スプーフィング攻撃とは何か?

なりすましとは、誰かが、あるいは何かが、被害者の信頼を得たり、システムにアクセスしたり、データを盗んだり、マルウェアを拡散したりするために、他の何かのふりをすることである。

.st0{fill:#0D3ECC;} MALWAREBYTES 無料でダウンロード

また Windows, iOS, Android, Chromebookビジネス向け

スプーフィングとは?スプーフィング定義

サイバーセキュリティに関連するなりすましとは、何者かが私たちの信頼を得たり、私たちのシステムにアクセスしたり、データを盗んだり、金銭を盗んだり、マルウェアを拡散させたりするために、他の何かになりすますことを指します。なりすまし攻撃には、次のようなさまざまな形態があります:

  • なりすましメール
  • ウェブサイトやURLのなりすまし
  • 発信者番号通知スプーフィング
  • テキストメッセージのなりすまし
  • GPSスプーフィング
  • 中間者攻撃
  • 内線スプーフィング
  • IPスプーフィング
  • 顔のなりすまし

では、サイバー犯罪者はどのようにして私たちを騙すのだろうか?多くの場合、信頼できる大組織の名前を騙るだけで、私たちは情報を提供したり、何らかの行動を起こしたりすることができる。例えば、PayPal Amazon なりすましメールは、あなたが行ったことのない買い物について尋ねてくるかもしれない。自分のアカウントについて心配になり、含まれるリンクをクリックする気になるかもしれない。

この悪質なリンクから、詐欺師はマルウェアをダウンロードできるウェブページや、見慣れたロゴとなりすましたURLを含む偽のログインページにユーザ名とパスワードを盗む目的でユーザーを送り込む。

なりすまし攻撃の手口は他にもたくさんある。いずれも、詐欺師は被害者が偽物に引っかかることを当てにしている。ウェブサイトの正当性を疑うことなく、電子メールの偽装を疑うこともなければ、いつなりすまし攻撃の被害者になるかわかりません。

そこで、このページではスプーフィングについてご紹介します。なりすましの種類、なりすましの仕組み、正規のEメールやウェブサイトと偽のものを見分ける方法、詐欺師のターゲットにならないための方法などについてご説明します。

サイバーセキュリティに関連する「なりすまし」とは、誰かや何かが、私たちの信頼を得たり、私たちのシステムにアクセスしたり、データを盗んだり、金銭を盗んだり、マルウェアを拡散させたりするために、他の何かのふりをすることである。

スプーフィングの種類

なりすましメール

電子メールのなりすましとは、通常、情報を盗んだり、コンピュータをマルウェアに感染させたり、金銭を要求したりすることを目的としたフィッシング攻撃の一環として、偽の送信者アドレスで電子メールを送信する行為です。悪意のある電子メールの典型的なペイロードには、ランサムウェアアドウェアクリプトジャッカートロイの木馬Emotetなど)、またはボットネットでコンピュータを奴隷にするマルウェア(DDoSを参照)が含まれます。

しかし、なりすましのEメールアドレスは、一般人を騙すには必ずしも十分ではありません。差出人欄にFacebook アドレスらしきものが記載されたフィッシングメールを受け取ったとする。メール本文は基本的なテキストで書かれており、デザインやHTMLは一切なく、ロゴすらない。このようなメールはFacebook送られてくるものではない。従って、フィッシングメールは通常、欺瞞的な機能を組み合わせている:

  • 友人、同僚、家族、取引先の会社など、あなたが知っていて信頼している人からのメールであるかのように見せかけた偽の差出人アドレス。 
  • 企業や組織の場合、Eメールにはロゴ、色、フォント、行動喚起ボタンなど、おなじみのブランディングが含まれることがあります。
  • スピアフィッシング攻撃は、企業内の個人または少人数のグループを標的にし、パーソナライズされた文言が含まれ、受信者を名前で呼び出します。
  • 誤字脱字が多い。私たちを騙そうとしても、メール詐欺師は自分の作品の校正にあまり時間をかけないことが多い。メール詐欺の手口には、誤字脱字があったり、誰かがGoogle翻訳で翻訳したような文章だったりすることがよくあります。Facebook PayPal ような企業が、顧客宛のEメールでそのようなミスをすることはまずありません。 

セクストーション詐欺では、電子メールのなりすましが重要な役割を果たしている。これらの詐欺は、私たちのウェブカメラがスパイウェアで乗っ取られ、私たちがポルノを見ているところを録画するために使われていると私たちをだます。これらのなりすましメールには、「あなたがポルノを見るのをずっと見ていました」などと書かれている。このシナリオの本当の気持ち悪い人は誰だろう?

