メールセキュリティの強化策

2024年5月24日 2024年5月20日

ビジネスメールにおいても迷惑メールやフィッシングメールが届いたことがある方は多いはず。またメールがサイバー攻撃のゲートとしてウイルス拡散へ悪用される事例や詐欺メールが届くのは日常茶飯事。メールを介したマルウェアやランサムウェア被害による企業ダメージは計り知れません。対策を講じても万全とは言えず、完全な排除はむずかしいのが現状。

怪しいメールを最終的に開く開かないの判断は結局のところユーザーまかせ。過去には細心の注意をしても感染は避けられなかった事例も多数発生しています。
メールがビジネスにおけるコミュニケーションツールとして活用されるなか、注目される対策が送信ドメイン認証「DMARC（ディーマーク）」と呼ばれる技術。これまでは受信者責任でメールの取り扱いを定めてきましたが、DMARC技術を用いればドメインの所有者側に取り扱いを指定できるのです。

各業界でも取引先にDMARC対応を求める動きは高まっており、経産省を始め、各省庁から昨年2月クレジットカード会社へDMARC対応を要請しています。またグーグル、ヤフー、マイクロソフトと言ったIT大手も一定量のメール送信者にDMARCの導入を義務化する動きが広がっています。

DMARC

DMARC（ディーマーク）は、「Domain-based Message Authentication Reporting and Conformance」の略。
日本語訳は「ドメインベースのメッセージ認証、レポートおよび適合性」、人間による判別が難しい「なりすましメール」を識別して信頼できるメールかどうかを判断、被害を未然に防ぐ仕組みの一つ。

グーグルではGmailで送信するメールを対象とした「メール送信者ガイドライン」に1日5000通以上のメールを送信する送信者のDMARCへの対応を義務づけ。未対応の場合、Gmailへのメール送信に支障が生じる恐れも。既に運用は始まり、メルマガなど大量のメール配信を行っている事業者はこの対応に苦慮しているとも言われます。日本ではDMARC対応がなかなか進んできませんでした。

昨年12月時点の各国調査では、日本企業のDMARC導入割合は60％の下位にとどまりますが、英米では16～17年にかけて政府機関がDMARC導入を義務化して民間にも推奨、導入率は7～9割前後にのぼると見られます。日本企業がこのままDMARC導入・運用を放置すればビジネスや事業に支障が生じる可能性も多分にありえます。

使用率の高さ

SNS/メッセージングアプリが普及しても、ビジネスにおけるコミュニケーションはいまだメールが使われることが多いのは信頼性の高さ。IT市場調査会社によれば、全世界のメールユーザー数は一昨年42億人を突破、世界人口の半数以上がメールを利用している計算。

サイバー攻撃のターゲットとして狙われやすいのはユーザー数が多いプラットフォーム、メールは攻撃対象の一番手です。過去ウイルスやワームの拡散に悪用され、迷惑メールや詐欺メールも数多いツール。ウイルス感染など攻撃にはマルウェア、ボットネット、RAT（Remote Access Trojan）、フィッシングなどの手法が用いられています。

被害の拡大

数年前からマルウェア「Emotet」への感染を目的としたフィッシングメールが多発、ID/パスワードと言った認証情報を盗み出すためです。フィッシングメールは受信者に正規のメールと信じこませ偽サイト（フィッシングサイト）に誘いだして認証情報を入力させる手法のこと。盗まれた認証情報はアンダーグラウンドマーケットで売買、攻撃者は盗まれた本人になりすまして悪用します。

盗まれた認証情報がECサイトなら商品の不正購入、オンラインバンキングなら不正送金に悪用されます。企業における稼働システムの認証情報では自社システムやクラウドサービスに不正侵入され、重要なデータを盗まれるおそれが高いのです。日本でもフィッシングメールが急増、対策協議会の公開レポートでは報告件数が過去最多を記録。政府や警察、セキュリティ企業が注意を喚起しても被害は一向に減っていません。

