TwoFive、なりすましメール対策「DMARC」の導入の効果と活用に当たっての注意点(下)

2023年3月24日8:00

 

レポート機能によって得られるデータをもとに
メールの送受信環境を正確に把握

DMARCを導入して、DNSの設定をしたあとには、運用するというフェーズがあります。ポリシーを「none」から「quarantine」や「reject」という強制力を持ったものに変えていく必要があります。そのために重要になってくるのは、レポート機能によって得られるデータの分析です。データは非常に多く、複雑なものになりますので、分析のツールが必要になります。われわれTwoFiveでは、「DMARC/25 Analyze」というツールの提供を行っています(図5)。

図5 [紹介]クラウド分析ツール  DMARC/25 Analyze

データ分析には、一般的に3つの効用があるといわれています。1つは、自分たちのメールのドメインでどのくらいなりすましが発生しているかを可視化できるということです。なりすまされて送信されていたメールが、いつどのくらい流通していたかを、フィードバックされたデータを分析することで確認することができます。その状況をお客様にお知らせしたり、フィッシングサイトをテイクダウンするようなアクティビティにつなげたりすることも可能になります。ポリシーを強化するモチベーションにもなると思います。

2つ目としては、正規のメールサーバ、正当なメールの送信方法がどのくらい採用されているのかが可視化できることです。例えばDMARCの認証結果をメールサーバごとに見ていくと、特定のサーバではうまくいっているけれども、別のサーバでは認証が成功していないといったことがわかってきます。また、自分たちが知らないうちに他部署がメールサーバを立ち上げていた、クラウドサービスを使っていたということがわかったりもします。DMARCのポリシー機能は非常に強力なので、正しいメールを拒否してしまうリスクもあります。メールの送信環境が適正に保たれているかどうかを把握しておくことは、非常に重要です。

3つ目は、DMARC関連の設定の不備や、設定漏れをチェックできることです。特にマーケティングやトランザクションは、アウトソーシングしているケースも多く、漏れてしまいやすい傾向があるようです。

今回はDMARCが大きなテーマですが、これに付随するものとして、BIMIを紹介させていただきたいと思います(図6)。BIMIというのは、メールソフトやメールアプリで、差出人が正しいと判定された場合に、タイトルの先頭に企業の正式なロゴを表示して、エンドユーザーに安心してメールを見てもらえるようにする仕組みです。ロゴを表示する技術はこれまでにもいくつか登場しています。国内ではヤフーメールやニフティ、最近ではNTTドコモでも、正しいメールに印を付けるような技術を提供しています。BIMIはそれらのデファクトスタンダード、Gmailや海外のメールサービスを含めて標準化した技術規格と考えていただければいいと思います。BIMIを利用するには、DMARCに対応していることが必須条件となっています。さらにはDMARCのポリシーをquarantine以上にすることも求められています。われわれTwoFiveでは、BIMIの対応のサポートも行っています。

図6 c.f BIMI

DMARCでカバーできない犯罪もある
多層的な不正対策を講じることが必要

ここまではDMARCの効用についてお話ししてきましたが、実はDMARCだけでは、すべてのなりすまし、フィッシングを防ぐことはできません。先ほどご紹介した、私に届いた、正規のドメイン名をそのまま詐称したなりすましメール。これはDMARCが正確に判定し、拒否することができると思います。しかし攻撃者はこれ以外にもさまざまな手口を使ってきます。

たとえば見た目は似ているけれども、実はまったく違うドメインを使ったなりすましメール。また、メールの差出人はメールアドレス情報だけではなく、コメントや表示名を指定することができるのですが、表示名は正規のサービスを指定して、アドレスのドメインの部分はランダムな文字列を指定するという手法も存在します。また、最近よく見られるのは、スクワッティングと呼ばれている手法です。これは攻撃者がドメイン名を取得するのではなく、すでに持っているドメインのサブドメインを正規のドメイン名に似せて勘違いさせ、クリックさせるというものです。これらの攻撃に関しては、DMARCは必ずしも有効な手立てだとはいえません。

DMARCでは対策が難しい手口はほかにもあります。例えばエンドユーザーのクレデンシャル情報を盗んで、それを不正に利用してメールを送信する、いわゆるアカウント乗っ取り、あるいは踏み台メール送信といわれる手口。これを、本人が送ったものなのか、不正に送られたものなのかを技術的に判断するのは困難です。

それから、ソーシャル攻撃。ビジネスメール詐欺と呼ばれているものも、これに含まれます。メールのコミュニケーションの間に入って、相手をだます。また、3年くらい前からですけれども、DNSのゾーンを不正に書き換えるという手口も見られるようになりました。本来はゾーンの書き替えができるのはドメインの管理者のみで、だからこそDNSは信頼できるとされているのですが、書き替えをするための管理画面、コントロールパネルをパスワード認証だけにしていて乗っ取られてしまう。こういった不正も、DMARCだけでは防ぐことは難しいといえます。

DMARCは基礎的な技術ですので、皆様にぜひ対応してほしいとは思いますが、それにとどまらず、さまざまな対策をとっていただきたいと思います。多要素認証を導入したり、フィルタリングやレピュテーションサービスを利用したりといった、多層的な取り組みが必要になってきます。一方で、皆様がユーザーの立場になったときには、セキュリティ対策が充実しているサービスを選んで利用するということも、対策を進める上では非常に有効なことだと思います。

最後にまとめです。なりすましメールやフィッシングの対策というのは、すなわち、いかにして正当なメールのみを流通させるかという対策です。メールはコミュニケーションツールとして普及が進んできましたが、最近ではBtoCのマーケティングメールや、各種通知のトランザクションとして利用されることも多くなっています。一方で悪意のあるなりすましメールも増えてきています。今回ご紹介したDMARCはなりすましメールの「認証」「分析」をするツールです。ポリシー機能によってなりすましたメールの取り扱い方を指定することができ、レポート機能によって収集されたデータを企業活動に活用することができます。皆様の中にはすでにSPFの設定をされている方は多いと思います。ですが、DMARCを導入するには、それだけでは不十分です。電子署名ベースのDKIMの対応を、皆様のメールサービスあるいはクラウドサービスでぜひ有効化していただきたいと思います。また、DMARCを導入するインセンティブの1つとして、ブランドアイコンを表示するBIMIがあります。特にコンシューマー、個人向けにメールを送信する場面では、BIMIは非常に有効に機能すると思います。TwoFiveではDMARCを導入している企業・組織の分析を支援する「DMARC/25 Analyze」というクラウドサービスを提供しています。DMARCの効果を最大化するために、活用をお勧めします。皆様のドメインにDMARCが導入されることを期待しております。ご清聴ありがとうございました。

■お問い合わせ先
株式会社TwoFive
〒103-0027
東京都中央区日本橋3丁目1−4
TEL:03-5704-9948
https://www.twofive25.com/
sales@twofive25.jp

関連記事

ペイメントニュース最新情報

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP