goo blog サービス終了のお知らせ 

CyberChaos(さいばかおす)

プログラミング言語、トランスパイラ、RPA、ChatGPT、データマイニング、リバースエンジニアリングのための忘備録

メールアドレススプーフィングのやり方と対策

2025-04-10 11:27:36 | リバースエンジニアリング
**メールアドレススプーフィング(Email Spoofing)** は、送信者メールアドレスを偽装して、受信者に本物と誤認させる手法です。フィッシング詐欺やマルウェア配信、ビジネスメール詐欺(BEC)などに悪用されます。

---

## **メールアドレススプーフィングの主な手口**
### **1. SMTPプロトコルの脆弱性を悪用**
- **SMTP(Simple Mail Transfer Protocol)** 自体には送信者認証機能がないため、`From` フィールドを自由に改ざん可能。
- 例:
```
From: support@paypal.com(実際は attacker@example.com から送信)
```

### **2. ドメイン偽装(ドメインスプーフィング)**
- **似たドメイン名を使う**(例:`paypa1.com`、`amaz0n.net`)。
- **Unicode文字を悪用**(`аmazon.com`(キリル文字の「а」)など)。

### **3. リプレイ攻撃(正規メールの転用)**
- 過去に正規企業から届いたメールを改ざんし、再送信する。

### **4. フィッシングメールでの利用**
- 偽のログインページへ誘導し、クレジットカード情報やパスワードを盗む。
- 例:
> 「あなたのアカウントに異常があります。すぐに確認してください」
> (本物そっくりの偽サイトへリンク)

---

## **メールスプーフィングの対策**
### **【個人向け】**
1. **送信元アドレスを過信しない**
- メールの `From` 欄は簡単に偽装可能。**内容やリンク先を必ず確認**する。

2. **SPF・DKIM・DMARCを確認**
- 受信メールのヘッダーをチェックし、認証が通っているか確認(※後述)。

3. **不審なリンク・添付ファイルを開かない**
- URLにマウスオーバーし、実際のリンク先を確認。
- `.exe`、`.zip` などの不審なファイルは実行しない。

4. **二段階認証(2FA)を有効化**
- パスワードが漏れても、SMSや認証アプリで保護可能。

5. **迷惑メールフィルターを活用**
- Gmail・Outlook などのフィルタリング機能を有効にする。

---

### **【企業・ドメイン管理者向け】**
#### **1. SPF(Sender Policy Framework)**
- **「自社ドメインから送信できるメールサーバー」をDNSで登録**し、未許可サーバーからの送信を拒否。
```
example.com のDNSレコードに以下を追加:
v=spf1 include:_spf.google.com ~all
```

#### **2. DKIM(DomainKeys Identified Mail)**
- **電子署名**をメールに添付し、改ざんを検知。
```
DNSに公開鍵を登録し、受信側で検証。
```

#### **3. DMARC(Domain-based Message Authentication)**
- **SPF/DKIMの認証失敗時のポリシー**(拒否・隔離・許可)を設定。
```
_dmarc.example.com のDNSレコード例:
v=DMARC1; p=reject; rua=mailto:admin@example.com
```

#### **4. 従業員教育**
- **BEC(ビジネスメール詐欺)対策**として、金銭・データの要求時に電話で確認するルールを徹底。

#### **5. セキュリティツールの導入**
- **メールゲートウェイ(Proofpoint、Mimecastなど)** でスプーフィングメールをブロック。

---

## **偽装メールの見分け方**
- **ヘッダー情報を確認**(Gmailなら `「…」→「メッセージのソースを表示」`)。
- `Return-Path` と `From` が一致しない場合は要注意。
- **SPF/DKIM/DMARC の認証結果**をチェック。

例(正規メールのヘッダー):
```
Received-SPF: Pass
Authentication-Results: dkim=pass header.i=@example.com;
DMARC-Status: pass
```

---

## **まとめ**
✅ **個人は** → リンク・添付ファイルに注意し、2FAを有効化。
✅ **企業は** → **SPF・DKIM・DMARC** を設定し、従業員訓練を実施。
✅ **共通** → メールの送信元を過信せず、**必ず二次確認**する習慣を。

メールスプーフィングは技術的に難しくないため、**「このメール、本当に本物?」と常に疑うことが最大の防御策**です。


最新の画像もっと見る

コメントを投稿

サービス終了に伴い、10月1日にコメント投稿機能を終了させていただく予定です。
ブログ作成者から承認されるまでコメントは反映されません。