詐欺師はその後、いくらかのビットコインやその他の暗号通貨を要求し、さもなければあなたのすべての連絡先にビデオを送信します。正当性を装うために、Eメールには以前のデータ流出で使用された古いパスワードが記載されていることもある。詐欺師がメールの差出人欄を偽装し、あたかもあなたの流出したと思われるメールアカウントから送信されているかのように見せかけることで、なりすましが成立する。ご安心ください、実際には誰もあなたを監視していません

ウェブサイト偽装

Webサイトスプーフィングとは、悪意のあるWebサイトを合法的なWebサイトのように見せかけることです。なりすましサイトは、ブランディングやユーザーインターフェース、さらには一見同じように見えるなりすましドメイン名まで、よく利用するウェブサイトのログインページのように見せます。サイバー犯罪者は、なりすましサイトを使ってユーザー名とパスワードを取得したり(別名ログインスプーフィング)、マルウェアをコンピュータに落としたり(ドライブバイダウンロード)します。なりすましウェブサイトは通常、なりすまし電子メールと組み合わせて使用され、電子メールはウェブサイトにリンクします。

なりすましのウェブサイトは、ハッキングされたウェブサイトとは違うということにも注意が必要です。ウェブサイトのハッキングの場合、本物のウェブサイトがサイバー犯罪者によって侵害され、乗っ取られています。同様に、不正広告はマルウェアの一種です。この場合、サイバー犯罪者は合法的な広告チャネルを利用して、信頼できるウェブサイトに悪意のある広告を表示します。これらの広告は、被害者のコンピュータにマルウェアを密かにロードします。

発信者番号通知スプーフィング

発信者番号通知なりすまし詐欺は、詐欺師があなたの発信者番号を欺き、どこからの電話でもないように見せかけることで起こります。詐欺師は、発信者番号通知であなたの市外局番と同じか近い番号が表示されていれば、あなたが電話に出る可能性が高いことを学んでいます。場合によっては、詐欺師は市外局番だけでなく、あなたの電話番号の最初の数桁を詐称して、あなたの近所から発信されているように見せかけることさえあります(別名、隣人詐称)。 

テキストメッセージのなりすまし

テキストメッセージのなりすましやSMSのなりすましとは、他人の電話番号や送信者IDを使ってテキストメッセージを送信することです。ノートパソコンからテキストメッセージを送信したことがある場合、テキストを送信するために自分の電話番号を偽装したことになります。

企業は、マーケティングや消費者の利便性のために、長い番号を短く覚えやすい英数字の送信者IDに置き換えることで、自社の番号を偽装することがよくある。詐欺師も同じように、英数字の送信者IDの背後に正体を隠し、しばしば合法的な企業や組織を装います。なりすましメールには、SMSフィッシング・サイト(smishing)やマルウェアのダウンロードへのリンクが含まれていることが多い。

テキストメッセージ詐欺師は、人材派遣会社を装って求人市場を利用し、被害者に真実味のある求人情報を送りつけることがある。ある例では、Amazon 在宅勤務の求人に "新車のトヨタ・カローラ "が含まれていた。まず第一に、在宅勤務なのになぜ社用車が必要なのか?第二に、トヨタの "カローラ "はトヨタ・カローラのジェネリック・バージョンなのだろうか?いい試みだ、詐欺師ども。

GPSスプーフィング

GPSスプーフィングとは、デバイスのGPSを騙して、実際には別の場所にいるにもかかわらず、ある場所にいると思い込ませることです。なぜGPSスプーフィングをするのでしょうか?2つの言葉がある:ポケモンGOです。

