでください。知っている会社に見えるSMSが行動を急かしている場合、SMSのリンクはクリックせずに、URLを自分で入力するか検索エンジンから検索して、そのWebサイトに直接アクセスしてください。
- 特に、SMSメッセージに「パスワードの再設定」があれば、詐欺である可能性が極めて高いので、絶対にクリックしないでください。
- 銀行、通信会社、その他の正規のサービスプロバイダーが、SMSで個人情報を要求してくることは決してないことを、おぼえておいてください。このルートで個人情報を提供しないでください。
- お得情報や割引に関する「うますぎる」SMSのメッセージに注意しましょう。これらは高い確率で詐欺です。
ARPスプーフィング
アドレス解決プロトコル(ARP)はネットワーク通信が、ネットワーク上の特定の端末に到達できるようにするプロトコルです。ARPスプーフィングはARPポイズニングとも呼ばれ、悪意のあるユーザーがローカルエリアネットワーク上で偽のARPメッセージを送信する手口です。これは、攻撃者のMACアドレスをネットワーク上の正規の端末やサーバーのIPアドレスにリンクさせます。このリンクにより、攻撃者はそのIPアドレス宛てのデータの傍受、改ざん、または停止すらできるようになります。
ARPポイズニングの阻止方法
- 個人の場合は、一番の対策は仮想プライベートネットワーク(VPN)を使用することです。
- 組織の場合は、HTTPSやSSHプロトコルなどの暗号化を使用してください。これによりARPポイズニング攻撃の成功率を低減できます。
- 組織の場合は、パケットフィルターの使用も検討してください。パケットフィルターは悪意のあるパケットやIPアドレスが疑わしいパケットをブロックします。
DNSスプーフィング
DNSスプーフィングは、DNSキャッシュポイズニングとも呼ばれる攻撃です。変更されたDNSレコードが使用され、オンライントラフィックが、本来の行き先そっくりに偽装されたWebサイトにリダイレクトされます。攻撃者はDNSサーバーに保存されたIPアドレスを自分の使いたいアドレスに置き換えることで、これを実現します。詳細については、DNSスプーフィング攻撃に関するこちらの記事の全文をご確認ください。
DNSスプーフィングの阻止方法
- 個人:不明なリンクは決してクリックせず、仮想プライベートネットワーク(VPN)を使用し、マルウェアがないか端末を定期的にスキャンし、DNSキャッシュをクリアしてポイズニングを回避してください。
- Webサイト所有者:DNSスプーフィング検知ツール、ドメインネームシステムのセキュリティ拡張機能、エンドツーエンドの暗号化を使用してください。
GPSスプーフィング
GPSスプーフィングは、GPS受信者をだまして、本物に見せかけた信号をブロードキャストさせる手口です。詐欺師はある場所にいるふりをして、実際は別の場所にいるのです。詐欺師はこれを使って、車のGPSをハッキングし、ユーザーを間違った場所に誘い出します。さらに大規模になると、船舶や航空機のGPS信号を傍受することすらあります。多くの携帯アプリはスマートフォンからのGPS追跡データに頼っているため、この種のスプーフィング攻撃の標的になるおそれがあります。
GPSスプーフィングの阻止方法
- GPSスプーフィング対策技術は開発途上ですが、主に海上航行などの大型システム向けです。
- スマートフォンやタブレットを保護する最も簡単な方法は(たとえ不便でも)、「バッテリー節約GPS追跡モード」に切り替えることです。このモードでは、Wi-Fiおよびセルラーネットワークのみを使って位置を特定し、GPSは無効になります(このモードは一部の端末では使用できません)。
顔のスプーフィング
顔認証テクノロジーは、携帯端末やノートPCのロック解除に使用されていますが、その領域は法的機関、空港のセキュリティ、医療、教育、マーケティング、広告など、徐々に広がっています。顔認証のスプーフィングでは、個人のオンラインプロファイルから、あるいはハッキングされたシステムを介して直接または密かに不正取得された生体認証データが使用されます。
顔のスプーフィングの阻止方法
- ほとんどの顔認証スプーフィング対策の手法では、生体検知が使用されます。これには、本物の顔か偽の複製かを見分ける次の2つの技術があります。
- まばたき検知 - まばたきの間隔のパターンを観察します。このパターンと一致しない場合はアクセスが拒否されます。
- 対話検知 - ユーザーに特定の表情をするように要求し、本物かどうかを確認します。
スプーフィングの阻止方法
一般的に、次のオンライン安全対策に従うことで、スプーフィング攻撃の標的になる可能性を最小に抑えられます。
- 覚えのないソースからのリンクをクリックしたり、添付ファイルを開かない。そこにはマルウェアやウイルスが含まれていて、端末が感染するおそれがあります。疑わしいものは、常に避けてください。
- 知らない送信者からのメールや電話に応答しない。詐欺師とのやり取りは何でも潜在的リスクがあり、望まないメッセージをさらに呼び込みます。
- 可能であれば、二要素認証を設定する。認証プロセスにセキュリティ層が追加されるので、攻撃者がデバイスまたはオンラインアカウントにアクセスするのが難しくなります。
- 強力なパスワードを使用する。強力なパスワードは推測が難しいので、できれば大文字と小文字、特殊文字、数字を組み合わせてください。同じパスワードを一律に使うのを避け、パスワードを定期的に変更してください。パスワード管理ツールの使用がパスワードを管理する優れた方法です。
- オンラインのプライバシー設定を見直す。ソーシャルネットワーキングのサイトを使う場合は、接続する相手に注意し、身を守るためにプライバシーとセキュリティ設定の使い方をおぼえましょう。疑わしい動作に気づいたり、スパムをクリックしたり、オンライン詐欺に遭遇したら、アカウントを保護する手順を取り、必ず報告をしてください。
- オンラインで個人情報を提供しない。完全に信頼できるソースでない限り、個人およびプライベートの情報をオンラインで開示しないようにしましょう。
- デバイスとソフトウェアは常に最新の状態にする。ソフトウェアアップデートにはセキュリティパッチ、バグ修正、新機能が含まれています。常に最新にすることで、マルウェア感染とセキュリティ侵害のリスクを軽減できます。
- 誤記や文法誤りがあるWebサイト、メール、メッセージに注意する。さらに、いつもと違って見えるロゴや色、またはコンテンツの欠如といった他の特徴にも注目しましょう。これらはスプーフィングの証拠である可能性があります。有効なセキュリティ証明書があるWebサイトのみにアクセスしましょう。
米国では、スプーフィングの被害者は連邦通信員会(FCC)の消費者苦情センターに苦情を申し立てることができます。世界中のその他の法的機関にも同様の団体があり、独自の苦情手続きがあります。スプーフィングで金銭を失った場合は、法的機関に協力を依頼できます。
オンラインでの安全性を確保する最も優れた方法は、堅牢なウイルス対策製品によるソリューションです。当社が推奨するのはKaspersky Total Securityです。これはオンライン上のお客様とお客様の家族を保護し、インターネット体験の安全性を高める総合的なサイバーセキュリティパッケージです。
関連記事