セキュリティの
学び場

今回の解説ニュース

メールアドレスの誤登録により、個人情報が漏洩してしまったということです。よく似たドメインへメールを誤送信しないための対策や、不審なドメインへメールが送信されないための対策について説明します。

今回のインシデントでは、誤送信されたメール及び添付ファイルに記載された個人情報等が漏えいしてしまいました。原因として、ドッペルゲンガードメインと呼ばれる、実在するドメイン名に酷似したドメインのメールアドレスをメーリングリストへ誤登録したことが挙げられています。なお、ドッペルゲンガードメインはエラーを発出することなくメールを受信してしまうため、誤登録に直ちに気づくことが出来なかったということです。

対策として、誤登録されたメールアドレスの削除と送信を停止させる設定を行っており、対象者へ個別に謝罪と状況説明を行ってます。再発防止策として、メールアドレス登録時の注意喚起とチェック体制の徹底、ドッペルゲンガードメインに関する情報収集と通信遮断措置、定期的なモニタリングを行うということです。

「ドッペルゲンガードメイン」とは何か、その対処法は？

メールの送信者がドッペルゲンガードメインへメールを誤送信しないための対策として、タイプミスを発生させないことや、ダブルチェックの体制を仕組化することが挙げられます。

ドッペルゲンガードメインとは、実在するドメインに酷似した名前を持つドメインです。WebサイトにアクセスするURLやメールアドレスなどで、ユーザがタイプミスや誤認識することを狙ってドメインが取得されており、フィッシング詐欺などで情報窃取に悪用されています。

存在しないメールアドレス宛にメールを送信した場合、ドメインが存在していてもユーザが存在しない旨を伝えるエラーメールを返すのが一般的です。しかし、ドッペルゲンガードメイン宛にメールが送信されると、アットマーク以前に書かれたユーザが存在していなくても、すべてのメールをドメインの所有者が受信できる設定を行っています。よって、誤送信されたメールがすべて、ドッペルゲンガードメインの所有者に読まれてしまうことになります。なお、実在するドメイン名に酷似したドメインを取得すること自体に違法性はないということです。

対策として、タイプミスを発生させないことや、ダブルチェックの体制を仕組化することが挙げられます。これらの対策が属人的になっていると、いずれミスが発生してしまうことが考えられますので、送信先をあらかじめアドレス帳へ確実に登録することや、ダブルチェックの体制を自動化するなどして、対策を仕組化することが求められます。これらは、情報漏えいの原因として常に上位に挙げられる、メール誤送信の対策と同様です。

ヒューマンエラーに対する仕組化、効果的な対策とは

ドッペルゲンガードメインを含む、不審なドメインへメールが送信されないための対策として、ホワイトリスト形式とブラックリスト形式のアプローチが挙げられます。いずれも、メールサーバやクラウドサービスで設定することができる場合があります。

ホワイトリスト形式とは、許可する対象の一覧をリスト化することです。メールであれば組織内のみで利用されるメーリングリストに適用することができます。具体的には、許可するメールアドレスやドメインを一覧としてリスト化し、メールサーバやクラウドサービスへ適用することができます。ただし、許可する対象が多い場合、運用が煩雑になる可能性があります。

ブラックリスト形式とは、制限する対象の一覧をリスト化することです。メールであればドッペルゲンガードメインを含む、不審なドメインやIPアドレスを一覧としてリスト化し、制限する対象として適用することができます。今回のインシデントで対策として挙げられたように、定期的に情報収集することで、ブラックリストを常に最新の状態にすることも必要ですが、有志によって更新されているブラックリストを適用することができる場合があります。

今回は、よく似たドメインへメールを誤送信しないための対策や、不審なドメインへメールが送信されないための対策についてお届けしました。