メールセキュリティの新基準「DMARC」とは 行政が推奨する「なりすましメール」の対策法
アドレスも文面も「完コピ」で見分けがつかない
――今、実在する企業をかたってアカウントIDやパスワード、ATMの暗証番号、クレジットカード番号といった個人情報を詐取するフィッシングが増えているようです。フィッシング対策協議会※1の「フィッシングレポート2023」によれば、2020年からフィッシング情報の届け出件数が急激に増えていますが、背景には何があるのでしょうか。
※1 フィッシング対策協議会は、金融機関やセキュリティベンダーなどが加盟。フィッシングに関する情報収集・提供、動向分析、技術面の検討などを行っている
大久保 正博(以下、大久保) 新型コロナウイルスのパンデミックで、消費行動がオンラインにシフトしたのが大きいでしょう。以前に比べ格段にネット上での決済が増えました。フィッシングを狙う犯罪者にとって、都合のよい環境が整ったといえます。
メッセージング・ビジネス・ディビジョン ディビジョン統括
大久保 正博 氏
加えて、最近は手口が巧妙化。実は、メールは簡単にデジタルコピーができてしまいます。送信元アドレスやメール本文の文言がおかしくないかを確認して、なりすましメールかどうかの確認をしている人も多いと思いますが、メールソフトやWebブラウザで表示されるアドレスを正規のものに見せかけているケースが少なくありません。誘導先のWebサイトを完全にコピーするのも簡単ですから、不審だと感じる部分がなくなってきました。
箕浦 賢一(以下、箕浦) 私もメールに関する仕事を長くやっていますので、さすがに判別できるかと思っていましたが、想像以上に巧妙です。とくに大手ECサイトや金融機関、クレジットカード会社のなりすましメールは見分けのつかない水準のものが多く出回っています。
執行役員 クラウド・プロダクト・ディベロップメント・ディビジョン(開発担当部署)担当
箕浦 賢一 氏
――金融機関や小売業界などは、決済にひも付いていますので脅威が増しているのはわかります。それ以外の業界は、そこまで警戒する必要があるのでしょうか。
大久保 どの業界のどのような企業も、ブランド価値を毀損するおそれがあります。現在、フィッシング被害や標的型メール攻撃など、メールを起点とするサーバー攻撃は依然としてありますし、ランサムウェア※3の感染経路の1つとしても悪用される可能性があります。
「怪しいメールのリンクをクリックしたり、添付ファイルを開いたりしてはいけない」というのは常識ですが、取引先や社内の人物が送信元として表示されているメールだとやはり警戒心が緩むでしょう。
※3 ランサムウェアとは、感染すると端末等に保存されているデータを暗号化して使用できない状態にしたうえで、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラム
箕浦 なりすましメールを受け取った側は、かたられた企業に対してポジティブな印象は持ちにくく、以降もその企業からのメールに警戒するでしょう。実際に何かをしたわけでもないのに、メールセキュリティ対策を怠ったがために、企業の信頼が損なわれるおそれがあるのです。
ある意味で、現在なりすましメールが急増している金融機関や小売業界は、早めに対策が取れる状況にあるともいえます。対策が済めば、その企業のメールになりすますことは難しくなりますので、犯罪者側はほかの企業を狙うようになります。すると、消費者との接点が多いBtoC企業だけでなく、BtoB企業もターゲットになるでしょう。
「DMARC」未導入企業が
ピンポイントで狙われやすい訳
――具体的に企業はどのような対策を取ればよいのでしょうか。
大久保 現在、世界中で進められている「なりすまし」対策が、DMARC(ディーマーク)※4と呼ばれる認証技術です。メールに表示される送信元アドレスがなりすまされていないか、判断できる防御の仕組みです。海外の先進国ではかなり導入が進んでいますが、残念ながら日本は遅れています。
※4 DMARCはDomain-based Message Authentication, Reporting, and Conformanceの頭文字。電子メールにおける送信ドメイン認証技術の1つ。なりすましを防ぐことができ、送信側のメールが信頼できるドメインから送られていることを保証する