GPSスプーフィングを使って、ポケモンGOのチーターは人気のモバイルゲームでゲーム内のジムの近くにいると思わせ、そのジムを占拠することができます(ゲーム内通貨を獲得)。実際には、チーターは全く別の場所、または国にいます。同様に、YouTube ポケモンGOプレイヤーが家から一歩も出ずに様々なポケモンを捕まえている動画がアップされています。GPSスプーフィングは子供の遊びのように思えるかもしれませんが、脅威行為者がモバイルゲームの通貨を得ることよりももっと悪質な行為にこのトリックを使うことは想像に難くありません。

中間者(MitM)攻撃

マンインザミドル(MitM)攻撃は、あなたが近所のコーヒーショップで無料Wi-Fiを使用しているときに起こる可能性があります。もしサイバー犯罪者がWi-Fiをハッキングしたり、同じ場所に別の不正Wi-Fiネットワークを作ったりしたらどうなるか考えたことがあるだろうか?どちらの場合でも、サイバー犯罪者が2者間のウェブトラフィックを傍受できることからこの名前が付いた、中間者攻撃の完璧なセットアップができたことになる。なりすましは、犯罪者が当事者間の通信を改ざんして資金を迂回させたり、クレジットカード番号やログイン情報などの機密個人情報を聞き出したりする際に行われる。

余談:MitM攻撃は通常Wi-Fiネットワーク内のデータを傍受するが、MitM攻撃の別の形態はブラウザ内のデータを傍受する。これはマン・イン・ザ・ブラウザMitB)攻撃と呼ばれる。

内線スプーフィング

拡張子偽装は、サイバー犯罪者が実行可能なマルウェア・ファイルを偽装する必要がある場合に発生します。犯罪者がよく使う拡張子偽装の手口として、"filename.txt.exe" というようなファイル名を付けるというものがあります。犯罪者は、Windows ファイル拡張子がデフォルトで隠されていることを知っているため、一般的なWindows ユーザーには、この実行可能ファイルは "filename.txt" として表示されます。

IPスプーフィング

IPスプーフィングは、誰かがオンラインでデータを送信または要求している場所を隠したり偽装したい場合に使用されます。サイバー脅威に適用される場合、IPアドレスのスプーフィングは、悪意のあるトラフィックがフィルタリングされるのを防ぎ、攻撃者の場所を隠すために、分散型サービス拒否(DDoS)攻撃で使用されます。

顔のなりすまし

顔のなりすましは、テクノロジーと私たちの個人生活の未来に影響を与えるため、最も個人的なものかもしれない。現状では、顔認証技術はかなり限定的だ。私たちは自分の顔を使ってモバイル機器やラップトップのロックを解除しているが、それ以外はあまり使われていない。しかし近い将来、私たちは自分の顔で支払いをしたり、書類に署名したりするようになるかもしれない。自分の顔でクレジットラインを開設できるようになったときの影響を想像してみてほしい。恐ろしいことだ。

研究者たちは、ソーシャル・メディア上のあなたの写真から作られた3D顔モデルが、顔IDでロックされたデバイスへのハッキングに使用できることを実証した。さらに一歩進んで、Malwarebytes Labs 、政治家や有名人の声や似顔絵を使った偽のニュースビデオや偽のセックステープの作成にdeepfake 技術が使われていることを報告した。

スプーフィングはどのように機能するのか?

これまで、さまざまな形のなりすましについて説明し、それぞれの仕組みについても触れてきた。しかし、電子メールによるなりすましの場合は、もう少し詳しく説明する価値がある。サイバー犯罪者がなりすましメールで正体を隠す方法はいくつかある。最も確実な方法は、安全でないメールサーバーをハッキングすることだ。この場合、技術的な見地から見れば、メールは送信者とされる人物から送られていることになる。

ローテクな方法としては、「差出人」欄に任意のアドレスを記載する方法がある。唯一の問題は、被害者が返信したり、何らかの理由でメールを送信できなかったりした場合、その返信は攻撃者ではなく、「差出人」欄に記載されている人物に送られることだ。このテクニックは、スパムフィルタを通過するために正当なメールを使用するスパマーによって一般的に使用されています。送信した覚えのないメールに返信が来たことがある場合、これはメールアカウントがハッキングされた以外の理由の可能性があります。これはバックスキャッターまたはコラテラル・スパムと呼ばれています。

