2021-06-22 / 最終更新日時 : 2021-06-19 lrm 法人(経営)

第42回 ドッペルゲンガードメインにご注意下さい

情報セキュリティ連載
第42回 ドッペルゲンガードメインにご注意下さい

今回取り上げるドッペルゲンガードメインとは偽Webサイトの一種です。ドッペルゲンガーとは「自分とそっくりな姿をした分身」という意味の言葉で、ドメインとはインターネット上の住所のこと「co.jp」「.com」などWebサイトではhttps、メールでは@以下に表記されているものです。

1 送信者が気づきにくいドッペルゲンガードメイン

ドッペルゲンガードメインの“代表例”として挙げられるのが、「gmai.com」です。Googleの「Gmail」ドメイン「gmail.com」と似通ったドメインです。

登録されていないドメインへメールを送信した場合、送信者のメールの受信ボックスに「宛先が見つかりません」という内容のメールが送信されます。

しかしながら、入力ミスをしたドメインが実際にあった場合、メールはそのドメインへ送信されます。この「gmai.com」はすでに登録されており有効なメールアドレスで送信が可能となっています。

ドッペルゲンガードメインの多くが、ヒューマンエラーを狙った情報漏洩を誘うサイトの一種です。

2 ある研究機関のドッペルゲンガードメインの調査

サイバーセキュリティ対策の研究者が様々な企業のドッペルゲンガードメインを複数作成したところ6カ月の間に下記のような内容を含んだメールを12万通受信したと報告しています。

受信したメールの内容

• 企業のWebルーターの設定情報とアクセス用パスワード

• EU圏内の高速道路のシステム関連のアクセスパスワード

• 企業間の請求書や契約書

• 企業の社員メールのアドレス、氏名、メールアクセス用パスワード

ルーターの設定情報とパスワードがあれば企業ネットワーク内部に入れますし、場合によってはルーターの情報を変更しルーターの権限さえ奪うことが可能となります。

3 同様の事故が2021/3/31に発生

京都市立芸術大学で新入生に関するメールを誤送信する事故が発生しました。
(2021年5月5日付  日本経済新聞電子版)

事故の内容は、同大学が21年4月入学の学生135名の住所、メールアドレスなどの個人情報を記載したメールを誤ってgmai.comへ送信してしまったというものです。

大学側は誤送信先へ当該メールの消去を依頼、再発防止を徹底すると発表しています。

4 ヒューマンエラーを前提とした情報漏えい対策が必要

上記の研究機関、大学の事例からヒューマンエラーは常に起こり得ると認識すべきでしょう。独立行政法人 情報処理推進機構が毎年公表する「情報セキュリティ10大脅威」でも常に上位にメール関連の詐欺や情報漏えいの事件、事故がランキングしています。その多くが入力ミスや確認ミスなどのヒューマンエラーに基づくものです。

5 情報漏えいを最小限にする具体的対策

情報漏えいを防ぐ対策として下記の対策が有効です。

⒈ 情報レベルが高い内容はパスワードをかけたドキュメントを添付する

前述の研究機関、大学の事例は個人情報やパスワードなどの情報レベルが高い内容をメール本文にそのまま掲載させてしまっている点に問題があります。

個人情報など情報レベルの高い内容についてはパスワードをかけたドキュメントに個人情報を掲載し、それをメールに添付するときは当事者にしかわからない情報を添付ファイルのパスワードにしていれば、誤送信していても個人情報は漏れなかったでしょう。

パスワードは送受信者間のみでわかるもの、例えば送信メール文章内に表記されていない送信相手の携帯番号や、メールアドレスに表記されていない名前などを利用するようにすれば、パスワードを添付した別メールを送ることなく、相手はパスワードを解除することができます。

⒉ 誤送信をする環境を回避する

また、企業側が管理するクラウドシステムに相手をログインさせ、そこで情報のやり取りを行うという方法も有効です。

当社が行っている例としては当社ドメインのGoogleDrive上に社外で情報共有用にフォルダを作成、アクセス権限を当社担当者と当該外部担当者のみとした上で、そのフォルダ上に共有する情報をアップロードする方法です。

この方法の場合、まず誤送信の問題は生じませんし、相手のアクセス権限を外せば相手はファイルにアクセスできなくなります。

仮になりすましなどで不正にログインしても(Googleの二段階認証をオンにすれば不正ログインはほぼ不可能)このフォルダ上の情報しかアクセス出来ず、許可されたファイルにしか相手は入れないため、フォルダ内のデータが漏洩するのみとなります。

メール送信する際には、相手のメールアドレスの確認を必ず行い、メール内容によってはパスワードのかかった添付ファイルに内容を添付し、万が一誤送信が起きても情報漏えいが起きないようにしましょう。

《参考文献》『「gmai.com」にメール誤送信、相次ぐ情報流出』2021年5月5日付  日本経済新聞電子版

 

お問い合わせ

神奈川県川崎市で税理士・社会保険労務士をお探しなら

LR小川会計グループ

経営者のパートナーとして中小企業の皆さまをサポートします

カテゴリー
法人(経営)
タグ

第42回 ドッペルゲンガードメインにご注意下さい” に対して1件のコメントがあります。

  1. ピンバック: ほっとタイムス267号 | LR小川会計グループ公式ブログ

コメントは受け付けていません。

法人(人事労務)

前の記事

社会保険の申告時期です
2021-06-21
会長

次の記事

無策の証明
2021-07-09