作成:CSCのグローバルディレクターVincent D’Angelo(ヴィンセント・ドゥアンジェロ)、シニアグローバルブランドセキュリティアドバイザーQuinn Taggart(クィン・タガート)、およびグローバルマーケティングリーダー
Sue Watts(スー・ワッツ)

COVID-19のパンデミックが続く中、2020年のホリデーショッピングシーズンにはオンラインショッピングの利用が増加すると思われます。現在のところ自宅からのオンラインショッピングが最も安全な選択肢ですが、それは消費者がオンライン詐欺や偽造、サイバー犯罪に対してより脆弱になることを意味しています。オンライン活動が増加すると、悪意のある侵害者が信頼できるブランド名を悪用して、アクセス者を自分の不正なコンテンツに誘導する機会が増してきます。

リサーチ結果:ホリデーショッピングとeコマースドメインのセキュリティについての要約 最新のセキュリティについての要約では、上位500のグローバルeコマースおよびショッピングドメインのドメインセキュリティ体制を分析しました*。次に、これらの上位Webプロパティがドメインスプーフィング(なりすまし)の標的になっているかどうかを観察しました。

Ⅰ. ドメインスプーフィングのリスク

最近の選挙のセキュリティ調査で示されたように、攻撃ベクトルとしてドメインスプーフィングが多く使用されています。Tech TuesdayのオレゴンFBIによると、「サイバー攻撃者は、正当なドメインの特性を多少変更してなりすましドメインを設定しました。なりすましドメインは、単語の代替スペル(「election(選挙)」の代わりに「electon」)としたり、「[.]gov」の代わりに「[.]com」を使用する場合があります。さらに、詐欺者は、COVID-19によってホリデーショッピングシーズンのピーク時に自宅にいざるを得ない消費者を利用しようとしています。

当社では、ブランドオーナーと消費者に対するこの脅威の程度を浮き彫りにするために、トップ10のオンラインショッピングブランドに関連した登録済みドメインのタイプミス(スペルミス)を特定して分析しました。

当社の調査結果:

  • すでに登録された1,553件のタイプミスドメインの70%以上が、サードパーティによって所有されているようです。サードパーティが所有するドメインのうち、

    • 48%近くが、フィッシングメールの送信やメールの傍受に使用できるMX(メール)レコードで構成されています。

    • 40%は、ドメインプライバシーサービスを使用して所有権とIDを隠したり非表示にしており、悪意があることを示しています。

    • さらにこれらのタイプミスのドメインは、年間500万回以上もアクセス**されています。当社の調査により最もアクセスされた上位100のタイプミスのドメインを詳しく調べた結果、次のように使用されていることがわかりました。

      • 38%は、広告関連およびクリック課金型のWebコンテンツを紹介している
        • リスク:Palo Altoが最近行った調査では、クリック課金型ドメインを使用し、ドメインパーキングサービスを介してマルウェアを拡散する方法が明るみに出ています。
      • 27%はライブWebコンテンツを持っていない
        • リスク:これらのドメインはWebコンテンツを持っていないようですが、そのうち37%はMXレコードを含むメールを送受信するように構成されていました。
      • 15%がアフィリエイトを紹介している
        • リスク:ブランドオーナーは不正なアフィリエイト活動の標的となり、結果的に金銭的な損失を被る可能性があります。
      • 12%がショッピング関連のWebコンテンツを紹介いる
        • リスク:ブランドオーナーは経済的損失を被る可能性があり、消費者は、偽造品を販売したり、満足できないショッピングを体験させられる悪質な小売業者から購入する可能性があります
      • 8%が悪意のあるWebコンテンツを紹介している
        • リスク:消費者が悪意のあるコンテンツ(マルウェアなど)を含むWebサイトにアクセスする可能性があります。

数十万の登録済みドメインが、これらのトップショッピングサイトのいくつかに関連するサードパーティにリンクされていることがわかっており、このドメインスプーフィングの問題は非常に過小評価されていると思われます。

