ドッペルゲンガードメインとは？その脅威と対策を解説

「@gmail.com」のつもりで「@gmai.com」にメールを送信してしまった——このようなタイプミスによる誤送信が、企業の機密情報漏えいにつながるケースが増加しています。正規のドメイン名に酷似した「ドッペルゲンガードメイン」は、気づかないうちに重要な情報を外部に流出させる危険性を持ちます。

この記事では、ドッペルゲンガードメインの仕組み、企業が実施すべき5つの対策方法を具体的に解説します。

ドッペルゲンガードメインとは？

ドッペルゲンガードメインとは、正規のドメイン名に酷似したものを意図的に作成し、利用者を欺くサイバーセキュリティ上の脅威です。
攻撃者が利用するドッペルゲンガードメインには、いくつかのパターンがあります。自社のドメインについて、以下のような類似ドメインが存在しないか確認することが重要です。

1. 文字削除型

正規のドメインから1文字削除するパターン。最も一般的な手法です。

• 正）example.com → 偽）exampl.com
• 正）gmail.com → 偽）gmai.com

2. スペルミス型

よくある打ち間違いを利用したパターン。

• 正）example.com → 偽）exmaple.com(aとmが逆)
• 正）example.com → 偽）exampule.com(余分な文字)

3. ドット欠落型

ドメインの「.」(ドット)を省略するパターン。

• 正）example.co.jp → 偽）exampleco.jp

4. ホモグリフ型

見た目が似ている文字を使用するパターン。

• 正）example.com → 偽）examp1e.com(小文字のlを数字の1に)
• 正）example.com → 偽）examp|e.com(小文字のlを縦線に)

5. トップレベルドメイン変更型

.com、.jp などの末尾部分を変更するパターン。

• 正）example.com → 偽）example.cn
• 正）example.co.jp → 偽）example.jp

ドッペルゲンガードメインの仕組み

ドッペルゲンガードメインを使用した情報の窃取や攻撃は、ドメイン名のタイプミスを利用して行われます。 攻撃者は、ドッペルゲンガードメインを取得後、フィッシング用のＷｅｂサイトを立ち上げたり、誤ってドッペルゲンガードメインに送信されたメールを受信するためのメールサーバを立ち上げたりして、利用者を待ち構えます。
こうした利用者のタイプミスを狙った攻撃はタイポスクワッティングと呼ばれます。

ドッペルゲンガードメインによる被害事例

タイポスクワッティング(タイプミス)による被害事例として、アメリカ国防総省が利用するドメイン[.mil]宛てのメールを送信する際に、アフリカのマリ共和国のドメイン[.ml]に送信してしまう方がかなりいることが問題となりました。

また、ある企業がドッペルゲンガードメインについて実験を行いました。
とある有名企業のドッペルゲンガードメインを複数取得し、メールサーバを設置したところ半年で12万通、20Gバイトものメールを取得することができたとのことです。

(参考:wired.com https://www.wired.com/images_blogs/threatlevel/2011/09/Doppelganger.Domains.pdf)

ドッペルゲンガードメインの危険性

慣れているユーザでも被害にあうこと

ドッペルゲンガードメインの危険性は、リテラシの低いユーザによるタイプミスだけでなく、リテラシが高いユーザの「うっかりミス」もリスクとなる点です。普段から利用しているドメインで、指が動作を覚えており間違えないという思い込みから情報漏えいを起こしてしまうことがあります。

容易にドメインを作成できること

ドメインの作成は誰もが簡単にできてしまいます。アプリケーションやサーバなどの準備が必要なく、費用も安価であるため攻撃のコストは低いです。
ドメインの作成時には電話による認証や、本人確認書類の提示を求められる場合がありますが、海外のドメイン管理サービスなど厳格に本人確認を行わないサービスも多数あります。

被害に気付きにくいこと

一般的なメールサーバでは、そのドメイン内に該当のアドレスがなければ、相手にエラーメールを送信して届かなかったことを通知しますが、ドッペルゲンガードメインを利用した誤送信メールの窃取では、全てのメールを受信し、エラーメールを返さないことにより相手に誤送信していることを気づかせない、気付くのを遅らせるようにします。