昨年のインターネットバンキングによる不正送金被害は5147件、被害額は80億円超、いずれも過去最多です。昨今のメール文面は本物に精巧に模倣され、見た目では判断できず、メール差出人のアドレス情報（Header-From）も信頼できません。送信者が自由に変更して偽装できるからです。

SPFとDKIM

送信者側が行う送信ドメイン認証には、DMARCのほかに「SPF」と「DKIM」技術が広く知られています。SPFは、IPアドレスを利用して受信したメールの送信元が詐称されていないかをチェックする仕組み。送信サーバーのIPアドレスをSPFレコードとして登録、受信時に送信元IPアドレスとSPFレコードを照合。SPFレコードには、ドメイン所有者がメールの送信を許可したすべてのIPアドレスがリスト化されています。メールの差出人（Fromアドレス）は詐称できても、IPアドレスは詐称できないため送信元を確認できます。

SPF普及率は88％と高いのですが、サーバー負荷を軽減するためSPFレコードの参照回数に制限があり、メールが何回も転送された場合には回数制限を超え認証に失敗するのが弱点。

DKIMは電子署名を用いてヘッダーや本文などメールの要素が改竄されていないか確認する仕組み。まず送信側がメールに電子署名の付与を行い、受信側が電子署名を検証して改竄やなりすましの有無をチェック。普及率は低く48％に留まり、そのためDKIM署名がないメールを不正と断定できないのが弱点です。

SPFとDKIMはいずれも送信元を確認、DKIMは途中経路での改竄を防ぐ仕組みですが、たとえ認証できても、差出人として表示されているメールアドレス（Header-From）が認証されているわけではないことに留意が必要です。その欠点をカバーできるのがDMARC。

SPFやDKIMを用いた認証が不首尾に終わったり、SPFやDKIMで認証したドメインと差出人のメールアドレス（Header-From）が一致しなかった場合、DMARCの受信ポリシーに従ったメール受信が可能。SPFまたはDKIMと組み合わせ、フィッシングメールやなりすましメール対策の精度を高めるにはDMARCは必須と言えます。

設定方法

DMARCの受信ポリシーは「None（何もしない）」「Quarantine（隔離）」「Reject（拒否）」の3種類、それぞれの設定でメールサーバーにおける動作が変わります。Noneは監視のみでそのまま受信者に配信され、Quarantineは認証失敗メールを迷惑メールフォルダ等に隔離、Rejectは認証失敗メールを配信せず削除されます。

Gmail、Yahooメール、iCloudメール、NTTドコモのキャリアメールなどは受信側のDMARC対応が完了しており、利用者は意識する必要はありません。
自社運用のメールサーバーはメールゲートウェイのDMARC設定をオンにするだけ。
DMARCを導入すると「DMARCレポート」が毎日届き、メールの認証結果を確認できます。最も厳しいRejectポリシーで運用すれば疑わしいメールを劇的に減らす効果があります。

たとえば、なりすましメールが急増したためDMARCのRejectポリシーを設定したところ、なりすましメールはほぼなくなったことが報告されています。メール受信者からのフィッシングに関する問い合わせが大幅に減り、問い合わせ窓口の業務負荷が大きく軽減されたのです。

ビジネスメール詐欺（BEC）には

近年、多額の被害をもたらしているのがビジネスメール詐欺（BEC：Business Email Compromise）、子会社や関連会社などの経営層を装い、会計担当者に高額の送金を指示するのがこのメール詐欺の手口。BECではメール送信者表示を偽装、よく似たドメインを使用します。巧妙な文面が用いておりDMARCだけでは十分ではありません。そこで DMARCに「BIMI（Brand Indicators for Message Identification）」の追加が求められています。

BIMI対応にはDMARCポリシーをQuarantineまたはRejectに設定、VMC（Verified Mark Certificates：認証マーク証明書）を設定します。VMCに商標登録済みのブランドロゴを設定することで、BIMI対応のメールソフトに送信者のロゴが表示されるため偽装防止効果が高いのです。

カテゴリー: セキュリティ対策

月	火	水	木	金	土	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31