フィッシング攻撃を中心に脅威が拡大中。DMARCの義務化が進む
プルーフポイントの調査によると、メールを通じた脅威は近年さらに増加傾向にあり、特にIDやパスワードなどの認証情報を狙うフィッシング攻撃が大半を占めるという。実在する企業を装った偽のメールを送り、偽のログイン画面へ誘導してIDやパスワードの認証情報を盗む手口だ。
[画像クリックで拡大表示]
このような状況下で、メール送信者の認証を行う「DMARC」というシステムに注目が集まっていると増田幸美氏は語る。
DMARCとは、2012年にGoogle、Facebook、Microsoft、Return Path(現プルーフポイント)によって設立されたEメール認証プロトコルである。「Domain-based Message Authentication, Reporting, and Conformance」の略称で、ドメインに基づいたメールの認証、報告、および遵守の枠組みを指す。
DMARCの義務化や推奨はここ数年、欧米やサウジアラビア、そして日本で急速に進んでおり、我が国では2023年の政府統一基準策定でDMARC推奨が明文化された。特に、クレジットカード会社に対して2024年1月までの導入期限を設けるなど、今後は多くの業界・組織で必須の対応事項となっていく見通しだ。
Googleも、成りすましメール対策としてDMARCの義務化を推進している。実際、Gmailでは1日に5,000件以上メッセージを送信するドメインに対し、既存のメール認証システムであるSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)に加えてDMARCの設定を義務付けており、設定がないメールはスパムフォルダに分類するガイドラインを発表している。
このように、DMARCは国内外問わず、メールセキュリティを強化する上で重要な技術として認識されているのである。
成りすましメール“3つの手口” DMARCが必要な理由
増田氏は、成りすましメールの典型的な手法を紹介し、その対策としてなぜDMARCが有効なのか説明した。
増田幸美氏
まず、成りすましメールには主に3つの手口があるという。1つ目は「メールの送信者名の偽装」。最も簡単な手口で、メールの送信者名は「山田太郎」や「〇〇銀行」などと名乗りつつも、メールアドレスはまったく異なるものを使用しているケースだ。
2つ目に、巧妙な手口として「類似ドメイン」がある。たとえば「山田太郎」のメールアドレスのドメインを模倣し、「o」を「0」、「l」を「L」などに変えて成りすます手法だ。この手口は、注意深く見なければ見破ることが難しいため、類似ドメインを発見した際には、フィッシングサイトのテイクダウン(削除)を進める必要がある。
そして3つ目に、増田氏は最も巧妙な手口として「ドメインそのものの成りすまし」を挙げる。この手法では、メール画面上の表から見える送信者名とメールアドレス・ドメインが一致しており、一般のユーザーには見破ることが非常に難しい。実際、表から見える送信者のメールアドレスは誰でも書き換え可能なので、攻撃者はこの点を利用して成りすましメールを送信するのだという。
しかし、メールヘッダーに記載された実際の送信者のドメイン情報(エンベロープFromと呼ばれる)を調べれば、表面上の送信者とはドメインが異なることが判明する。この差異が成りすましの証拠であり、DMARCはこの情報を確認することで成りすましメールをブロックする仕組みになっている。
なぜSPFやDKIMだけでは足りないのか
DMARCは、表面上見えるドメインとメールヘッダーに記載されているドメインを比較し、成りすましを検証するシステムである。しかし運用の際には、SPFやDKIMといった他の認証方法と組み合わせて使用し、メールの成りすましを総合的に判断している。
[画像クリックで拡大表示]
SPFは、DNS(Domain Name Server)に自ドメインから送信されるIPアドレスを事前に登録し、受信側がそのIPリストと受信メールの送信元IPを照合して一致するかどうかを判断する方法だ。そしてDKIMは、DNSに公開鍵を登録し、送信メールに電子署名を付加することで、受信側がその電子署名をDNSに登録された公開鍵で照合し認証するというものだ。
SPFとDKIMはいずれもメール送信者の認証を行う方法だが、これらだけでは成りすましを完全には防げない場合がある。特に、表面上のドメインとメールヘッダー内のドメインが不一致という成りすましのケースでは、SPFとDKIMでは不十分だ。そこで、DMARCによるドメイン確認が有効となる。
