セキュリティマネジメント Summit
Summer 2021 - Review -
TwoFive

「なりすましメール対策」の決定版
メールの可視化から始めるDMARC活用

サイバー攻撃の大半はメールをきっかけに始まると言われ、多くの企業では様々なメールセキュリティ対策を導入している。ところが、なりすましメール対策については後手を踏んでいる状況にあり、SPFやDKIMと共に新たな送信ドメイン認証技術として有力視されているDMARCは、国内では普及が始まったばかりだ。自社のメール環境をあらためて見直し、改善を進めるためにも早急な取り組みが求められている。

「なりすましメール対策」が
サイバーセキュリティの重要課題に

株式会社 TwoFive 開発マネージャー 加瀬 正樹氏
株式会社 TwoFive
開発マネージャー
加瀬 正樹
 標的型攻撃、フィッシングサイトへの誘導、マルウエア感染など、エンドポイントは常に様々な脅威にさらされている。その入り口として悪用されているのが「なりすましメール」である。公共機関や電力会社、ネットバンキング、ネット通販などを偽装して送信されてくるメールで、単に表示名を詐称するだけでなく、本物の送信者のメールアドレスを装って送ってくるケースもある。

 そうした中で注目されるようになったのが「送信ドメイン認証」である。これはメール送信者のドメインが正しいものであるかどうかを検証することができる仕組み。これまで広く使われてきたのが「SPF(Sender Policy Framework)」と「DKIM(DomainKeys Identified Mail)」という2つの方式だ。

 SPFは、メールのエンベロープFrom(差出人)に書かれているメールアドレスのドメインを管理しているDNSサーバーに問い合わせ、送信元メールサーバーのIPアドレスがそこに定義されているかどうかを検証する。一方のDKIMは、電子署名を利用して送信者のドメインの正当性およびメールの中身が改ざんされていないかどうかを検証する。

 「ただし、これだけでメールの安全性を十分に担保できるわけではありません。SPFとDKIMのどちらの方式もヘッダーFromドメインの詐称を見破ることができないからです」とTwoFiveの加瀬 正樹氏は問題点を指摘する。

 そこで登場したのが「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」という技術だ。2012年1月にPayPal、Bank of America、LinkedIn、Facebook、Comcast、Google、Yahoo、Microsoftなど、電子メール関連企業・組織によって設立された業界団体DMARC.orgのもとで作られた、送信ドメイン認証技術の新たな規格である。

DMARCが提供する
「ポリシー」と「レポート」とは

 DMARCは「ポリシー」と「レポート」の2つの機能を備えている。

 まずポリシー機能は、送信したメールがドメイン認証に失敗した場合、受信者にどのように処理してほしいかを、「none(何もしない:受信箱へ入れる)」、「quarantine(隔離する:迷惑メールフォルダーへ入れる)」、「reject(受信拒否する:送信者へエラーを返す、受信して破棄する)」の3段階で宣言する。

 「メールドメインの認証は従来のSPFとDKIMを組み合わせた形で行われ、簡単に言えばいずれかの方式で認証に成功すればDMARCをパスします。ただし、ヘッダーFromを保護する技術仕様を採用することで、SPFとDKIMの課題を解消しているわけです」と加瀬氏は説明する。

 非常に簡単な設定で利用できることもDMARCの重要なポイントとなっており、DNSのテキストレコードに例えば「p=none」といったタグを指定するだけでポリシーを宣言することができる。

 一方のレポート機能は、どのくらいのメールが認証に成功または失敗したのかという統計情報をフィードバックするもので、同じくDNSのテキストレコードに「rua=mailto:rua@example.com」というタグを設定すれば、ここで指定したアドレスで受信側からのレポートを受け取ることができる(図1)。  このレポートから何が分かるのか。大きく次の4点が挙げられる。

 1つ目が、実際のなりすましメールの流通が分かること。「DMARCからフィードバックされたレポートを分析することで、自分たちのドメインをかたったフィッシングメールやスパムメールなどの流通状況を把握することができます」(加瀬氏)。あるISPの通報メールで、スパムフィルターをすり抜けてしまった迷惑メールを分析したところ、DMARCが設定されていれば、その60%を判別できるという結果が得られている。これにより取引先へ注意喚起のアナウンスを行ったり、送信元組織に対して不正利用を通報したりといったアクションを起こすことが可能となるわけだ(図2)。  2つ目が、正規メールサーバーが可視化されること。「認証結果を集計することで送信元メールサーバーが一覧表示され、これまで把握していなかったメールサーバーを発見することができます」(加瀬氏)。例えば各部門やグループがIT部門の承諾なしに利用している独自のメールサーバーやクラウドのメールサービス、ユーザーが残存していた旧世代のメールシステムなど、シャドウITを撲滅することにも役立つ。

 3つ目が、設定不備が分かること。「SPFの設定不備や把握できていなかったサブドメインを検出します。ここで明らかになった問題点を改善することで、メールの到達性や信頼性を向上することができます」と加瀬氏は話す。

 そして最後の4つ目が、BIMI(Brand Indicators for Message Identification)によるブランドアイコンを表示できることだ。「DMARCでquarantine、またはrejectのポリシーを設定すれば、認証済みのメールにブランドアイコン(ロゴ)を添付することが将来的に可能となります」(加瀬氏)。例えばコンシューマー向けに送信するキャンペーンメールなどに、この機能を利用してブランドアイコンを表示することで、なりすましを防いで自社の信頼を高めることができる。

なりすましの検知を支援するクラウドサービス

 上記のような特徴を持つDMARCをより効果的に活用できるようにするため、TwoFiveでは「DMARC/25 Analyze」というクラウド型の解析サービスを提供している。これは多数のメール受信サーバーからフィードバックされるXML形式の膨大な認証結果レポートを集計・可視化して解析し、より分かりやすいWebベースのレポートを提示するもの。また、なりすましの疑いのあるメール送信を検知した場合、レポート上に警告を表示してドメイン管理者に通知する。

 「DMARC/25 Analyzeをご利用いただくことで、自社のドメインが不正利用されていないかどうかを確認し、なりすましの疑いがあるメール送信を迅速に検知できます。万一不正な送信に利用された場合でも、フィッシングメールの存在や内容を的確に把握できるため、自社のメールを受信する可能性のある顧客や取引先への通知など、迅速なアクションを起こして被害を抑止することが可能となります」と加瀬氏は説明する。

 既に様々な事例もある。その1つがバンダイスピリッツの取り組みだ。ガンダム、セーラームーン、仮面ライダー、ワンピースなどのキャラクター商品を販売している同社は、日々大量のメールをコンシューマー向けに送信しており、いち早くDMARC/25 Analyzeを導入することで、なりすましメール対策を進めているという。

 「もともとSPFおよびDKIMに対応していたバンダイスピリッツ様は、DMARCへのチャレンジを開始するにあたり、まずは数カ月間のトライアルとしてDMARC/25 Analyzeを導入。私たちが一緒になってなりすましメール対策を支援する診断コンサルのもと、様々な分析を通じてアクションアイテムや改善ポイントを策定していきました。この成果を踏まえてDMARC/25 Analyzeの正式利用を開始した後も、認証成功率を改善するほか、運用ポリシーをnoneからquarantineへ強化するなど継続的なステップを進めています」と加瀬氏は語る。

 ここまで述べてきたようにDMARCに対応することで、なりすましメールを検知して対処するだけではなく、自社のメール環境を把握したり、BIMIにも対応したりといった改善につなげていくことが可能となる。クラウド型で容易に導入できるDMARC/25 Analyzeを活用することで、その取り組みを大きく前進させることができるわけだ。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
株式会社 TwoFive URL:https://www.twofive25.com/
E-mail:sales@twofive25.com