ビジネス詐欺メールとは、具体的には企業の権限者などになりすましたメールを送りつける攻撃(BEC攻撃)のことで、お金を指定の口座に振り込ませるなどの指示を与え、だまし取る。
従来の添付ファイルやメール本文に記載したURLを開かせるタイプの攻撃とは異なり、文章だけのプレーンなメールである点も特徴だ。送信者のメールアドレスは、なりすましのターゲットにされた人のものに酷似していたり、場合によってはそのものであったりする。狙った企業の内部事情などを調査した上で作成されることすらあるという文面は、内容にも筋が通っていて被害を拡大させている。
BEC攻撃への対策方法として注目されているのが、なりすましを検証するインターネット標準技術「DMARC」である。DMARC(Domain-based Message Authentication, Reporting & Conformance)は、自社ドメインの管理者が詐欺メールの扱い方針を受信側組織に宣言する仕組みで、なりすましの状況が受信側組織から自社ドメイン管理者へ通知される。
DMARCの仕組みの中では、IPアドレスに基づく「SPF(Sender Policy Framework)」と電子署名に基づく「DKIM(DomainKeys Identified Mail)」の2つの送信ドメイン認証技術が利用されている。ただし、SPF、DKIM、DMARCそれぞれには、次表に挙げる効果と課題があるという。
| メール認証技術 | 効果 | 課題 |
|---|---|---|
| SPF | 不正送信元IPアドレスからの送信検知 | メルマガ配送業者等からの代行送信、転送等は不正と判定。ヘッダFromの詐称は検出不可 |
| DKIM | メールの改ざん検知 | DKIMヘッダなし=改ざん検証非対象。設定が難。電子署名に基づく。ヘッダFromの詐称は検出不可 |
| DMARC | なりすまし検知 | DMARCレポートの可視性が不足。SPF/DKIM/DMARCレコードを最適に保った状態を維持する必要あり |
今回発表されたProofpoint EFDは、上表の課題を克服しつつ、DMARCが規定するレポート(以下 DMARCレポート)を自動的に解析し、Webベースの専用ポータル上で可視化する。さらに、最適な対処方法を提案するなど、DMARCレポートの解析結果に独自インテリジェンスを組み合わせたソリューションを提供する。
具体的には、次の機能を提供する。特に、「Managed Supportによるアドバイス」が他社製品にない、Proofpoint EFD独自の機能だという。
- DMARCレポートの自動解析・集計
-
各種認証・判定結果の可視化
- SPF認証結果
- DKIM認証結果
- DMARC判定結果(“アライメント”結果を含む) など
-
Managed Supportによるアドバイス
- DMARCによる“Reject”の実現
- SPF/DKIM/DMARCレコードの最適化
これらにより、担当者は専用ポータルサイト上ではリアルタイムレポートや定期レポートなどの各種レポート、ならびに各種アラートメールを確認して、DMARC判定結果から自社ドメイン詐称の実態を把握し、DMARCレコードの最適なパラメータやパラメータを更新すべきタイミングを判断できる。
Proofpoint EFDは単体で利用できるほか、同社のメールセキュリティサービス「Proofpoint Email Protection」と組み合わせて利用すると、インバウンドの各種認証・判定結果表示も可能。クラウド型サンドボックス「Proofpoint Targeted Attack Protection」を組み合わせて高度な標的型攻撃にも対抗できるEメールセキュリティソリューションを提供するとしている。
なお、米国では政府による義務化と並行してDMARC対応が進んでおり、大手企業では約50%がすでに対応済みだという。また、Proofpoint EDFはワールドワイドではすでに発売されており、Proofpoint Email Protectionユーザー企業のうち、10%が導入している。
