【セキュリティ】フィッシングメールについて。

最近は薬理教室っていうYoutubeにハマっているマサフィー
そこで、フィッシングメールに関する話題になり、ドメイン偽装について少し触れられていたのでマサフィーも少し首を突っ込む。

動画でドメインも偽装できちゃうよって話がちゃんと出ていますね。
「なぜドメインが偽装されちゃうの！？」と思うかもしれませんが、メールに使われる仕組みのようなものに、SMTPというものがあるのですが、それはそもそも送信者が本当にそのドメインか（＝本人が送信したものか）というのは気にしません。

SEの道標

https://milestone-of-se.nesuke.com/nw-advanced/nw-security/mailsploit/

【図解】送信メールアドレス偽装 Mailsploit の仕組み～メール偽装防止基本技術 SMTP AUTH, DKIM, SPF/SenderIDの概要(メリット・デメリット)解説と本攻撃との関連～

Mailsploit とはMailsploit とは、送信元メールアドレス偽装が可能となる、メールクライアント側の脆弱性を突いた攻撃のことで、2017年12月7日にWebで公開されました。そもそも送信元メールアドレス偽装は簡単メール送信はご

驚きですよね。
マサフィーも最初に調べた時は驚きでした。

実際の郵便物も送信者偽装ができるように、ネット上のメールも偽装ができてしまう感じですね。
参考：郵送物に自分の名前や住所は必要？
https://otayoripost.net/yubintokitte/kokunai/jusyoshimei.html

それじゃ、mail@gmail.comとか公式っぽいメールアドレス使ってスパムメールやフィッシングメール送り放題じゃん！と思うかもしれませんが、まさにその通りです。
正確にはその通りの時代もありました。

これじゃあまずいよねってことで、SPF（Sender Policy Framework）という仕組みがおおよそ2010年の手前に流行り出したみたいです。
参考；Sender Policy Framework (Wikipedia)
https://ja.wikipedia.org/wiki/Sender_Policy_Framework

じゃあその仕組み、自分のGmailとかに設定したい！と思うかもしれませんが、これはドメイン側で設定を行ってあげる必要があります。
ちなみにこれ関係のトラブルが最近あったりします。

をいをいドコモやっちまったな。
密林と同じ致命的ミスやってる。 pic.twitter.com/UAHciwkcww
— Hi. NONOGAKI (@xplntr) September 16, 2021

SPFの設定をミスってしまうと、メールを送っても送れない現象が起きたりします。
本人が送ってるかどうかが確認できないから、起きる現象ですね。

そういえば、フィッシングメールといえばiPhoneなどに届くSMS（Messageアプリ）にもフィッシングメールって多いよねって話題になると思います。
これも、好きな電話番号になりすまして好きな人にメッセージを送ることができたりします。
マサフィーはこの仕組みを中学校の頃に発見して、友達にいたずらメールを送ってたり。。。w（ｺﾗｯ

https://akaki.io/2019/sms_spoofing_2

SMSで送信元の電話番号を偽装したメッセージを送る

Nov 11, 2019

最近の被害で言うと、Docomoが1億円の被害を出していたことで少し話題になりましたね。
参考：NTTドコモ、被害額約1億円のSMSフィッシング詐欺発表
https://news.mynavi.jp/article/20211002-1989322/

おそらく、このような手口でフィッシングサイトに誘導したものと思います。
みんなは引っかからないように注意しような！！

今回の記事はツイッターで少し紹介したものを少しだけ深掘りした感じです。
上記の紹介はあくまでも参考程度によろしくお願いします。
間違ってたりしたら教えてくれると嬉しいなぁ。

参考
https://twitter.com/masafyorg/status/1436359140104761348