DMARCレコード登録は、なりすまし防止対策の一歩
さらに、DMARCで知っておくべきことがある。DMARCレコードは公開情報のため、簡単に誰でも検索可能であるという点だ。
攻撃者の視点で考えてみよう。なりすましメールを送信する時、攻撃対象のドメインにDMARCレコードがあればレポート機能で検知されてしまうリスクが高くなる。そのため攻撃者はリスクを避け、DMARCを導入していないドメインを選ぶだろう。例えるなら、強盗が監視カメラのついている店や住居を避ける行動心理と同じである。だからこそ、DMARCレコードを登録しておくことは、なりすまし防止の抑止力になるのだ。
実際にDMARCを導入することで不審なメールが激減するケースもある。ある企業では平均して1日に10万通、多い日は100万通ほど届いていたものの、DMARC導入後に不審なメールがほぼぴたりと止んだそうだ。これは、従業員やスタッフの生産性低下を防ぐことにも繋がる。佐藤氏は「DMARCレコードは、日本プルーフポイントのWebサイト※からも簡単に追加すべきレコードを確認することができます」と案内した。
なおYahoo!メールやGmailなど、個人が使う無料のメールサービスではすでにDMARCが導入済みだ。特にGoogleでは、2020年7月からDMARC認証結果を可視化する取り組みを始めており、DMARC認証済みドメインから送付された正規のメールは企業ロゴなどが表示されるため、なりすましかどうか判断しやすい。
個人向けのメールサービスにおいてはDMARCが標準的になっているものの、企業においては導入が進んでいない。アメリカやカナダでは7割弱、ヨーロッパでは半数から6割程度がDMARC認証を導入。さらに、日本のNikkei225企業においては、23%と導入の遅れが目立つ。そのため、ビジネスメール詐欺の標的として、DMARCを導入していない企業が狙われるという状況になっている。
増田氏は「テレワークの弱点をついてメール詐欺は急増しています。あなたの組織になりすました攻撃は、あなたの顧客や取引先企業にもおよび、あなたの組織のブランドを傷つけることになります。メール詐欺に特効薬はありません。人を中心に作るアプローチと最新のテクノロジーを組み合わせてゲームチェンジしましょう」と呼びかけた。
