最強のフィッシング詐欺対策「ブランドTLD」とは?【ブランドTLD・新GTLD】


多くの企業のウェブ担当者・セキュリティ担当者を悩ませるフィッシング詐欺。
あの手この手の対応がありますが、どれも奏功しているとは言い難い状況です。
そこで、フィッシング詐欺対策の最終兵器とされる「ブランドTLD」の導入について詳しく解説します。
 


そもそもフィッシング詐欺とは?

コロナ禍で一気にオンライン化への潮流が高まっていますね。

それと比例して、悪意を持った第三者が有名企業を装い、偽装されたURLを送って個人情報を取得するといった被害が急増しています。

これをPhising(フィッシング)といい、オンラインサービスを提供する企業の悩みの種となっています。

フィッシング対策協議会から出ている最新の調査では、2020年03月ごろから急増しているのが一目瞭然です。

出典:フィッシング対策協議会 詳細はこちら


フィッシング詐欺の手口は?

ここでは分かりやすくするため、国内最大のECサイトである楽天市場が第三者に悪用されたことを仮定してみましょう。

まず、悪意を持った攻撃者はダークウェブ上のブラックマーケットで、別のサービスから流出したメールアドレスを入手します。ブラックマーケットは以下の順番で高価になります。

1. メールアドレス+パスワード+クレジットカード番号
2. メールアドレス+パスワード
3. メールアドレス

次に、攻撃者は楽天とそっくりのサイトを、楽天とそっくりのアドレスで作ります。
楽天の正式ドメイン:rakuten.co.jp
悪意を持った攻撃者が取得した偽ドメイン:rakten.net (uがない)

攻撃者はメールアドレスリストに対して、
https://grp01.id.rakten.net/rms/nid/vc?__event=login&service_id=top
※注意:上記サイトはあくまでも例ですので、アクセスできません。

などの、本物そっくりのURLを送信して、自分で作成したフィッシングサイトに誘導します。

そのフィッシングサイトで、ユーザーにパスワードやクレジットカード番号等を入力させて、情報を抜き取ります。

その後どうするかというと、ブラックマーケットに「パスワード付き」「クレジットカード番号付き」など付加価値をつけて再販売するんですね。
 

Point!

  • 流出したメールアドレスを使う(これを「標的型フィッシング攻撃」といいます)
  • そっくりのアドレスとサイトを準備する
  • 買うのも売るのもブラックマーケット

      

フィッシング詐欺の主な対策方法は?

ではこのようなフィッシング詐欺ですが、どのような対策を講じ得るのでしょうか?
ユーザー側と、オンラインサービス提供側でそれぞれの対策を考えていきましょう。
 

【ユーザー側の対策】

1.セキュリティソフトでフィッシングサイトのURLを検知する

最近のセキュリティソフトにはフィッシング対策機能がついていて、周知されているフィッシングサイトのURLにジャンプしようとすると警告がでるものもあります。

2.電子メールで認証する

送信者のメールアドレスが不正なものでないかを認証します。
SPFやDKIMといった技術が使われ、メール送信者の身元が不正でないかを確認します。
クラウドメールサービスやメールアプリに実装されています。

3.自分のメールアドレスが漏れているかを確認する

最近は、自分のメールアドレスが漏洩しているかどうかを確認することのできるサービスなどが登場しています。こういったサービスを確認し、自身のメールアドレスが漏洩していたら、すぐにパスワードを変更し、標的型フィッシング詐欺について常に身構えておくことが大切です。

では、次にオンラインサービス提供者側で何ができるのか?をまとめます。
 

【オンラインサービス提供側の対策】

1.そもそもメールアドレス(アカウント)を流出させない

上述したメールアドレス漏洩チェックサービスを使うと、驚くほど自分のアカウントが流出していることがわかります。
アカウントが流出すると、サービスが標的型フィッシング攻撃のターゲットとなります。

2.ドメインをしっかりと監視する

フィッシング詐欺のために類似ドメインがとられていないか、ほぼリアルタイムで監視する必要がありますし、取られていた場合はブランドの重要度によりますが、何らかの方法で奪還することも検討が必要です。

3.ブラックマーケットを監視する

これは、もっとも難易度が高い方法です。
ブラックマーケットを適宜監視し、自社サービスのアカウントが販売されていないかを監視します。
しかし、販売がされていたとしても、何らかの注意喚起をユーザーに行うなど対策方法は限定的です。

いかがでしょうか。

このようにフィッシング詐欺や標的型フィッシング攻撃は、攻撃者にとって費用対効果が低く、防御側にとっては対策手段が限られている厄介な攻撃であることがおわかりいただけたかと思います。

次に、本題であるところの最強の対策手段「ブランドTLD」についてお話をします。

 

