見出し画像

メール誤送信のリスクと対策 -ドッペルゲンガー・ドメインを踏まえて-

Dirbato公式

1.はじめに

 Microsoft TeamsやSlack等様々なチャットツールが普及した現在でも、社内外での連絡にメールを用いる人は多くいらっしゃると思います。そうした状況の中で、毎年メールが要因となるセキュリティ事故・インシデントが発生しています。IPA*¹が公表した「情報セキュリティ10大脅威 2022」の「個人」3位、「組織」8位にもメール関連のインシデントがランクインしています。(図1)

図1 IPA「情報セキュリティ10大脅威2022」をもとに作成

本稿ではメールに関するインシデントの中でも、「ドッペルゲンガー・ドメイン」を題材とし、メール誤送信のリスクと対策を考えていきたいと思います。

2.ドッペルゲンガー・ドメインとは

  1. ドッペルゲンガー・ドメインの概要
    ドッペルゲンガー・ドメインとは、下記のようなドメインを指します。

フリーメールアドレスなど正規のドメインにおけるタイプミス(例:○○mail.comを○○mai.comと一文字入力が漏れる)や誤認識しやすいドメインを取得し、ユーザーが誤ってアクセスしたり、電子メールを誤送信したりすることで情報収集することを目的としたもの。

個人情報委員会 『「ドッペルゲンガー・ドメインへの漏えい事案」を踏まえた、電子メールによる個人データの取扱いについての注意喚起』

 ドメイン名が誤っている等、メールアドレスが正しいものでなければ本来はエラーメッセージが返送されてきますが、メールサーバの設定により、誤ったメールアドレスに送信されたメールのうち、エラーが発生するはずであったメールが収集されてしまうということがあります。その結果、個人情報を含んだメールや機密情報を含んだメールが収集されてしまい、個人情報流出等の事故・インシデントが発生してしまいます。昨年にも、埼玉大学にて「gmail」ドメインのメールアドレスにメールを転送するつもりが「gmai」ドメインのメールアドレスに転送してしまっており、学生の個人情報の流出が起こってしまったというインシデントが発生しました。
 また、「gmai」ドメインから「gmail」ドメインを予測するというように、ドッペルゲンガー・ドメインが含まれたメールアドレスから正しいメールアドレスを予測することは容易に行うことができるため、個人情報・機密情報の流出以外にも、フィッシングメールの送信に利用される等の二次被害が発生してしまう恐れがあります。
 次節ではドッペルゲンガー・ドメインにはどのような種類があるのか、その一部をご紹介します。

2.ドッペルゲンガー・ドメインの種類
 本節では「aaa-dirbato.com」を正しいメールアドレスとして、ドッペルゲンガー・ドメインの例として挙げられるドメインの種類を紹介します。

a.ドットが抜けているパターン
例:aaa-dirbatocom
 上記の例は「dirbato」と「com」の間のドットが抜けているという例です。この例が発生しうる状況として、キーボードがきちんと押されていない等の理由でドットが抜けているという状況が考えられます。

b.ハイフンを打ち間違えているパターン
例:aaa—dirbato.com
 「aaa」と「dirbato」の間のハイフンが1個入るはずのところに2個入ってしまっているという例が考えられます。ハイフンが2個入っていた場合には通常のハイフンよりも長いハイフンのように見えますが、不注意により見落としてしまう可能性が考えられます。

c.打ち損じをしているパターン
例:aaa-ditbato.com
 「dirbato」と打つべきところで「ditbato」のように打ち損じているという例が考えられます。キーボード上で隣のキーを打ってしまい、メール送信時までそれに気づかないという場合に発生しうる状況であると想定されます。

d.入力順を誤っているパターン
例:aa-adirbato.com
 「a」とハイフンの順番が入れ替わってしまっているという例が考えられます。急いでメールアドレスを入力した際に文字の順番が入れ替わってしまったという状況が想定されます。

e.よく似た字を見誤っているパターン
例:aaa-dirbata.com
 「o」と「a」のように、よく似た字を打ち間違えたまま気づかずにメールを送信してしまうという状況が想定されます。

3.対策例

 ドッペルゲンガー・ドメインを始めとするメールの誤送信対策は様々あります。本稿ではそのうち、メールアプリの設定を行うことで、誤ったメールアドレスへの誤送信・被害拡大の防止を行う方法をご紹介します。