Ⅱ. ドメインセキュリティの採用

当社のForbes Global 2000企業に関するドメインセキュリティレポートで観察したように、これらのeコマースおよびショッピングWebドメインはGlobal 2000企業のものよりも優れていますが、基本的なドメインセキュリティ対策がまだ不足しています。これらの企業はオンラインショッピングからの収益に大きく依存しているため、ダウンタイム時には1時間あたり50万ドル以上のコストがかかる可能性があります*。

例えば、DNSの冗長性に関するハーバード大学の調査で指摘されているように、これらの企業では自社のオンラインプレゼンスを分散型サービス拒否(DDoS)攻撃から保護しておらず、DNSホスティングの冗長性を活用しているのはわずか16%足らずであることは驚くべきことです。さらに、DNSハイジャックは基本的に組織を支配する可能性があるにもかかわらず、レジストリロックの採用がわずか18%であることにも驚きました。これは、観察したドメインの40%が、一般的に高度なドメインセキュリティ機能を提供しない小売レジストラに依存しているという事実が要因の1つと考えられます。DNSキャッシュポイズニングを防ぐセキュリティ対策であるDNSSECの採用しているドメインはおよそ3%です。最後になりますが、観察したドメインの60%近くがドメインベースのメッセージ認証、レポート、および適合(DMARC)レコードを持っていましたが、DMARC拒否ポリシー欠如が依然として何億ものグローバル消費者にフィッシングリスクをもたらしていることがわかっています。

当社の調査結果:



上記の各セキュリティ対策は、サイバー攻撃軽減に役立つ業界のベストプラクティスで、CSCの多層防御アプローチの一部です。

ブランドオーナーのためのホリデーショッピングに関する3つのヒント


  1. ドメイン戦略とポリシーを支援するドメインセキュリティチームを設立してください。これには、キーワードやスペルミスなど、国の主要市場での防御ドメイン特定と登録が含まれます。さらに、そのチームは、レジストリロック、エンタープライズクラスのドメインレジストラへの依存、DMARC、DNSセキュリティ拡張機能(DNSSEC)、DNS冗長性など、安全なドメイン管理に関する多層防御の推奨事項を支持する必要があります。
  2. ドメインスペース、およびブランドの乱用、侵害、詐欺がないか、マーケットプレイス、アプリ、メールなどの主要なデジタルチャネルを継続的に監視します。
  3. 高度な技術を含むインターネットブロッキングやページ削除を含む、グローバルな権利行使を実行します。

消費者向けのホリデーショッピングに関する4つのヒント

FBIからは以下のヒントが追加発表されています***。

オペレーティングシステムとアプリケーションが最新バージョンに更新されていることを確認します。 マルウェア対策およびウイルス対策ソフトウェアを更新し、ネットワークスキャンを定期的に実行します。 可能な場合は生体認証(顔や指紋のスキャンなど)、ハードウェアトークン、または認証アプリによる強力な2要素認証を使用します。

いかなる個人情報もメールでは提供しないでください。 さらに、オンラインでの消費者の安全維持の観点から、CSCは、National Cyber Security Alliance(NCSA)の教育および意識向上用の資料の使用を推奨しています。

「CSCをはじめとする企業が、ブランドの評判を守るだけでなくオンライン詐欺やサイバー犯罪から消費者を保護するために必要なセキュリティプロトコルを導入するよう企業やオンラインブランドに提唱しており、これは大変喜ばしいことです」と、NCSAの教育および戦略的イニシアチブ担当ディレクターのDaniel Eliot(ダニエル・エリオット)氏は述べています。「NationalCyberSecurity Alliance(NCSA)の使命は、これらの確かなリスクについて、また推奨されているサイバーセキュリティのベストプラクティス実践の重要性について、消費者と企業を教育することです。CSCの調査は消費者擁護の点において重要であり、調査結果からこれらのサイバー攻撃や不正なドメインの広範なリスクが浮き彫りになっています」

*データはSimilarWeb.comより抜粋

**SimilarWebの9月のトラフィックデータに12を掛けて得た年間推定アクセス数データに基づいた概算

***fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-against-election-spoofing