詐欺メールで取引先に被害が?
自社の正規メールが届かない恐れも?
「なりすましメール」対策で注目される「DMARC」とは
最近、「なりすましメール」が一気に増加・精巧化しているのに伴い、その被害額も急増しているのをご存じでしょうか。
今回は、なりすましメール対策の国際標準であり、日本でも2023年になり急速に注目を集めている
送信ドメイン認証技術「DMARC」について、その概要や背景、導入メリットをご紹介します。
目次
フィッシング被害が急増。精巧化する「なりすましメール」に有効な対策は?
よく知られる実在企業をかたった「なりすましメール」。最近、従来にも増して多く届いているなと感じている方も多いかもしれません。そして、このなりすましメールによる詐欺の被害額も急増しています。
以前は、外国の攻撃者によるなりすましとみられる、いかにも不自然な日本語で届くケースが多く、なりすましメールは、日本では見破りやすいとされてきました。しかし、最近では、ChatGPTなど高精度のAIを使い、違和感の少ない日本語のメール文が容易に作れるようになってしまいました。
ほかにも、メールを盗み見したり、そのメールの送信者情報や内容を改ざんしたりして、受信者の普段のやり取りに近いメールを偽装することも可能になっています。メールに表示されている名前やアドレスが、実在の企業・人物のものと全く同じというケースも多く、なりすましと本物を一般の人が見分けることは、ますます難しくなってきているのです。
こうした高度な「なりすまし」により、金融機関や企業を装ったメール・ショートメールなどから偽サイトに誘導し、個人情報や会社の重要情報、クレジットカード番号などを入力させるフィッシングの被害の件数が急増しています。
フィッシング対策協議会によると、2019年の年間約5万5,000件から、2021年にはなんと10倍近い52万6,000件となり、2022年も96万8,832件と前年比で84%増加しているのです。
また、警視庁によると、2022年のネットバンキングの不正送金の発生件数は、前年比の94.5%増の1,136件、被害総額は前年比85.2%増の約15億円となりました。こうした不正送金は、主にフィッシングで入手された情報を基にしているとみられています。
もちろん、この中ではビジネスメールにおける被害も増え、社内関係者や取引先を装ったメールでの送金依頼、フィッシングによるデータ抜き取り、添付ファイルからのマルウェア感染などへと被害が広がっています。自社の名前や自社のドメイン(メールアドレスの@以降の部分)をかたられた企業にとっては、自社のブランドの低下につながってしまいます。
日本企業は遅れている?なりすましメール対策「DMARC」とは
なりすましメール対策に有効といわれているのが、「DMARC(Domain-based Message Authentication Reporting and Conformance)」(ディーマーク)とよばれる送信ドメイン認証技術です。2012年にGoogleやMeta、Microsoftなど20社がスパムメールやフィッシング撲滅を目指して開発しました。DMARCは、送信側のドメイン管理者が中心となって行う、なりすましメール対策です(仕組みについては後述)。自社ドメインを装うメールが受信されたときに検知されるようにすることで、なりすましメールを送信しにくい環境をつくり、自社ドメインのブランドを保護するための技術として、現在の国際標準となっています。
DMARC は、従来の送信ドメイン認証技術では検出できなかった手口のなりすましメールを検出できる技術として、欧米や中東などの企業を中心に、世界的に導入が進んでいます。背景としては、英国で政府が2016年に導入を義務化、米国でも政府が政府機関や重要事業者に対して段階的な導入を指示するなど、国全体で後押ししていることが挙げられます。
一方、日本では、日本語のなりすましは見破りやすいと思われていたことなどから、政府の対応が進まなかったこともあり、DMARCの認知度が低く、主要企業でも導入しているところはまだ多くないといわれています。しかし、最近の実被害の急増から、日本でも2023年になって急速に重要度が認識されてきました。日本政府は2023年2月にはクレジットカード会社にDMARC導入を要請し、近いうちに企業全体に対しDMARC導入の推奨を予定しているといわれます。
企業が「DMARC」などのなりすましメール対策をしないリスクとは?