攻撃者がEメールを詐称するもう1つの一般的な方法は、同形異義語攻撃またはビジュアル・スプーフィングと呼ばれる、詐称しようとしているドメイン名と類似したドメイン名を登録することです。例えば、「rna1warebytes.com」。文字「l」の代わりに数字「1」が使われていることに注意。また、"m "の代わりに "r "と "n "が使われていることにも注意。これには、攻撃者になりすましたウェブサイトを作成するために使用できるドメインを与えるという利点もあります。

どのようななりすましであれ、偽のウェブサイトや電子メールを世に送り出し、最善を望むだけでは必ずしも十分ではない。なりすましを成功させるには、なりすましそのものとソーシャル・エンジニアリングを組み合わせる必要がある。ソーシャル・エンジニアリングとは、サイバー犯罪者が私たちを騙して個人情報を提供させたり、悪意のあるリンクをクリックさせたり、マルウェアが仕込まれた添付ファイルを開かせたりする手口を指す。

ソーシャル・エンジニアリングの手口は数多くある。サイバー犯罪者は、恐怖心、甘え、欲、虚栄心など、人間として誰もが持っている脆弱性を利用し、本当はやってはいけないことをするよう私たちを説得する。例えば、セクストーション詐欺の場合、あなたは自分の汚い洗濯物が皆の目に触れることを恐れて、詐欺師にビットコインを送るかもしれない。

人間の弱点も悪いことばかりではない。好奇心や共感は一般的に持っていて良い資質だが、犯罪者はそれを示す人間を標的にするのが大好きだ。

例えば、愛する人が外国で刑務所にいるか入院しているとされ、早急にお金が必要だという「取り残された孫詐欺」だ。メールやテキストには、「ジョーおじいちゃん、[国名を挿入]で麻薬の密輸で逮捕されました。資金を送ってください、それとパパとママには内緒です。あなたは最高です[幸せそうな顔でウインクする絵文字3つ]!」。ここで詐欺師たちは、祖父母が孫の居場所を常に把握していないことを利用している。

「なりすましを成功させるには、なりすましそのものとソーシャル・エンジニアリングを組み合わせる必要がある。ソーシャル・エンジニアリングとは、サイバー犯罪者が私たちを騙して個人情報を提供させたり、悪意のあるリンクをクリックさせたり、マルウェアが仕込まれた添付ファイルを開かせたりする手口を指す。"

スプーフィングを検知するには?

なりすましの兆候は以下の通りです。これらの兆候が見られたら、削除をクリックし、戻るボタンをクリックし、ブラウザを閉じてください。

ウェブサイト偽装

  • ロックシンボルやグリーンバーがないすべての安全で評判の良いウェブサイトにはSSL証明書が必要です。これは、ウェブアドレスが実際に検証されている組織に属していることを、第三者認証機関が検証していることを意味します。SSL証明書は現在、無料で簡単に取得できます。サイトに南京錠が付いていても、それが本物とは限りません。インターネットに100%安全なものはないということを覚えておいてください。
  • このウェブサイトはファイルの暗号化を使用していない。HTTP(ハイパーテキスト・トランスファー・プロトコル)は、インターネットと同じくらい古いもので、ウェブ上でファイルを共有する際に使用されるルールを指します。正規のウェブサイトは、データをやり取りする際、ほとんどの場合、HTTPの暗号化バージョンであるHTTPSを使用します。ログインページで、ブラウザのアドレスバーに "https "ではなく "http "と表示されていたら、疑ってみるべきです。
  • パスワードマネージャーを使う。1Passwordのようなパスワードマネージャーは、パスワード保管庫に保存した正規のウェブサイトのログイン情報を自動入力してくれます。しかし、なりすましのウェブサイトに移動した場合、パスワード・マネージャーはそのサイトを認識せず、ユーザー名とパスワードのフィールドを埋めてくれません。

