フィッシング攻撃を中心に脅威が拡大中。DMARCの義務化が進む
プルーフポイントの調査によると、メールを通じた脅威は近年さらに増加傾向にあり、特にIDやパスワードなどの認証情報を狙うフィッシング攻撃が大半を占めるという。実在する企業を装った偽のメールを送り、偽のログイン画面へ誘導してIDやパスワードの認証情報を盗む手口だ。
このような状況下で、メール送信者の認証を行う「DMARC」というシステムに注目が集まっていると増田幸美氏は語る。
DMARCとは、2012年にGoogle、Facebook、Microsoft、Return Path(現プルーフポイント)によって設立されたEメール認証プロトコルである。「Domain-based Message Authentication, Reporting, and Conformance」の略称で、ドメインに基づいたメールの認証、報告、および遵守の枠組みを指す。
DMARCの義務化や推奨はここ数年、欧米やサウジアラビア、そして日本で急速に進んでおり、我が国では2023年の政府統一基準策定でDMARC推奨が明文化された。特に、クレジットカード会社に対して2024年1月までの導入期限を設けるなど、今後は多くの業界・組織で必須の対応事項となっていく見通しだ。
Googleも、成りすましメール対策としてDMARCの義務化を推進している。実際、Gmailでは1日に5,000件以上メッセージを送信するドメインに対し、既存のメール認証システムであるSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)に加えてDMARCの設定を義務付けており、設定がないメールはスパムフォルダに分類するガイドラインを発表している。
このように、DMARCは国内外問わず、メールセキュリティを強化する上で重要な技術として認識されているのである。