DMARCの仕組みを紹介する前に、まずは企業がDMARCなどのなりすましメール対策を行わないことで懸念されているリスクをみていきます。
リスク① なりすましメールの標的になってしまう
DMARCは、公開されているDNSサーバーの設定情報を見ることにより、その企業がDMARCを導入しているかがわかるようになっています。欧米企業がDMARCを導入し、彼らを装ったなりすましメールを送りにくくなっている中、未対策の日本企業がなりすましメールの標的にされやすくなるという恐れが指摘されています。
リスク② お客さまやサプライチェーンへの被害につながる
自社がなりすましメールの標的になると、自社の社員や自社ドメインから発信したように見えるメールが取引先やお客さまに送られ、フィッシングやマルウェア感染などに悪用されます。それを起点にサプライチェーン全体に被害が広がる恐れとともに、有効な対策をとらないことによる自社ブランドのイメージ低下につながる恐れがあります。
リスク③ 自社からの正規メールが受信されにくくなる
現在、各国の主要企業やGoogle・Microsoft・Yahoo!などの大手メールプロバイダーにおいて、DMARCなどの認証技術をはじめとする、なりすましメール対策が導入されています。これらの動きに十分に対応していない場合、自社ドメインから送った正規のメールであるにも関わらず、受信サーバー側で怪しいメールと判断され、拒否されるケースが起きています。必要な相手にメールが届かず、業務に支障が出るだけでなく、自社のセキュリティ対策に関する評価を落とし、やはりブランドイメージの低下を招いてしまいます。
なりすましメールの手口と、DMARCの仕組みとは?
ここからは、なりすましメールの手口と、 DMARCの仕組みを簡単に紹介します。
なりすましメールの4つの手口とは?
なりすましメールの手口には、主に次の4つがあります。
①メールソフトで表示される送信者名(例:送信者アドレスの横に表示される「山田太郎」「Taro Yamada」など)を詐称する、②正規のドメインに似せたドメインを使用する(実在するドメインのl(エル)を1に、o(オー)を0に変えるなど)、③メールソフトには表示されない返信先(Reply-to)を改ざんし、攻撃者へメールを返信させる、④ドメインをなりすます(メールソフトには表示されない送信者メールアドレス(header-from)を正規のメールアドレスに詐称する)、というものです。
①は受信者側が受信メールのアドレスをチェックすること、②はアドレスのスペルに注意することや、送信者側が自社に似た怪しいドメインが登録されていないかを定期的に監視すること、③は受信側がメールソフトの検知機能を使うことなどで見つけることが可能です。しかし、この中でも最も高度で、なりすましメールの半数以上を占めるとされる④は、2011年以前から普及してきた送信ドメイン認証技術の「SPF(Sender Policy Framework)」(エスピーエフ) や DKIM(DomainKeys Identified Mail)」(ディーキム)でもスルーしてしまいます。
そこで、 ④の「ドメインのなりすまし(送信者メールアドレス(header-from)の詐称)」手口を見破る技術として、 SPFやDKIM を活用し、それらを補強する仕組み「DMARC」が注目されています。
それぞれの仕組みはどのようなものでしょうか。
SPF(Sender Policy Framework)
SPFは、メールアドレスのドメイン(@以降の部分)とIPアドレスをひもづけるデータベースを持つDNSサーバーに対し、受信メールサーバーから「受信したメールの実際の送信元IPアドレスが詐称されていないか」を確認する仕組みです。
SPFでは、送信側のドメイン管理者は、あらかじめ自らのドメインのDNSサーバーへ、利用する送信メールサーバーのIPアドレスリスト(SPFレコード)を公開しておきます。そして、受信メールサーバー側は、メール受信時に、そのメールの当該ドメインのDNSサーバーに問い合わせてSPFレコード情報を取得し、そのメールの送信サーバーのIPアドレスがSPFレコードに含まれていれば、正しいサーバーから送られたメールとして認証します。
しかし、攻撃者がメールを送る際、メールソフトで表示されるheader-fromのメールアドレスを、実在企業の正規ドメインに偽装することが可能です。しかし、SPFが検証するのは、header-fromではなく、メールソフトで表示されないenvelope-fromとよばれるアドレスです。こうした偽装メールが届いても、受信側メールサーバーは、envelope-from アドレスのドメインのDNSサーバーに問い合わせるため、攻撃者の送信側メールサーバーから送られた正規メールとして認証してしまう場合があるのです。
また、SPFでは、メールが転送された場合には、正規のメールでも認証されないという弱点もあります。
DKIM (DomainKeys Identified)
DKIMは、メールの暗号化技術を用いた電子署名により、送信者・内容の改ざんを防止する仕組みです。こちらも送信側のドメイン管理者が、署名による暗号化で使う自分の秘密鍵と対になった公開鍵を、あらかじめDNSサーバーに登録しておきます。送信側はメールを送る際、秘密鍵で電子署名を作成し、これを付加してメールを送信します。受信側サーバーではメールを受信すると、署名に指定されたドメインのDNSサーバーから公開鍵を取得し、その公開鍵を使って暗号化されたメールを復号(元の文章に戻すこと)することで、メールの送信者と内容が改ざんされていないかを検証します。
