DMARCとは？なりすましメール対策で
注目される理由や導入のメリットを解説

実在企業をかたった「なりすましメール」が、従来にも増して多く届いているなと感じている方も多いかもしれません。そして、このなりすましメールによる詐欺の被害額も急増しています。

以前は、外国の攻撃者によるなりすましとみられる不自然な日本語で届くケースが多く、日本では、なりすましメールは見破りやすいものとされてきました。しかし、最近ではChatGPTなど高精度のAIを使い、違和感の少ない日本語のメール文が容易に作れるようになってきています。
ほかにも、メールを盗み見して、そのメールの送信者情報や内容を改ざんすることで、受信者の普段のやり取りに近いメールを偽装することも可能になっています。メールに表示されている名前やアドレスが、実在の企業・人物のものと全く同じというケースも多く、なりすましと本物を見分けることが難しい場合が増えてきています。

こうした高度な「なりすまし」により、金融機関や企業を装ったメール・ショートメールなどから偽サイトに誘導し、個人情報や会社の重要情報、クレジットカード番号などを入力させるフィッシングの被害の件数が急増しています。

フィッシング対策協議会によると、2019年の年間約5万5,000件から、2021年にはなんと10倍近い52万6,000件となり、2022年も96万8,832件と前年比で84%増加しているのです。
また、警視庁によると、2022年のネットバンキングの不正送金の発生件数は、前年比の94.5％増の1,136件、被害総額は前年比85.2％増の約15億円となりました。これらの不正送金は、主にフィッシングで入手された情報を基にしているとみられています。

もちろん、この中ではビジネスメールにおける被害も増え、社内関係者や取引先を装ったメールでの送金依頼、フィッシングによるデータ抜き取り、添付ファイルからのマルウエア感染などへと被害が広がっています。なりすましメールの配信元として、自社の名前や自社のドメイン（メールアドレスの@以降の部分）をかたられた企業にとっては、自社のブランドイメージの低下につながってしまいます。

一連のなりすましメール対策に有効といわれているのが、「DMARC（Domain-based Message Authentication Reporting and Conformance）」（ディーマーク）とよばれる送信ドメイン認証技術です。2012年にGoogleやMeta、Microsoftなど20社がスパムメールやフィッシング撲滅を目指して開発しました。DMARCは、送信側のドメイン管理者が中心となって行う、なりすましメール対策です（仕組みについては後述）。自社ドメインを装うメールが受信されたときに検知されるようにすることで、なりすましメールを送信しにくい環境をつくり、自社ドメインのブランドを保護するための技術として、現在の国際標準となっています。

①は受信者側が受信メールのアドレスをチェックすること、②はアドレスのスペルに注意することや、送信者側が自社に似た怪しいドメインが登録されていないかを定期的に監視すること、③は受信者側がメールソフトの検知機能を使うことなどで見つけることが可能です。

しかし、最も高度で、なりすましメールの半数以上を占めるとされる④は、2011年以前から普及してきた送信ドメイン認証技術の「SPF（Sender Policy Framework）」（エスピーエフ）や「DKIM（DomainKeys Identified Mail）」（ディーキム）でもスルーしてしまいます。

そこで、④の「ドメインのなりすまし（送信者メールアドレス（header-from）の詐称）」手口を見破る技術として、SPFやDKIMを活用し、それらを補強する仕組みである「DMARC」が注目されているのです。

ここからは、SPFとDKIM、そしてDMARCの仕組みを見ていきましょう。

SPFは、メールアドレスのドメイン（@以降の部分）とIPアドレスをひもづけるデータベースを持つDNSサーバーに対し、受信メールサーバーから「受信したメールの実際の送信元IPアドレスが詐称されていないか」を確認する仕組みです。以下、概念図とともに説明します。

SPFでは、送信側のドメイン管理者は、あらかじめ自らのドメインのDNSサーバーへ、利用する送信メールサーバーのIPアドレスリスト（SPFレコード）を公開しておきます（①）。そして、メールが送信されると（②）、受信メールサーバー側はメール受信時に、そのメールの当該ドメインのDNSサーバーに問い合わせて（③）、SPFレコード情報を取得します（④）。そのメールの送信サーバーのIPアドレスがSPFレコードに含まれていることが照合できれば（⑤）、正しいサーバーから送られたメールとして認証し、メールを受信者に送ります（⑥）。

しかし、攻撃者がメールを送る際、メールソフトで表示されるheader-fromのメールアドレスを、実在企業の正規ドメインに偽装することが可能です。しかし、SPFが検証するのは、header-fromではなく、メールソフトで表示されないenvelope-fromとよばれるアドレスです。こうした偽装メールが届いても、受信者側メールサーバーは、envelope-fromアドレスのドメインのDNSサーバーに問い合わせるため、攻撃者の送信側メールサーバーから送られた正規メールとして認証してしまう場合があるのです。
またSPFでは、メールが転送された場合には、正規のメールでも認証されないという弱点もあります。

DKIMは、暗号化技術を用いた電子署名により、送信者・内容の改ざんを防止する仕組みです。以下、概念図とともに説明します。
こちらも送信側のドメイン管理者が、電子署名で使う自分の秘密鍵と対になった公開鍵を、あらかじめDNSサーバーに登録しておきます（①）。送信側はメールを送る際、秘密鍵で電子署名を作成し、これを付加してメールを送信します（②）。受信者側サーバーではメールを受信すると、署名に指定されたドメインのDNSサーバーに公開鍵情報を要求して（③）公開鍵を取得します（④）。そしてその公開鍵を使って電子署名を復号する（暗号化前の文字列に戻す）ことで、メールの送信者や内容が改ざんされていないかを検証（⑤）。改ざんされていないメールのみを受信者に送ります（⑥）。

しかし、DKIMでは、メール送信サーバーのドメインとは無関係な第三者ドメインによる署名も可能となっており、もし署名ドメインが攻撃者のものであっても、判断することは困難です。また、普及率が低いため、DKIMの署名の有無で直ちに不正メールであるか否かの判断が難しいという課題があります。
なお、一方でDKIMはSPFとは異なり、転送されたメールについても、多くの場合に検証することが可能です。

そこでDMARCでは、これら二つの認証を活用した上で、その弱点をカバーすべく、「アライメント」という考え方を使います。DMARCのアライメントでは、SPFとDKIMの認証（いずれか一つでもOK）を行った後で（下図中②③）、「header-fromのドメインがSPFで認証したenvelope-fromのドメインと一致しているか」、または、「header-fromのドメインがDKIMの署名に使われたドメインと一致しているか」を検証します（④）。これにより、SPFやDKIMの仕組みですり抜けたなりすましメールを検知します。

またDMARCでは、受信者側で認証されなかったメールの扱い方を、送信者側のドメイン管理者が選ぶことができ、あらかじめDNSサーバー上に登録する「DMARCレコード」の中で、そのポリシーを公開して受信者側に宣言します（①）。メールの扱い方とは、「none」：モニタリングのみで何もせずそのまま配信する、「quarantine」：隔離する（迷惑メールフォルダなど）、「reject」：受信を拒否させる、の3つです。

受信者側のメールサーバーは、受信メールが認証できなかった場合（⑤）に送信者側のDMARCポリシーを参照し、メールをどのように取り扱うかを決定します。これにより、メール受信者に送るメールを選別するのです（⑥）。

さらに、DMARCを導入すると、受信者側のメールサービスプロバイダーから送信者側へ、認証に失敗した旨を通知するレポートが送られるようになります（⑦）。送信者側はレポートの内容を調べることで、「どのメールが認証され、どのメールが認証されなかったのか」「なりすましメールが届いていないか」「どのIPアドレスが自社のドメインを偽装してメールを送っているか」などがわかり、自社への攻撃状況の把握や対策につなげることができます。そのため、「none」のモニタリングのみであっても、攻撃者にとってはIPアドレスなどが把握されてしまうため、そのドメインのなりすましがしにくくなるといわれています。

一つ目のメリットは、公開されているDNSサーバーの設定情報を見ることで、DMARCの導入の有無が誰でも確認できるようになっており、攻撃者にとって、DMARCを導入しているドメインを装ったなりすましメールを送りにくくなることです。

また、DMARCで認証されなかったメールの扱い方ポリシーで「reject」の受信拒否を選択した企業では、1,000万通単位のなりすましメールをブロックした例が報告されるなど、攻撃による被害から組織を守る効果が期待できます。

自社ドメインを装ったなりすましメールの攻撃や被害を減らすことにより、このなりすましメールによる従業員や取引先、お客さまへのフィッシング被害やマルウエア感染を防ぐことができます。自社のみならず、ステークホルダーやサプライチェーンへの被害を防ぐことにつながります。

現在、各国の主要企業や大手メールプロバイダーにおいて、DMARCをはじめとするなりすましメール対策の導入が進んでいます。これにより、DMARC導入などの対策をしていない企業では、自社ドメインから送った正規のメールであるにも関わらず、受信サーバー側で怪しいメールと判断されて受信を拒否されたり、迷惑メールフォルダなどに隔離されたりし、必要な相手にメールが届かずに業務に支障をきたすケースが出てきています。
DMARC導入の二つ目のメリットは、こうした中で自社ドメインの正当性を高め、自社メールの到達率を高められることです。DMARC導入が世界の中で遅れている日本の企業はなりすまし対象として狙われやすくなっていることが考えられ、メール到達率の低下を抑えるべく、早急な対応が求められています。

三つ目のメリットは、DMARCを導入して自社ドメインを装ったなりすましメールを減らしていくことにより、自社ブランドイメージを守れることです。また、先述のようにDMARCはステークホルダーを守る対策でもあります。これに積極的に対応することは、しっかりとしたセキュリティ対策を実施している企業としての評価や信頼性を高めることにつながります。

DMARCは、送信ドメイン認証を自動化し、自社ドメインのなりすましメールを効率的にブロックすることで、フィッシングやマルウエア感染を未然に防ぎ、金額的被害やシステム攻撃時の復旧対応といったセキュリティ対策コストを大きく抑えます。また、なりすましメールを受け取った顧客などからの問い合わせ対応コストの抑制にもつながります。
一方で世界標準として公開された技術であり、低コストで導入できることも利点です。