箕浦 おそらくは学習されづらい“日本語の壁”もあって、日本は諸外国よりもサイバー攻撃を受けることなく、被害も大きくならずに済んできたのだと思います。
しかし、技術の進展で言葉の壁はなくなってきていますし、オンラインシフトの加速で被害が急速に増えてきました。行政もこの状況を問題視しているようで、経済産業省と警察庁、総務省が23年2月にDMARCの導入を推奨しました。
――パブリッククラウドのメールサービスやメール配信基盤を利用している企業も多いと思います。ベンダーがセキュリティ対策をしているにもかかわらず、別途DMARCを導入しなくてはならないのでしょうか。
大久保 結論から言えば、どんな環境にある企業もDMARC導入をしたほうがよいと思います。メールサービスのコンテンツフィルターなどは機能するものの、犯罪者が本気で狙ってきたときに防御できるほどではないでしょう。
また、DMARC導入の有無は、方法を知っていれば誰でも外部から判別できますので、未導入の企業がピンポイントで狙われる可能性は十分にあります。
箕浦 メールセキュリティは受信時の対応のみが注目されがちですが、実は送信時のケアも同じくらい重要です。なぜなら、送信時にメールのデジタルコピーを取られて、自社になりすまされてしまうおそれがあるからです。
DMARC認証をすることで、自社ドメインになりすまされるリスクを大きく減らせますし、顧客や取引先に「安心して開封してください」と伝えることができます。
HENNGEも苦労した「ドメインの棚卸し」
――企業としての信頼性を担保するだけでなく、ビジネスを円滑に進めるためにもDMARCの導入が求められているということですね。導入は簡単にできるのでしょうか。
大久保 実はそれほど簡単ではありません。DMARCの認証を受けたメールにはマーク※5が付く仕組みになっており、マークの付いていないメールは相手先に届きません。つまり、社内で使われるドメインすべてを洗い出して認証する必要があります。
※5 DMARCで認証するには、電子署名またはIPアドレスをDNS(IPアドレスとドメイン名の対応を管理するシステム)上で開示することで送信ドメインを認証できる状態にする必要がある
部門最適でさまざまなサービスやシステムを導入していると、例えばマーケティング部門がターゲティング配信のためSaaSを導入していたり、M&Aで統合した会社のドメインやメールサーバーがきちんと管理できていなかったりというケースもあり、すべてを棚卸しするのはかなり大変な作業となります。
箕浦 実は当社も、DMARCの導入に当たってはドメインの棚卸しで非常に苦労しましたので、その経験を生かして、クラウド型メール配信サービス「Customers Mail Cloud」のお客様向けにDMARC導入のコンサルティングサービスを立ち上げました。つまずきやすいポイントや突き当たることの多い課題をしっかりとご支援できればと考えています。
――HENNGEは「アーリーアダプターであり続けるために、青い果実を食べる。」をバリューとして掲げていますが、サービスにどのように生かしているのですか。
箕浦 社名にあるとおり、当社は変化し続けるためにチャレンジをいとわない会社です。新技術を先行して積極的に採用することで失敗も多くありますが、お客様は同じ失敗をすることなく、より安全で利便性の高いサービスをご利用いただけます。
昨今のなりすましメールの高度化は、企業の業態や過失の所在にかかわらず、その企業ドメインをかたられることで、自社の企業価値を大きく低下させる可能性があります。HENNGEはその解決策の一環となるDMARC普及に力を注いでいきます。
DMARC導入以外でも、自社の社員になりすましメールを送って反応を観察・学習することで、標的型攻撃メールから企業を守るための訓練サービス「tadrill(タドリル)」の開発に役立てています。
大久保 サーバー管理不要で簡単・確実にメールを送信できる「Customers Mail Cloud」など、セキュアなメール配信基盤となりすましメール対策をワンストップで提供できるのが当社の強みです。ビジネスに欠かせないメールの課題解決をご支援しますので、ぜひお気軽にご相談ください。
>HPはこちら