なりすましメール

  • 差出人の住所を再確認する。前述の通り、詐欺師は正規のドメインとよく似た偽のドメインを登録します。
  • メールの内容をググる。素早く検索すれば、既知のフィッシングメールがウェブ上で出回っているかどうかがわかるかもしれません。
  • 埋め込まれたリンクのURLは普通ではありません。クリックする前に、カーソルを合わせてURLを確認してください。
  • 誤字、悪い文法、変わった構文。詐欺師は自分の仕事を校正しないことが多い。
  • メールの内容が良すぎるのだ。
  • 添付ファイルがあります。添付ファイル、特に見知らぬ差出人からのものには注意してください。

発信者番号通知スプーフィング

  • 発信者番号通知は簡単になりすまされる固定電話が詐欺電話の温床になっているのは悲しい現状だ。いまだに固定電話を持っている人の大半が、詐欺電話に最もかかりやすい高齢者であることを考えると、特に厄介だ。見知らぬ相手から固定電話にかかってきた電話は、ボイスメールか留守番電話にしておきましょう。

スプーフィングを防ぐには?

何よりもまず、スプーフィング攻撃を見破る方法を学ぶべきです。スプーフィングを発見する方法」のセクションを読み飛ばしてしまった場合は、今すぐ戻ってお読みください。

スパムフィルターをオンにしてください。これで、なりすましメールの大半が受信トレイに届くことはなくなります。

差出人不明のメールは、リンクをクリックしたり、添付ファイルを開いたりしないでください。正当なメールである可能性がある場合は、他の手段で送信者に連絡し、メールの内容を確認する。  

別のタブまたはウィンドウからログインする。不審な電子メールやテキストメッセージを受け取った場合、アカウントにログインし、情報の確認など何らかのアクションを取るよう要求されますが、提供されたリンクをクリックしないでください。代わりに別のタブまたはウィンドウを開き、サイトに直接移動してください。または、携帯電話やタブレットの専用アプリからログインしてください。

電話を取る。知り合いからと思われる不審なメールを受け取った場合は、恐れずに差出人に電話やメールをして、本当にその人がメールを送ったのかどうか確認しましょう。特に、「iTunesギフトカードを100枚買って、その番号をメールしてくれない?ありがとうございます。

Windowsファイルの拡張子を表示する Windows デフォルトではファイル拡張子を表示しないが、ファイル・エクスプローラーの「表示」タブをクリックし、ファイル拡張子を表示するボックスにチェックを入れることで、その設定を変更することができる。これでサイバー犯罪者がファイル拡張子を偽装するのを止めることはできないが、少なくとも偽装された拡張子を確認し、悪意のあるファイルを開かないようにすることはできる。

優れたウイルス対策プログラムに投資しましょう。万が一、悪質なリンクや添付ファイルをクリックしてしまっても、心配はいりません。優れたウイルス対策プログラムなら、脅威を警告し、ダウンロードを停止させ、システムやネットワークにマルウェアが侵入するのを防いでくれます。例えばMalwarebytes、加入前に無料で試用できるアンチウイルス/アンチマルウェア製品がある。

なりすましに関するニュース

なりすましやサイバー脅威に関する最新ニュースについては、Malwarebytes Labs ブログをご覧ください。

スプーフィングの歴史

なりすましについて新しいことは何もない。実際、トリックの一種としての「なりすまし」という言葉は、1世紀以上前にさかのぼる。Merriam-Websterのオンライン辞書によると、「スプーフ」という言葉は、19世紀のイギリスのコメディアン、アーサー・ロバーツによるもので、ロバーツが考案したトリックと欺瞞のゲームにちなんでいる。このゲームのルールは失われてしまった。このゲームがあまり面白くなかったか、当時のイギリス人がおふざけをするのが嫌いだったのだろうと推測できる。何はともあれ、ゲームにはならなかったが、名前は定着した。

スプーフがパロディの代名詞となったのは、20世紀初頭のことである。数十年間、誰かが「スプーフ」や「スプーフィング」と口にするときはいつも、メル・ブルックスの最新映画のスプーフや「ウィアード・アル」ヤンコビックのコメディ・アルバムのような、面白くてポジティブなものを指していた。

今日、なりすましはサイバー犯罪について語るときに最もよく使われる。詐欺師やサイバー脅威が自分ではない誰かや何かになりすます場合、それはなりすましである。