しかし、DKIMでは、メール送信サーバーのドメインとは無関係な第三者ドメインによる署名も可能となっており、もし署名ドメインが攻撃者のものであっても、判断することは困難です。また、現時点での普及率が低いため、DKIMの署名の有無で直ちに不正メールであるか否かの判断が難しいという課題があります。
なお、一方でDKIMはSPFとは異なり、転送されたメールについても、多くの場合に検証することが可能です。
DMARC(Domain-based Message Authentication Reporting and Conformance)
そこでDMARCでは、これら二つの認証を活用した上で、その弱点をカバーすべく、「アライメント」という考え方を使います。DMARCのアライメントでは、二つの認証(いずれかでもOK)を行った後で、「header-fromのドメインがSPFで認証したenvelope-fromのドメインと一致しているか」または、「header-fromのドメインがDKIMの署名に使われたドメインと一致しているか」を検証します。これにより、二つの仕組みですり抜けたなりすましメールを検知します。
またDMARCでは、送信者側のドメイン管理者が、認証されなかったメールの扱い方について、DNSサーバー上でポリシーを公開することで受信者に宣言します。メールの扱い方とは、①モニタリングのみで何もしない、②隔離する、③受信を拒否する、から選択できます。受信者側のメールサーバーは、受信メールが認証できなかった場合に送信者のポリシーを参照し、 メールをどのように取り扱うかを決定します。
さらに、DMARCを導入すると、受信者側から送信者側へ、認証に失敗した旨を通知するレポートが送られるようになります。送信者側はレポートの内容を調べることで、「どのメールが認証され、どのメールが認証されなかったのか」「なりすましメールが届いていないか」「どのIPアドレスが自社のドメインを偽装してメールを送っているか」などがわかり、自社への攻撃状況の把握や対策につなげることができます。そのため、①のモニタリングのみであっても、攻撃者はその企業のドメインのなりすましがしにくくなるといわれています。
DMARC導入に当たって、送信側のドメイン管理者の作業は、認証されなかったメールをどう扱うかのポリシー情報をあらわす「DMARCレコード」を DNSサーバーに登録するだけとなっており、対応は容易とされています。
また、事前にSPFとDKIMの両方の設定が必要だと思われがちですが、いずれかの設定ができていれば、DMARCを導入することが可能です。
DMARCは、ドメインのなりすましをすべて検知できるわけではありませんが、レポートによってメールの脅威状況を見える化することにより、攻撃が抑止される効果が期待できます。また、企業の中には、DMARCで認証されなかったメールの扱い方のポリシーで「受信拒否」を選択したことで、1,000万通単位のなりすましメールをブロックした例も報告されています。
なお、DMARCは、先に紹介したなりすましメールの手口のうち、ドメインのなりすまし(送信者メールアドレス(header-from)の詐称)に有効な対策です。送信者名の詐称や類似ドメインの使用、返信先(Reply-to)の改ざんなどには、引き続き別の対策が必要であることは押さえておく必要があります。
今後DMARCは国内でも普及。外部サービス選択時もDMARC導入がポイントに
DMARCの導入は、自社ドメインのなりすましが起きる恐れのある企業には、自社のブランドを守るために、また取引先をはじめとするサプライチェーンへの詐欺被害を防ぐためにも、必須となっていくでしょう。
また、今後DMARCなどの認証技術の導入が国内企業でも増えていくことが予想されるのに伴い、多くの企業に広く関わるのが、自社ドメインのメールが相手に届かないというリスクです。特に重要なファイルをメールで送る際には注意が必要です。しかし、自社がDMARCなどの送信ドメイン認証技術を導入していない場合にも、DMARCを導入したファイル送信サービスを活用することで、重要な情報を確実に送ることが可能になります。
大容量ファイルや重要ファイルを安全に送るために、情報漏えい対策のされた外部サービスを活用しようという場合にも、そのサービスがなりすましメール対策の国際標準となっているDMARC導入に対応しているかどうかは、今後サービスを選ぶ際のポイントの一つになります。
DMARCを導入済み!法人向けクラウド型ファイル送受信サービス
「SECURE DELIVER」(セキュアデリバー)
富士フイルムの法人向けクラウド型ファイル送受信サービス「SECURE DELIVER」は、すでにDMARCを導入し、こうしたリスクに対応しています。ファイルの共有に特化したシステムであり、通信の暗号化がされ、メールの盗み見や改ざんを防げるのはもちろん、サーバー内に共有されたデータも暗号化して保管しています。また、7日間でデータをサーバーから自動削除するので、漏えいリスクを低減できるなど、安全性について高く評価いただき、大手企業や金融機関など2000サイト以上の導入実績を持っています。
ID数に関わらず、「やり取りしたファイルの数」に応じて課金する方式のため、コストの削減とガバナンス強化を両立することができる点もご好評をいただいています。ご興味のある方は、ぜひお気軽にお問い合わせください。
「SECURE DELIVER」の詳細はこちらから