日本プルーフポイント(以下、プルーフポイント)は、4月に実施した日本の主要銀行におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析を行い、現状と課題、考察について発表した。
同調査では、日本の主要銀行18行におけるDMARC認証の設定状況について調査を行ったという。その結果、日本の主要銀行の72%がDMARC認証を導入しておらず、なりすまし対策ができていないことが明らかになったとしている。DMARCを導入している銀行は28%にとどまり、そのほとんどが「None」ポリシーを導入し(22%)、「Reject」ポリシーを導入しているのはわずか6%にすぎない1行だったという。
一方、Forbes Global 2000の金融サービス業における調査では、DMARC認証を導入しているのは47%、「Reject」ポリシーを導入しているのは全体の17%と、日本より高い結果となり、世界の銀行に比べて、日本の銀行はなりすましメール詐欺の対策が遅れていることがわかるとしている。
調査結果に対する考察
同社 サイバーセキュリティ エバンジェリストの増田幸美氏は、「サイバー攻撃者はこれまでシステムの脆弱性をついて攻撃を行っていました。しかし、OSのアップデートが頻繁になるにつれ、システムの脆弱性をつくことが難しくなりました。その結果、昨今の攻撃は『人』の脆弱性をついて侵入しようとする手法に変わっており、『人』の脆弱性をついたフィッシングメールなどで窃取した認証情報を用いて不正アクセスする事案が非常に増えています。2020年夏以降、日本を狙ったこれまでにない量のフィッシングメールの攻撃キャンペーンが猛威を振るっています。フィッシングメールは、信用する企業や組織のブランドになりすまして行われるメール詐欺です。DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる唯一の認証技術です。自分の組織を守るだけでなく、自分の組織が関わるサプライチェーン全体を、自分になりすました詐欺から守るためにも、DMARCを導入してほしいと思います」と述べている。
【関連記事】
・Amazonの認証情報を狙った攻撃は1日約100万通 プルーフポイントが追跡結果を公表
・日本プルーフポイント、Webブラウズやメール閲覧を分離環境で実行できるソリューションを発表
・攻撃者が人的要因を狙っている実態について解説――プルーフポイントが最新レポート「Human Factor 2018」を公開
