メールのドメインなりすまし対策に有効なDMARC 仕組みと設定方法は?
ここからメールにフォーカスし、対策やソリューションを見ていこう。フィッシングやBECにつながるため、なりすましメールには特に警戒したい。なりすましメールには表示名詐欺、類似ドメインから送信、Reply-to(返信先)の悪用、ドメインのなりすましがある。
表示名詐欺はFromフィールドに表示される送信者名を詐称する。実際には攻撃者のアドレスから送信されている。類似ドメインは正規のドメインによく似たドメインから送信する。たとえば「example.com」を「examp1e.com」など、「l(エル)」を「1(いち)」にしたり、ゼロとオーなど似た文字で見間違いを狙う。
Reply-toの悪用は、返信先に攻撃者のアドレスを指定する。Reply-toは目立たないので、普通に返信したつもりなのに攻撃者に向けてメールが送られてしまう。ドメインのなりすましはFromにある送信元ドメインをなりすます。たとえばFromフィールドの表示名は「info@example.com」とありながらも、実際にはまったく別のドメインから送信されている。
ドメインのなりすましにはインターネット標準となるDMARC(Domain-based Message Authentication, Reporting and Conformance)が有効だ。DMARCの監視モードを設定すれば、なりすましされたドメイン所有者(たとえば「example.com」)に、いつ、誰が「example.com」ドメインになりすましたのか報告されるようになる。
また受信側組織がDMARCを設定しておけば、送信元ドメインの認証を確認するのでドメインがなりすましされているか確認できて、もしドメインがなりすましされていたら隔離やブロックを設定しておくこともできる。
DMARCはSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)からなる。SPFは送信元ドメインが正規の送信元かどうか、DNSで確認する。DKIMは電子署名を用いてメールが改ざんされていないかを確認する。SPFとDKIMを用いてドメインがなりすましされていないかを確認できる。
基本的にはドメイン所有者はDNSに設定すればいいだけだ。これでドメインがなりすましされているかどうかがわかるようになる。またこのDMARCはDNSに設定するため、誰でも閲覧できる公開情報だ。DMARCが設定されてあるドメインは玄関先に監視カメラが設置されているようなもの。攻撃者視点で考えたら、DMARCが設定してないドメインを攻撃対象に選ぶだろう。攻撃の成功率が高くなるからだ。逆に言えば、DMARCを設定しておけば攻撃対象から外されやすくなると期待できる。
DMARCは基本的にはDNSに設定するものなので、特定の製品やサービスを購入する必要がない。まだ設定していないなら、ぜひとも設定しておきたい。
