2023年3月23日9:00
経産省・総務省・警察庁は2023年2月、クレジットカード会社等に対して DMARCの導入をはじめとしたフィッシング対策の強化を要請した。フィッシング対策を含むセキュリティ対策には、多層的な取り組みが必要だが、DMARC はその基礎的対策のひとつだ。DMARC の概要、導入の流れ、その効用について解説する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より)
株式会社TwoFive CTO 加瀬 正樹氏
止まる気配のないフィッシング詐欺
国がカード会社にDMARCの利用を要請
まずは私どもTwoFiveについて少しご紹介させていただきます。社名のTwoFiveはメールで使われているサーバのポート番号、25番からとりました。メッセージングシステム、メッセージングセキュリティ、スレットインテリジェンスの3つのソリューションを中心に、電子メールに特化したシステムやセキュリティサービスを提供している会社です。今回ご説明するDMARCをはじめとするデータの分析やコンサルティングも、事業の柱の1つになっています。
はじめに、なりすましメールの実態とその対策についてご説明いたします。最近、なりすましやフィッシングが増えてきています。IPA(情報処理推進機構)が毎年出している情報セキュリティ10大脅威にも、毎年メールにかかわるものが登場しています。法人、個人どちらでもメールの脅威というのは非常に大きくなっていますが、個人でいいますと、フィッシングによる個人情報の詐取・悪用がここ何年間も続けて1位にランキングされています。
メールはさまざまなサイバー攻撃の入り口と言われています。個人向けのメールに関しても、なりすましメールを使ったフィッシングサイトへの誘導が非常に多く報告されています。フィッシング対策協議会が公開している情報によると、やはりコンシューマー向けのサービスを提供している企業が狙われやすいことがわかります。クレジットカード会社などの金融会社も多く見られます。
ここで、私のメールボックスに届いたなりすましメールをご紹介したいと思います。たとえばなりすましメールの手口としてよく知られているものとして、差出人のメールのドメインに正規のドメインをかたった、ドメインなりすましというものがあります。一目見ると本物かと信じてしまうようなメールです。今日ご紹介する送信ドメイン認証、DMARCと呼ばれているものは、まさにこの正規のドメインになりすました手口への強力な対抗策になっています。
DMARCは、なりすましメール対策として認証と分析を行うツールです(図1)。認証の部分では、届いたメールが正しいものなのか、なりすまされたものなのかを技術的に判定します。分析の部分では、受信メールサーバに届いたメールを統計情報として集計し、ドメイン管理者にフィードバックを行います。認証する技術、分析する手段を組み合わせることによって、正しいメールをエンドユーザーに届け、なりすました悪意のあるメールを届けないようにするツールととらえていただければいいと思います。
海外では普及が進んでいるDMARCですが、国内では今年に入って注目すべき要請が出されました。経済産業省、総務省、そして警察庁、この3つの組織から2023年2月に、DMARCに対応してポリシーを変えましょうという要請が、特にクレジットカード会社に向けて発せられました。フィッシング対策はこれだけで済むものではありませんが、基礎的な技術として非常に重要なDMARCにクレジットカード会社各社が対応することは、大変意味のあることだと思います。
SPFとDKIMで正当性と信頼性を判断
認証と分析の2つの機能で不正対策を支援
DMARCを説明するためにまず、送信ドメイン認証の仕組みであるSPF、DKIMについて簡単にご紹介したいと思います。
メールの世界のなりすまし対策というのは、例えるなら、空港などでの入国審査のようなものです。海外から日本に入国する際には、本人確認をするために、パスポートをチェックします。メールの世界ではSPFやDKIMが入国審査の役割を果たします。入国しようとしている人を受信メールに例えると、メールサーバが入国審査をします。本人かどうかを調べるために、DKIMによる電子署名をチェックします。また、どの国からどういう経路を辿ってきたかを調べるために、送信元のメールサーバが正しいかどうかを、SPFで判定します。これらの審査を経た上で、入国させてよい、つまり認証してよいメールかどうかを選別しているのです。
SPF、DKIMというのは、RFCという技術規格で詳細に仕様が定義されていますが、押さえておきたいところとしては、DKIMは、メールのヘッダに付与された電子署名が正しいものかどうかを見て、正当性を判断しています。そしてSPFは、IPアドレスを基準にして、どこから来たのか、正当な送信元であるかを判断しています。
次に、DMARCが、SPF、DKIMの認証結果を使って、なりすましメールをどのように取り扱うかについて見ていきます。DMARCには大きく2つの機能があります。1つ目は、ポリシーと呼ばれている機能です(図2)。これは、メールを送信する側、ドメインを管理している側が、なりすまされたメールをどのように取り扱うかを指示するものです。ポリシーには「none(何もしない)」「quarantine(隔離する)」「reject(受信拒否する)」の3段階があります。「none」は認証するものの、結果に関わらず全てのメールを受信する。「quarantine」あるいは「reject」というのは、認証に失敗したメールに対してのペナルティを受信サーバに指示する措置になります。
先ほどの入国審査のモデルに当てはめてみますと、メールサーバで審査を行い、SPFはパスしたのか、DKIMはパスしたのかという情報を用いて、メールが振り分けられます。審査を通れば入国を認めますし、審査で引っ掛かった、なりすまして入国しようとしていた人については、指示にしたがって、隔離したり、入国を拒否したりすることができるようになっています。
DMARCの大きな機能の2つ目は、レポート機能です(図3)。最初に申し上げた認証と分析のうちの、分析にかかわるものになります。このレポート機能では、受信メールサーバが受け取ったメールの認証結果など、さまざまな有益なデータを集計してフィードバックするのですが、このデータの中には、送信元のIPアドレスや電子署名でどの鍵を使ったかという情報なども含まれます。
こちらも先ほどの入国審査のモデルに当てはめてみますと、入国審査の結果をおよそ1日分統計情報としてまとめて、どのくらいの入国者がいたのか、なりすまそうとした人はいなかったかといった情報を、外務省やその国の大使館に届けるというイメージです。これによって外務省や大使館が対策を打てるようになるわけです。
認証の仕様については少し難しいところもありますので、簡単にご説明します。DMARCをパスさせるためにはSPFあるいはDKIMで認証が成功するような設計にすることが重要です(図4)。また、差出人情報、実際に利用者が見るのはヘッダーFromと呼ばれている部分になります。DMARCはヘッダーFromドメインが正しいかどうかに着目した技術です。
皆様が実際にメールを送信する際に、どのようにDMARCに対応すればいいかというと、DNS上にTXTレコードを所定のフォーマットで指定する。それだけで、まずは送信側としての導入は終了となります。ドメインに、「_dmarc.」というホスト名を指定し、さらにポリシーやフィードバックされるレポートをどのメールアドレスで受け取るかを指定します。これでまずはDMARCの導入ができます。皆様も今日帰られたら、自分たちが所有しているドメインがDMARCに対応しているのかどうか、確認していただくといいと思います。
■お問い合わせ先
株式会社TwoFive
〒103-0027
東京都中央区日本橋3丁目1−4
TEL:03-5704-9948
https://www.twofive25.com/
sales@twofive25.jp