(i)メールアプリの遅延送信・送信取り消し機能の利用
 メールアプリの中にはMicrosoft Outlookのようにメールの送信ボタンクリック後、一定時間経過してからメールを送信するという「遅延送信」機能を有するアプリがあります。また、Gmailのように送信ボタンのクリック後30秒程度は相手への送信が行われず、送信取り消しを行うことができるアプリもあります。
 これらの遅延送信・送信取り消し機能を利用し、万が一誤ったメールアドレスへのメール送信をしてしまった場合にメールの送信を取り消し、誤送信を防ぐということが可能です。これらの機能を利用する場合には、アプリの機能に依存するだけでなく、メール送信後に送信済みのメールにミスがないかを確認するという習慣をつける必要があります。

(ii)メールアドレス入力時のオートコンプリート機能の停止
 メールアドレスを手入力する際、以前に送信したメールアドレスを予測し、自動で入力するオートコンプリート機能がメールアプリにあります。この機能自体は非常に便利ですが、一度誤ったメールアドレスに送信してしまっていた場合、以降もその誤ったメールアドレスを自動で入力し、メールの誤送信を再びしてしまうというリスクがあります。
 そこで、オートコンプリート機能を停止し、誤ったメールアドレスへのメール送信の被害拡大を防止するという対策があります。この対策はあくまでも被害拡大の防止を目的とした対策ではありますが、発生しうる重大なインシデントを起こす可能性を下げることにつながります。
 メール送信の際にメールアドレスを手入力する機会はこれからもあるかと思いますが、その際にはアドレス帳の利用、受領資料等からのコピー&ペースト等を行い、手入力による打ち間違いを防止することも重要です。

4.おわりに

 本稿ではドッペルゲンガー・ドメインを題材としてメールの誤送信インシデントとその対策についてご説明してきました。ドッペルゲンガー・ドメインの監視ソフトもありますが、自力で対策をする場合には人の目による確認が必要であるというのが現在の状況です。リモートワーク化が進んだことにより、他者によるメールアドレスのダブルチェックが行えなくなったこともメール誤送信の要因の一つといわれており、より一層自らの確認が重要となっています。
 メールの誤送信によるインシデントは身近に起こりうるものでありながら、その被害は計り知れないものとなります。遅延送信・送信取り消し機能の利用やメールアドレス入力時のオートコンプリート機能の停止等を行い、送信メールの確認を定期的に行うこと等が、事故の防止・被害の極小化には重要となります。
本稿では紹介していませんが、企業や大学側のメール設定により対策する方法もございます。法政大学では2022年11月下旬以降、「@gmai.com」を含むドッペルゲンガー・ドメインの疑いが強いドメイン30個への大学メールアドレスからのメール送信を停止しています。個人の対策と合わせ、組織側からの対策も行うことで、組織単位でのインシデントの防止を目指すことが可能です。

執筆者 宮崎光稀
株式会社Dirbato
コンサルティンググループ アナリスト
大学卒業後、2022年4月にDirbatoに新卒入社。直近は大手生命保険会社へのBPRプロジェクトに参画。趣味はクイズと将棋。

参考資料
IPA「情報セキュリティ10大脅威2022」(2023年1月22日 確認)
情報セキュリティ10大脅威 2022:IPA 独立行政法人 情報処理推進機
・ 個人情報委員会『「ドッペルゲンガー・ドメインへの漏えい事案」を踏まえた、電子メールによる個人データの取扱いについての注意喚起』(2023年1月22日確認)
ドッペルゲンガー・ドメインへの漏えい事案」を踏まえた電子メールによる個人データの取扱いについての注意喚起 -個人情報保護委員会- (ppc.go.jp) 
・ 誹謗中傷対策センターHP(2023年1月22日確認)
「ドッペルゲンガー・ドメイン」とは…そのメールアドレス、間違っていませんか? | 誹謗中傷対策センター (kesu.jp)
・ 株式会社コンピュータマネジメントHP(2023年1月22日確認)
ドッペルゲンガードメイン監視サービス – フィッシング詐欺対策に!【コンピュータマネジメント】 (cm-net.co.jp)
法政大学HP(2023年1月22日確認)
ドッペルゲンガードメインへのメール送信遮断について | 法政大学 全学ネットワークシステム ユーザ支援Webサイト (hosei.ac.jp)

*1:独立行政法人情報処理推進機構。IT社会の動向分析・基盤構築、IT人材の育成、情報セキュリティ対策の実現等に向けた事業を行う。


この記事が気に入ったらサポートをしてみませんか?