インターネットイニシアティブ

なりすましメール対策の切り札
「送信ドメイン認証技術」の仕組みとは

実在のメールアドレスを悪用してメールを送り、
マルウエアに感染させたりID/パスワードを窃取したりする「なりすましメール」。
人には判別が難しいなりすましメールを識別するには、
SPF/DKIM/DMARCなどの「送信ドメイン認証技術」を正しく理解し、活用することが重要だ。
インターネットイニシアティブでは、そのためのソリューションを提供するとともに、
世界の脅威動向やなりすましメール対策の最新事情を紹介している。

メールを悪用した
サイバー攻撃が
グローバルで増加中

株式会社インターネットイニシアティブ ネットワーク本部サービス推進部 櫻庭 秀次氏
株式会社インターネットイニシアティブ
ネットワーク本部サービス推進部
櫻庭 秀次
 数あるサイバーリスクの中でも、注視すべきものの1つがメール経由の攻撃だ。会社の上司や取引先の担当者などになりすまし、金銭や機密情報の送信を要求するビジネスメール詐欺(BEC)、他人のアカウントを使ってなりすましメールを送信するメールアカウント侵害(EAC)の被害がグローバルで多発している。

 国内でも被害は増えていると考えられる。フィッシング対策協議会の調査※1によれば、2022年4月にクレジットカード番号、ID/パスワードなどの個人情報を盗み出す目的のフィッシング報告件数は9万2094件で、前月比で9714件増えている。またフィッシングサイトのURL件数は1万928件と、こちらも前月から1149件増加していた。

 さらに警察庁の調査※2では、ランサムウエアのリスクが明らかになった。特徴は、データを暗号化し、身代金を要求した上で、そのデータを「オンラインで公開する」と脅す二重恐喝型が増えていることだ。実に全体の85%を占めているという。

 「このように、日本企業に対する悪質なメール攻撃が増加しています。ビジネスを守る上で、なりすましメールへの対策は急務です」とインターネットイニシアティブ(以下、IIJ)の櫻庭 秀次氏は警鐘を鳴らす。
  • 1 フィッシング対策協議会「2022/04 フィッシング報告状況」(2022年5月9日)
  • 2 警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」(2022年4月7日)

不審なメールを判定する
3つの認証技術

 そのための対策として、IIJでは「送信ドメイン認証技術」を適切に設定・活用することを提案している。

 送信ドメイン認証技術とは、送信元メールサーバーのIPアドレス認証や電子署名の仕組みを用いて、メールの送信者が正当なものかどうかを判定する技術である。「なりすましメール対策は、メールの送り手と受け手の両方が対策を行わなければなりません。そのうち主にメールの送り手側が行える対策が、送信ドメイン認証技術の導入です」と櫻庭氏は説明する。

 技術には大きく「SPF」「DKIM」「DMARC」の3種類が存在する。それぞれの特長は次のようなものだ。

■SPF(エスピーエフ:Sender Policy Framework)

IPアドレスを利用して、受信したメールの送信元が詐称されていないかどうかを確認する。具体的には、メール送信時に利用するサーバーのIPアドレスを、送信側のDNSに「SPFレコード」としてあらかじめ登録しておく。受信者は、メール受信時に送信側のSPFレコードと照合し、適合しなければなりすましメールと判断する仕組みだ。送信側の負担が少ないため、比較的普及が進んでいる。

■DKIM(ディーキム:DomainKeys Identified Mail)

電子署名を利用してメール送信元が詐称されていないかどうかを確認する。送信者は、メール送信時に電子署名を付与し、受信側がそれを受信した際に検証する。これにより、なりすましやメールの改ざんを検知する仕組みだ。電子署名の作成・付加が1通ずつ必要なため運用コストはやや高くなるが、メール本文の改ざんも検知でき、配送経路に影響されないメリットがある。

■DMARC(ディーマーク:Domain-based Message Authentication Reporting and Conformance)

SPFとDKIMをベースに開発された新技術。SPFとDKIMの認証結果を基に、なりすましメールを受信側がどう扱うべきかのポリシーを、あらかじめ送信側ドメインの管理者が宣言しておく。具体的には「none(何もしない)」「quarantine(隔離する)」「reject(受信拒否する)」の3つから選択しておくというものだ。

 「受信側は、このDMARCポリシーに従ってメールを処理します。例えばquarantineの場合、該当メールはメールサーバーが自動で隔離し、受信者の端末には送りません」(櫻庭氏)

 SPFやDKIMは、メールの正当性を判断できない場合の処理が受信側に任されているため、受信側のメールサーバーによっては、認証に失敗しても受信してしまうケースがある。その点DMARCでは、認証失敗時の処理を送信側が指定しておけるため、不審メールの処理精度を高めることが可能だ。

高精度な判定を実現する
「IIJセキュアMXサービス」

 この3つの技術にデフォルトで対応しているのが、「IIJセキュアMXサービス」である。

 企業のメールシステムに必要なセキュリティー機能をクラウド型で提供する。既存のネットワークに影響を与えることなく、簡単な設定のみでメールセキュリティーを統合的に強化できる。既に1400社以上の企業への導入実績があるという。「アンチウイルス、アンチスパムのフィルタを搭載しており、高い精度で迷惑メールを遮断できます。隔離システムも備えており、DMARCの隔離機能を簡単に利用できます」と櫻庭氏は紹介する。

 導入方法も柔軟だ。既存のメールボックスをそのまま使いたい場合はゲートウェイ型、メールボックスを含めて導入したい場合はフルアウトソース型を選択できる。Microsoft 365と組み合わせて使う外部クラウド連携も可能。既存のクラウドサービスでは不足しがちな情報漏洩対策、誤送信対策を追加するなど、脅威に対する多層防御を推進できるだろう(図1)。  「紹介した3つの送信ドメイン認証技術の中では、DMARCが最も新しく進化した技術です。欧米では、DMARCが義務化されているケースもあり、導入が急速に進んでいますが、日本ではまだまだ遅れているのが実情です。なりすましメール対策を強化するために、DMARCの導入をぜひ検討していただきたいと思います」と櫻庭氏は強調する(図2)。  なお、送信ドメイン認証技術の正しい導入・設定に関しては、迷惑メール対策推進協議会のWebサイトで入手できる「送信ドメイン認証技術導入マニュアル改訂(第3版)」が有効な手引きになるという。このような資料や、IIJの支援も活用しながら、メールセキュリティーの強化を図ることが重要だ。それがひいてはサプライチェーン、および日本全体のビジネス活動の安全性を高めることにつながっていくだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社インターネットイニシアティブ URL:https://www.iij.ad.jp/
TEL:03-5205-4466
E-mail:info@iij.ad.jp
平日09:30 ~ 17:30(年末年始を除く)