プルーフポイントのエバンジェリストが語る、スパムメール戦争を生き残るための「DMARC」完全運用までの道
導入義務化が進む「DMARC」、半年以内で運用可能にするプルーフポイント式の支援とは?
成りすましメールやフィッシング攻撃の被害が世界的に増加している。欧米では「DMARC」認証の義務化や推奨が進んでおり、2024年4月からは、Gmailがメール送信者に対してDMARC認証の導入を義務付けた。これらの動きは、メールを安全に利用する上でDMARCが必須の要件であることを示していると言っても過言ではない。日本プルーフポイント(Proofpoint Japan)でチーフ エバンジェリストを務める増田幸美氏は「Security Online Day 2024 春の陣」に登壇し、DMARCについての基本から導入・運用に至るまでのポイントを解説した。
フィッシング攻撃を中心に脅威が拡大中。DMARCの義務化が進む
プルーフポイントの調査によると、メールを通じた脅威は近年さらに増加傾向にあり、特にIDやパスワードなどの認証情報を狙うフィッシング攻撃が大半を占めるという。実在する企業を装った偽のメールを送り、偽のログイン画面へ誘導してIDやパスワードの認証情報を盗む手口だ。
[画像クリックで拡大表示]
このような状況下で、メール送信者の認証を行う「DMARC」というシステムに注目が集まっていると増田幸美氏は語る。
DMARCとは、2012年にGoogle、Facebook、Microsoft、Return Path(現プルーフポイント)によって設立されたEメール認証プロトコルである。「Domain-based Message Authentication, Reporting, and Conformance」の略称で、ドメインに基づいたメールの認証、報告、および遵守の枠組みを指す。
DMARCの義務化や推奨はここ数年、欧米やサウジアラビア、そして日本で急速に進んでおり、我が国では2023年の政府統一基準策定でDMARC推奨が明文化された。特に、クレジットカード会社に対して2024年1月までの導入期限を設けるなど、今後は多くの業界・組織で必須の対応事項となっていく見通しだ。
Googleも、成りすましメール対策としてDMARCの義務化を推進している。実際、Gmailでは1日に5,000件以上メッセージを送信するドメインに対し、既存のメール認証システムであるSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)に加えてDMARCの設定を義務付けており、設定がないメールはスパムフォルダに分類するガイドラインを発表している。
このように、DMARCは国内外問わず、メールセキュリティを強化する上で重要な技術として認識されているのである。
この記事は参考になりましたか?
- 関連リンク
- Security Online Day 2024 春の陣レポート連載記事一覧
- この記事の著者
-
森 英信(モリ ヒデノブ)
就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:日本プルーフポイント株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
