なりすましメールの被害を防ぐ
新たな対策技術の活用を支援

　知り合いや同僚、取引先、あるいは実在する機関をかたって、マルウエアを送付したり、フィッシングサイトに誘導してメール受信者の機密情報を詐取したりする「なりすましメール」の被害が拡大しており、セキュリティ対策上の重要なテーマの1つとなっている。

　その有効な対策アプローチとして、広く採用されているのが送信ドメイン認証である。具体的には、送信元メールサーバーのIPアドレスによる認証（SPF：Sender Policy Framework）や電子署名の仕組みを利用した認証（DKIM：Domain Keys Identified Mail）により、本当にそのメールが正規の送信元から送られてきたものかどうかを確認して、なりすましメールであるか否かを判断するというもので、導入も比較的容易であることもあって、活用が進んでいる。

　SPFとDKIMによる送信ドメイン認証を補強する技術として、2012年1月に電子メール関連企業・組織によって設立されたDMARC.orgの活動の中から登場してきたのがDMARCである。「その特徴としてまず挙げられるのが、認証に失敗してなりすましメールの疑いがあるとされた場合に、そのメールに関する取り扱いを指定できるポリシー機能が提供されていることです」とTwoFiveの加瀬 正樹氏は紹介する。具体的には、「none（何もせずそのまま受信する）」「quarantine（隔離する）」「reject（受信拒否する）」という3つの挙動を指定することができようになっている（図1）。 　また、これもDMARCにおけるポイントだが、既に述べたSPF、DKIMという送信ドメイン認証の仕組みを用いて、いずれか一方での認証をパスすれば、DMARCではなりすましメールではないと判定される。

　さらに、DMARCではヘッダーFromを保護することができる。これについて加瀬氏は「そもそもなりすましメールの多くは、メールヘッダーのFromアドレス（ヘッダーFrom）を変更して送信元を詐称するわけですが、それに対応できない点がSPFとDKIMの弱点でもありました」と話す。DMARCではヘッダーFromの保護により、そうした問題を解消している。

　そしてもう1つ、DMARCにおいて特に重要な特徴となっているのが、レポート機能が提供されていることだ。「具体的には、ドメイン管理者が任意のメールアドレスを指定して、SPFやDKIM、そしてDMARCによる認証の結果をXML形式のレポートとして、そのメールアドレスにフィードバックされるという仕組みが用意されています」と加瀬氏は説明する。

　DMARCの導入に際して、まず受信側については、例えばMicrosoft 365のExchange Onlineなどのメールサービスのように、既に受信側の機能を実装しているケースも多く、その場合には管理者権限でその設定を有効化すればよい。「また、PostfixのようなOSSを利用して自社でメールサーバーを運用している場合には、milterのインタフェースを介して、DMARCの機能を組み込むこともできます」と加瀬氏は言う。さらに送信側でのDMARCの導入については、メールに利用している自社ドメインの、DNSのTXTレコードに「_dmarc」を先頭に付したサブドメインを追加し、既に述べたポリシー機能やレポート機能の利用に関する記述を追加するだけで対応を完了させることができる。

　一方で、DMARCに関連して現在注目を集めているのが「BIMI（Brand Indicators for Message Identification）」である。「BIMIは、DMARCを今後普及させていく上での動機付けを強化するために作られた技術規格で、DMARCによって『なりすましではない』と判定された正しいメールに対し、送信元の企業やサービス、ブランドのアイコンを付加して表示できるようにするというものです」と加瀬氏は紹介する。

　こうしたBIMIの仕組みを利用するためには、当然、DMARCの導入が必須であり、ポリシー機能で「quarantine（隔離する）」以上を設定する必要がある。メールに付加表示するアイコンの画像は、任意のWebサーバー上にSVGのデータとして用意するとともに、その画像が本当にその組織が所有するものであることを証明する認証マーク証明書VMC（Verified Mark Certificate）の取得が必要だ。

　BIMIの適用に際しては、自社ドメインのDNSのTXTレコードに「default._BIMI」をつけてサブドメインを追加し、アイコン画像とVMCを配備しているURLをそれぞれ指定する形となる。「なお、VMCの登録にはロゴが商標登録されていることが必要で、VMCの申請は認証局（CA）であるDigiCertまたはEntrustに対して行います。TwoFiveでもDigiCertを通じて、早ければ申請後1～2週間程度でVMCを発行できる体制を整えています」と加瀬氏は付け加える。

　以上のようにDMARCは、極めて有効ななりすましメール対策であり、BIMIによってそれを補完する仕組みが用意されているわけだが、TwoFiveでは特にDMARCのレポート機能を活用するためのクラウドサービス「DMARC/25 Analyze」を提供している。DMARCのレポートはXML形式で届けられるが、その効果的な活用には、レポート内容を分かりやすく可視化し、分析することのできるツールが必要だ。DMARC/25 Analyzeがまさにそれに当たる（図2）。 　「具体的には、自社のドメインをかたったメールの流通状況を把握して、取引先などに注意喚起を行ったり、自社が利用する送信元メールサーバーを一覧して、各サーバーのSPFやDKIMの対応状況を確認したり、さらに実際に送信元になっているサーバーが把握されていないといった、いわゆるシャドウITの発見にも役立てることができます」と加瀬氏は紹介する。

　ますます被害が拡大するなりすましメールによる攻撃。企業には、まずメールを受信する立場として、なりすましメールを確実に排除するという対策が求められている。その一方で、送信元として自社のブランドやメールドメインがかたられるケースへの対応も不可欠。そうした悪意あるメールの流通を捕捉して、受信者に注意喚起を行ったり、あるいはなりすましそのものを防ぐためのメール送信の在り方を検討したりするといったことも、企業にとっては重要な責務である。そうした観点で、DMARCやBIMIの導入とともに、DMARC/25 Analyzeが大きな役割を果たしてくれるに違いない。