最強のフィッシング対策「ブランドTLD」って何?

rakuten.co.jpなどのドメインの一番右端の文字列「.jp」をトップレベルドメイン(TLD)といいます。

トップレベルドメイン(TLD)はICANNによって選定され、国や地域などを示したccTLD(Country Code Top Level Domain)と、汎用的な用途のためのgTLD(Generic Top Level Domain)とがあります。

ccTLDの例).jp .us .cn
gTLDの例).com .info .biz .love

gTLDは主に汎用的な文字列で構成されていましたが、近年このTLDにブランド名を付けるという動きがありました。これは「ドットブランド」や「ブランドTLD」と呼ばれています。

有名なもので以下の企業がこの「ブランドTLD」を取得しています。
.sony(ソニー株式会社)
.toray(東レ株式会社)
.toyota(トヨタ自動車株式会社)

世界にひとつしかない文字列。

これは国ごとに分かれている商標などでは獲得できない、最高のデジタル(グローバル)商標権と言っても過言ではありません。

ブランドTLDはまだ使われだしたばかりですが、今後利用が拡大されると予想されています。

  

ブランドTLDのフィッシング詐欺への効果

では、なぜブランドドメインがフィッシング詐欺に効果的なのか?

それは、ユーザーに対してドメインレベルのわかりやすい信頼性視認性をあたえることができるからです。

それはGoogleとChromeがブラウザレベルでフィッシング対策を行ってきたことの経緯を考えると明らかです。
   

Chromeブラウザとフィッシング対策の変遷

2018年頃から、GoogleはすべてのサイトにSSLを導入するようにすすめてきました。
https://www.idcf.jp/rentalserver/aossl/browser/required-chrome68/

その一環として、SSL-EV(存在証明のあるSSL)については、組織名が表示されるという仕組みも導入し、フィッシング詐欺対策になるのではないかという業界の期待もありました。

しかし、

2019年9月頃から組織名の表示がなくなりました。これは、組織名の表示がフィッシング対策にそれほど効果がなかったため、とも言われています。
https://ssl.sakura.ad.jp/column/ev-ssl2/

そもそも、SSLは通信暗号化のための技術であり、通信先(フィッシングサイト)の真正性を担保する技術ではありません。SSL-EVに通信先の真正性を担保させるのは、色々な意味で技術の将来性を狭めるのではないかという技術経営上の判断があったものと思われます。

しかし、最近Chromeでは新しい動きがありました。

Chrome 86では「アドレスバーに完全なURLを表示しない」実験が行われることが判明
https://gigazine.net/news/20200817-google-hide-full-url-chrome-86/

これはURLバーに、フルURLを表示させるのではなく、ドメイン名だけを表示させるという機能です。

この機能に関しては賛否両論がありますが、少なくともGoogleはフィッシングサイトの防止策として、ドメイン名を視認性の高い状態にしておくことが、接続先の真正性を担保する一つの手段であると認識していることが伺えます。

このようにドメインの文字列が、サイトの信頼性と真正性において重要な機能を果たすこと、その意味においては、ブランドドメインが唯一といえる信頼性の高い「ドメイン文字列」を提供してくれること。

これが、「ブランドドメイン」がフィッシング詐欺に対して、「最強」と考えられる所以でもあります。
 

ブランドTLDの導入

では、どのようにして「ブランドTLD」を導入するのでしょうか?
 

依然として高い導入コスト

残念ながら、「ブランドTLD」は一般的なドメインを取得するよりも遥かに高額で、維持費用もかかります。ただ、セカンドラウンド以降は高額の原因だったICANN費用も下がるとの予測が有力です。
※参考:ICANN費用は、18万5000ドル(新規)、2万5000ドル(継続)

まず、導入時にはICANNによる専門的な審査が必要で、商標権や実際の使用などに基づいたエビデンスを提出する必要があります。

また、審査期間中は第三者による異議申し立てもありえます。

有名な話では「.amazon」の取得をアマゾン社が申請した際に、アマゾン川流域の国家から異議申し立てがでたとのことです。
 

セキュリティのコストとして考えてみる

ただし、上述したように「ブランドTLD」は一旦取得すると、一種の「デジタル商標権」としても機能し始めます。

もし、自社のブランドが「世界的に有名」であり、「フィッシング詐欺を避けたい」などの強い要望が自社内にある場合は、是非「ブランドTLD」の検討をおすすめします

単なるブランディングの見地からだけでなく、情報セキュリティの側面からもその有用性を探ってみてはいかがでしょうか?

GMOブライツコンサルティングは、国内の企業ブランドTLDの導入件数No.1のコンサルティング実績があるブランドセキュリティ専門会社です。

ご相談等は無料となります、是非以下のサイトからお問い合わせください。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください