今回は「なりすまし」についてご紹介いたします。情報システムを担当されている方でも、ITセキュリティの分野に携わっていない方だと、何が「なりすまし」なのか、曖昧な方も多いのではないでしょうか。
「なりすまし」には、人に「なりすます」という手法もあります。例えば、顧客や取引先、社員になりすまして、企業に接触・侵入し機密を聞き出したり盗んだりするソーシャル・エンジニアリングです。ITセキュリティの業界で言う「なりすまし」とは違います。
では「なりすまし」とは何か?について説明していきます。
1.「なりすまし」とは?
「なりすまし」は、「Spoofing(スプーフィング)」と呼ばれます。これらには、IPを偽装する「IP Spoofing」や、DNS(名前解決)を偽装する「DNS Spoofing」、メールの送信元などを偽装する「Mail Spoofing」、そして「ARP Spoofing」や「UDP Spoofing」などもあります。
今回は、特に「IP Spoofing」、「DNS Spoofing」、「Mail Spoofing」についてご説明します。
・IP Spoofingとは
IP Spoofingは、IPアドレスの偽装のことになります。例えば、通信パケットのヘッダー部分にある送信元IPアドレスを偽装し、Webサーバなどにアクセスをしてきます。Firewallなどで、接続元のIP制限をしていたとしても、偽装されたIPは正常なIPアドレスに見られるため、通信を許可してしまいます。
他にも、IPを偽装して、他人になりすます行為や、不正な攻撃を仕掛けてくる場合、攻撃元のIPアドレスを偽装していることで、攻撃者の特定を困難にさせる、ということもあります。
・DNS Spoofing
インターネットを利用する際に、必ずと言ってよいほど、利用されるDNS(名前解決)を使った攻撃です。ウイルスに感染するなどで、正しいWebサイトにアクセスしているつもりが、DNSで名前解決した先のサイトが、別のサイトになっているなどがあたります。
ユーザーは、ブラウザに表示されるURLが正しいため、容易に気がつくことが出来ずに、不正サイトにて個人情報の搾取や、カード情報などを搾取されるなどの被害があります。
・Mail Spoofing
いわゆる「なりすましメール」です。送信元の表示などを偽装し、実在する取引先名や名前を表示し、メールに添付したウイルスを含むファイルをダウンロードや実行させる。また、メール内の不正URLのリンクをクリックさせるなどし、不正に個人情報を搾取されるなどの被害にあうことがあります。
2.なりすまし」への対策
「Mail Spoofing」に関しては、不審なメールを開かないなどの対策を講じることが可能です。来るはずのない人からの請求書のメールや、参加の覚えのないイベントに関してのURLリンクがある。また、いつもと書き方が違うことや、日本語として表現がおかしい、など各人で、対策を打てます。
ただし、IP SpoofingやDNS Spoofingなどは、非常に検知することが難しくなっています。
IP Spoofingでは、Firewallでは正しいIPアドレスとして認識しているため、そのまま通信を許可してしまいます。また、Webサーバなどのログにも正しいIPアドレスでのアクセスしか残っていません。そのため、IPアドレスのみを利用したアクセス制御のみではなく、ID、パスワード認証を利用することや、普段とは異なった通信があった場合に、気がつける体制を整えておく必要があります。
同様に、DNS Spoofingも気が付きにくい攻撃となります。接続先のサイトのドメインを、Whoisなどで照会して確認するという手もありますが、Webサイトにアクセスするたびに、Whoisを見たりすることは現実的ではないと思われます。そこで、いつもと同じサイトなのに「個人情報を求めてくる」、「クレジットカード情報は不要なサイトなのに入力を求めてくる」など、いつもと違うな?ということに気がつくことが大切になります。
セキュアブレインでは、Cisco umbrella(シスコアンブレラ)を取り扱っています。Spoofing対策では有効なソフトウェアでもありますので、対策を検討されている方はご相談ください。
セキュアブレインが提供するサービスについては以下よりお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html