DMARCが機能するためには送信側と受信側の双方で設定が必要となるが、受信側の設定は、一般消費者が使用する多くのプロバイダーで既に完了している。送信側の場合は、プルーフポイントが提供する「DMARC作成ツール」を用いることで、「最も簡単な設定なら、約15分で完了させることが可能」と増田氏は述べる。
DMARCが成りすましで「ない」と判断したメールには、送信企業が指定したロゴを表示させる「BIMI(Brand Indicators for Message Identification)」という施策が有効だ。ロゴの表示により、メールが成りすましでないことを受信者が瞬時に理解できるため、DMARCと併せて利用するのが良いという。
プルーフポイントで多くの企業が半年以内にDMARC完全運用を実現
DMARCは、成りすましと判断したメールに対する取り扱い方法を「None」「Quarantine」「Reject」の3つから選択できる。Noneは監視のみを意味し、成りすましを検知しても隔離や削除は行わない。Quarantineは成りすましメールを隔離し、Rejectは成りすましメールを拒否する措置を指す。いずれの選択においても、成りすまし検知に関するレポートはメールの送信元に届くようになっている。
いきなりRejectで成りすましメールを処理すると、本来は受け取るべきメールが届かない事態が発生する恐れがある。そのため通常はNoneから始めて、自社のメール送信状況を把握し、その後徐々にQuarantineやRejectへ移行するのが一般的だ。現代の企業は多様なウェブサービスを展開しており、多くのメールサーバーやサービスから自社ドメイン名を使用してメールを送信している。そのためDMARCの運用においては、レポートをもとに認証に失敗したサーバーを特定し、それが正規のサーバーだとわかればSPFやDKIMの設定を見直して、認証が通るよう設定する必要がある。
増田氏によれば、すべての設定が完了し、NoneからRejectまで完全に移行するまでには通常半年から1年程度かかるという。しかしプルーフポイントのサポートがあれば、多くの企業が半年以内にReject設定まで移行できると語った。同社は、DMARCの効率的な運用に寄与する数々の製品を提供している。増田氏は関連製品を紹介した。
たとえば「Proofpoint EFD」は、DMARC認証に関連する情報を可視化し、サブドメインごとにメール送信を行うセンダーの情報を確認できる機能を提供する。サブドメインの状況を把握し、各センダーに対してメール送信の許可を出すか否かを判断するフラグを設定できるという。
また、「Proofpoint SER」は、使用しているサービスがDKIMの設定機能を持たない場合に、同社が提供するクラウド型のEメールリレーサーバーを通じてDKIM認証を行うことを可能にする。
そして「Proofpoint VTD」は、類似ドメインをバーチャルに排除する、いわゆるテイクダウンを実現するサービスである。テイクダウンは通常、ICANNなどへの申立てを経て行われるが、これには数ヵ月を要するのが一般的だ。しかし同サービスを利用すれば、プルーフポイントのブロックリストへの追加と同時に、パートナー企業とブロックリストを共有し、1週間以内にほとんどの場所でのブロックを可能にするという。
実際、プルーフポイントはこれまで数多くの実績をあげてきた。Fortune 1,000社のうち少なくとも404社のDMARC導入を支援しており、圧倒的1位の支援実績を誇る。また、ガートナーによるEメールセキュリティ分野での5回連続の代表的ベンダー選出は、多くの人が知るところだろう。増田氏は他にも、国内金融機関からの「他社の進みが遅く、プルーフポイントに乗り換えた」「なかなかRejectに辿り着けなかったのでプルーフポイントに変更した」といったユーザーからのフィードバックを紹介した。
DMARC運用における多様な課題に対応するため、プルーフポイントはマネージドサービスを含む幅広いサービスを提供しており、SPFやDKIMのホステッド管理も可能にする。また、失敗のレポートを可視化することで、メール送信の妥当性を判断できると語る増田氏。同氏は最後に、「プルーフポイントは世界最大のメールインテリジェンスを活用して、適切な対応方法をガイドすることが可能だ」と強調し、セッションを締めくくった。
