成りすましメール“3つの手口” DMARCが必要な理由
増田氏は、成りすましメールの典型的な手法を紹介し、その対策としてなぜDMARCが有効なのか説明した。
増田幸美氏
まず、成りすましメールには主に3つの手口があるという。1つ目は「メールの送信者名の偽装」。最も簡単な手口で、メールの送信者名は「山田太郎」や「〇〇銀行」などと名乗りつつも、メールアドレスはまったく異なるものを使用しているケースだ。
2つ目に、巧妙な手口として「類似ドメイン」がある。たとえば「山田太郎」のメールアドレスのドメインを模倣し、「o」を「0」、「l」を「L」などに変えて成りすます手法だ。この手口は、注意深く見なければ見破ることが難しいため、類似ドメインを発見した際には、フィッシングサイトのテイクダウン(削除)を進める必要がある。
そして3つ目に、増田氏は最も巧妙な手口として「ドメインそのものの成りすまし」を挙げる。この手法では、メール画面上の表から見える送信者名とメールアドレス・ドメインが一致しており、一般のユーザーには見破ることが非常に難しい。実際、表から見える送信者のメールアドレスは誰でも書き換え可能なので、攻撃者はこの点を利用して成りすましメールを送信するのだという。
しかし、メールヘッダーに記載された実際の送信者のドメイン情報(エンベロープFromと呼ばれる)を調べれば、表面上の送信者とはドメインが異なることが判明する。この差異が成りすましの証拠であり、DMARCはこの情報を確認することで成りすましメールをブロックする仕組みになっている。
なぜSPFやDKIMだけでは足りないのか
DMARCは、表面上見えるドメインとメールヘッダーに記載されているドメインを比較し、成りすましを検証するシステムである。しかし運用の際には、SPFやDKIMといった他の認証方法と組み合わせて使用し、メールの成りすましを総合的に判断している。
[画像クリックで拡大表示]
SPFは、DNS(Domain Name Server)に自ドメインから送信されるIPアドレスを事前に登録し、受信側がそのIPリストと受信メールの送信元IPを照合して一致するかどうかを判断する方法だ。そしてDKIMは、DNSに公開鍵を登録し、送信メールに電子署名を付加することで、受信側がその電子署名をDNSに登録された公開鍵で照合し認証するというものだ。
SPFとDKIMはいずれもメール送信者の認証を行う方法だが、これらだけでは成りすましを完全には防げない場合がある。特に、表面上のドメインとメールヘッダー内のドメインが不一致という成りすましのケースでは、SPFとDKIMでは不十分だ。そこで、DMARCによるドメイン確認が有効となる。
DMARCが機能するためには送信側と受信側の双方で設定が必要となるが、受信側の設定は、一般消費者が使用する多くのプロバイダーで既に完了している。送信側の場合は、プルーフポイントが提供する「DMARC作成ツール」を用いることで、「最も簡単な設定なら、約15分で完了させることが可能」と増田氏は述べる。
DMARCが成りすましで「ない」と判断したメールには、送信企業が指定したロゴを表示させる「BIMI(Brand Indicators for Message Identification)」という施策が有効だ。ロゴの表示により、メールが成りすましでないことを受信者が瞬時に理解できるため、DMARCと併せて利用するのが良いという。