ドッペルゲンガードメインから守るための具体的対策

ドッペルゲンガードメインの脅威に立ち向かうため、セキュリティ意識向上とリスク管理のための教育とトレーニングは不可欠です。
ドッペルゲンガードメインを利用した攻撃の存在を認識し、 「メールアドレスを打ち間違えた場合は相手に届かず、エラーメールが返ってくる」という意識から「そのまま窃取される可能性がある」という意識へ変化させることが重要です。

メール転送設定の危険性と対策

メールの自動転送設定は、ドッペルゲンガードメインによる被害で最も多いケースです。一度誤った設定をすると、気づかないまま数年間にわたり情報を流出し続けるリスクがあります。

転送設定時の具体的なチェック項目

• ダブルチェックの実施**：設定者以外の第三者が必ず確認
• テスト送信の実行**：設定後、必ずテストメールを送信して到達確認
• 定期的な見直し**：半年に1回は転送設定を見直す
• 設定内容の記録**：いつ、誰が、どのような転送設定を行ったかを記録
• エラーメールの監視**：転送先から返信がない場合は設定を確認

特に、退職者のメール転送や部署異動時の転送設定では、慎重な確認が必要です。会社に届いたメールを外部のGmailなどに転送する際、「○○mail.com」を「○○mai.com」と誤入力し、長期間にわたり情報が漏えいしていた事例が複数報告されています。

メールシステムのセキュリティ強化

メールソフトやメールサービス、メールセキュリティのシステムによっては、自ドメイン以外へメールを送信する際に警告表示したり、特定のドメインにはメールを送信できないようにする機能があります。
特定のドメインをブラックリストに登録できるシステムの場合、ドッペルゲンガードメインの一覧を提供するサービスを利用する等して、あらかじめ事故を予防しましょう。

自社ドメイン名の定期的なモニタリング

ドメイン名の定期的なモニタリングとは、企業や組織が自社の正規ドメイン名に類似した悪意あるドメイン名の登録状況を常に監視し、ドッペルゲンガードメインによる脅威を早期に発見・対処するための対策です。
具体的には、自社のドメイン名や商標に類似した文字列を組み合わせたドメイン名が新たに登録されていないかを定期的にチェックします。これにより、悪意ある第三者が不正なドメイン名を登録した場合、早期に検知することが可能になります。

また、他者が所有するドメイン名を不正に乗っ取るドメイン名ハイジャックという手口もありますので、「類似ドメイン」だけでなく、「使用中のドメイン」の管理も注意が必要です。

ドメイン名のモニタリングには、自動監視ツールを導入したり、専門の業者に委託したりする方法があります。監視の頻度は、企業や組織の規模やリスクの大きさに応じて適宜設定する必要があります。

モニタリングで不正なドメイン名を発見した場合、速やかに対処することが重要です。悪意あるドメイン名の登録者に対して、使用停止を求める通知を送ったり、法的措置を検討したりすることで、自社ドメインをドッペルゲンガーとして使用されることを防ぎます。

Ｑ＆Ａ

Q: ドッペルゲンガードメインにメールを誤送信してしまった場合はどうすればよい？

A: まずは社内のセキュリティ担当者へ報告しましょう。送信してしまった内容に機密情報が含まれるか等で対応が変わります。なお、ドッペルゲンガードメインの所有者に削除依頼を行っても、削除してくれる可能性は極めて低いです。

Q: 対策コストは高いですか？

A: 対策コストは、取り組む対策の範囲によりますが、自社のメールシステムを確認し、ブラックリスト機能があるのであれば、一般的なドッペルゲンガードメインをブラックリスト登録することが低コストで対応できる対策となります。

Ｑ．ドッペルゲンガードメインはどのような企業に多い？

Ａ．ドッペルゲンガードメインのリスクは、特に知名度が高く、オンラインでのブランドイメージが重要な企業に顕著です。例えば、Eコマース、金融サービス、テクノロジー業界の企業はターゲットにされやすく、これらの会社は自社のドメイン名に似たドメインを悪意を持って登録され、顧客の混乱やフィッシング詐欺のリスクにさらされがちです。

Ｑ．自社のドッペルゲンガードメインが存在するか確認する方法は？

Ａ．以下の方法で確認できます。
1.WHOIS検索：自社ドメインの類似ドメインが登録されているか調査
2.ドメイン監視サービス：専門業者に委託して定期的に監視
3.検索エンジンでの確認：自社名+「ドメイン」で検索し、類似サイトがないか確認

まとめ