2023年3月24日8:00
レポート機能によって得られるデータをもとに
メールの送受信環境を正確に把握
DMARCを導入して、DNSの設定をしたあとには、運用するというフェーズがあります。ポリシーを「none」から「quarantine」や「reject」という強制力を持ったものに変えていく必要があります。そのために重要になってくるのは、レポート機能によって得られるデータの分析です。データは非常に多く、複雑なものになりますので、分析のツールが必要になります。われわれTwoFiveでは、「DMARC/25 Analyze」というツールの提供を行っています(図5)。
データ分析には、一般的に3つの効用があるといわれています。1つは、自分たちのメールのドメインでどのくらいなりすましが発生しているかを可視化できるということです。なりすまされて送信されていたメールが、いつどのくらい流通していたかを、フィードバックされたデータを分析することで確認することができます。その状況をお客様にお知らせしたり、フィッシングサイトをテイクダウンするようなアクティビティにつなげたりすることも可能になります。ポリシーを強化するモチベーションにもなると思います。
2つ目としては、正規のメールサーバ、正当なメールの送信方法がどのくらい採用されているのかが可視化できることです。例えばDMARCの認証結果をメールサーバごとに見ていくと、特定のサーバではうまくいっているけれども、別のサーバでは認証が成功していないといったことがわかってきます。また、自分たちが知らないうちに他部署がメールサーバを立ち上げていた、クラウドサービスを使っていたということがわかったりもします。DMARCのポリシー機能は非常に強力なので、正しいメールを拒否してしまうリスクもあります。メールの送信環境が適正に保たれているかどうかを把握しておくことは、非常に重要です。
3つ目は、DMARC関連の設定の不備や、設定漏れをチェックできることです。特にマーケティングやトランザクションは、アウトソーシングしているケースも多く、漏れてしまいやすい傾向があるようです。
今回はDMARCが大きなテーマですが、これに付随するものとして、BIMIを紹介させていただきたいと思います(図6)。BIMIというのは、メールソフトやメールアプリで、差出人が正しいと判定された場合に、タイトルの先頭に企業の正式なロゴを表示して、エンドユーザーに安心してメールを見てもらえるようにする仕組みです。ロゴを表示する技術はこれまでにもいくつか登場しています。国内ではヤフーメールやニフティ、最近ではNTTドコモでも、正しいメールに印を付けるような技術を提供しています。BIMIはそれらのデファクトスタンダード、Gmailや海外のメールサービスを含めて標準化した技術規格と考えていただければいいと思います。BIMIを利用するには、DMARCに対応していることが必須条件となっています。さらにはDMARCのポリシーをquarantine以上にすることも求められています。われわれTwoFiveでは、BIMIの対応のサポートも行っています。
DMARCでカバーできない犯罪もある
多層的な不正対策を講じることが必要
ここまではDMARCの効用についてお話ししてきましたが、実はDMARCだけでは、すべてのなりすまし、フィッシングを防ぐことはできません。先ほどご紹介した、私に届いた、正規のドメイン名をそのまま詐称したなりすましメール。これはDMARCが正確に判定し、拒否することができると思います。しかし攻撃者はこれ以外にもさまざまな手口を使ってきます。
たとえば見た目は似ているけれども、実はまったく違うドメインを使ったなりすましメール。また、メールの差出人はメールアドレス情報だけではなく、コメントや表示名を指定することができるのですが、表示名は正規のサービスを指定して、アドレスのドメインの部分はランダムな文字列を指定するという手法も存在します。また、最近よく見られるのは、スクワッティングと呼ばれている手法です。これは攻撃者がドメイン名を取得するのではなく、すでに持っているドメインのサブドメインを正規のドメイン名に似せて勘違いさせ、クリックさせるというものです。これらの攻撃に関しては、DMARCは必ずしも有効な手立てだとはいえません。
DMARCでは対策が難しい手口はほかにもあります。例えばエンドユーザーのクレデンシャル情報を盗んで、それを不正に利用してメールを送信する、いわゆるアカウント乗っ取り、あるいは踏み台メール送信といわれる手口。これを、本人が送ったものなのか、不正に送られたものなのかを技術的に判断するのは困難です。
それから、ソーシャル攻撃。ビジネスメール詐欺と呼ばれているものも、これに含まれます。メールのコミュニケーションの間に入って、相手をだます。また、3年くらい前からですけれども、DNSのゾーンを不正に書き換えるという手口も見られるようになりました。本来はゾーンの書き替えができるのはドメインの管理者のみで、だからこそDNSは信頼できるとされているのですが、書き替えをするための管理画面、コントロールパネルをパスワード認証だけにしていて乗っ取られてしまう。こういった不正も、DMARCだけでは防ぐことは難しいといえます。
DMARCは基礎的な技術ですので、皆様にぜひ対応してほしいとは思いますが、それにとどまらず、さまざまな対策をとっていただきたいと思います。多要素認証を導入したり、フィルタリングやレピュテーションサービスを利用したりといった、多層的な取り組みが必要になってきます。一方で、皆様がユーザーの立場になったときには、セキュリティ対策が充実しているサービスを選んで利用するということも、対策を進める上では非常に有効なことだと思います。
最後にまとめです。なりすましメールやフィッシングの対策というのは、すなわち、いかにして正当なメールのみを流通させるかという対策です。メールはコミュニケーションツールとして普及が進んできましたが、最近ではBtoCのマーケティングメールや、各種通知のトランザクションとして利用されることも多くなっています。一方で悪意のあるなりすましメールも増えてきています。今回ご紹介したDMARCはなりすましメールの「認証」「分析」をするツールです。ポリシー機能によってなりすましたメールの取り扱い方を指定することができ、レポート機能によって収集されたデータを企業活動に活用することができます。皆様の中にはすでにSPFの設定をされている方は多いと思います。ですが、DMARCを導入するには、それだけでは不十分です。電子署名ベースのDKIMの対応を、皆様のメールサービスあるいはクラウドサービスでぜひ有効化していただきたいと思います。また、DMARCを導入するインセンティブの1つとして、ブランドアイコンを表示するBIMIがあります。特にコンシューマー、個人向けにメールを送信する場面では、BIMIは非常に有効に機能すると思います。TwoFiveではDMARCを導入している企業・組織の分析を支援する「DMARC/25 Analyze」というクラウドサービスを提供しています。DMARCの効果を最大化するために、活用をお勧めします。皆様のドメインにDMARCが導入されることを期待しております。ご清聴ありがとうございました。
■お問い合わせ先
株式会社TwoFive
〒103-0027
東京都中央区日本橋3丁目1−4
TEL:03-5704-9948
https://www.twofive25.com/
sales@twofive25.jp
