見出し画像
Photo by aoming

なりすましメール、企業が対策急ぐ

大企業30歳が語る政治と経済

なりすましメールを防ぐ標準技術「DMARC(ディーマーク)」を導入する企業が増えている。花王や資生堂などが取り入れたほか、米グーグルは2月から導入を後押しする仕組みを始める。恥ずかしながらDMARKという単語を初めて聞いたので、内容についても取り上げる。

要約文

企業がなりすましメール対策として「DMARC(ディーマーク)」という標準技術を導入する動きが広がっています。花王や資生堂をはじめとする多くの企業がこの技術を取り入れており、米グーグルも2024年2月からDMARCの導入を支援する新たな取り組みを開始します。DMARCは、企業が使用するドメインを通じて、顧客などに送信されたメールがなりすましでないかを自動で検証する技術です。これにより、パスワードやクレジットカード情報などを盗む試みを防ぐことができます。日本企業の対応は国際的に見て遅れているものの、クレジットカード業界の動きや政府機関の要請などを受け、導入が進んでいます。なお、DMARCの防衛レベルは監視のみから迷惑メールボックスへの隔離、そして最終的には配信拒否までの3段階に分かれています。また、DMARCを利用して正規のメールであることを示すブランドロゴを表示する「BIMI(ビミ)」の導入も検討されています。

DMARKとは?

DMARC(Domain-based Message Authentication, Reporting & Conformance)は、メールが正規の送信者から来たものであることを確認し、なりすましメールを防ぐための技術です。その仕組みは以下のように機能します:

1. **認証プロトコルの組み合わせ**:
  - DMARCは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つの既存の認証技術を利用します。
  - **SPF**は、メール送信に使用されたIPアドレスがそのドメインの送信者として承認されたものかを確認します。
  - **DKIM**は、メールが改ざんされずに送信されたことをデジタル署名を通じて検証します。

2. **DMARCポリシー**:
  - ドメイン所有者はDMARCポリシーをDNSレコードに設定し、どのようにメールが認証されるべきか(SPFとDKIMの使用)、そして認証に失敗したメールに対する取り扱い(拒否、隔離、または無視)を定義します。

3. **メールの検証**:
  - 受信メールサーバーは、メールがDMARCポリシーに準拠しているかどうかを検証します。これには、送信ドメインのDNSからDMARCポリシーを取得し、メールがSPFとDKIMの両方、またはいずれかの認証をパスしているかを確認するプロセスが含まれます。

4. **ポリシーに基づく処理**:
  - 認証に失敗したメールは、ドメイン所有者が設定したDMARCポリシーに従って処理されます。これには、メールを受信者の迷惑メールフォルダに移動させる、メールの配信を完全に拒否する、または通常通り配信する(監視目的で認証失敗を報告するが、配信は妨げない)などがあります。

5. **レポーティング**:
  - DMARCは、認証結果とポリシー違反についてのレポートをドメイン所有者に提供します。これにより、ドメイン所有者はなりすましの試みを監視し、必要に応じてセキュリティ対策を強化できます。

簡単に言えば、DMARCはメールの送信元を確認し、偽造されたメールをフィルタリングするためのルールを設定することで、なりすましを防ぎます。これにより、受信者はメールが信頼できる送信者から来たものであるという保証を得ることができます。

製品

DMARCを実装・管理するためには、専門のツールやサービスが必要になることがあります。これらの製品は、DMARCポリシーの設定、認証プロセスの監視、認証失敗に関するレポーティング機能などを提供します。いくつかの具体的な製品例を挙げます:

1. **Proofpoint**:
  - Proofpointはメールセキュリティとサイバーセキュリティの分野で広く知られています。DMARCの管理とレポーティング機能を提供し、なりすまし攻撃からブランドを保護するのに役立ちます。

2. **Valimail**:
  - ValimailはDMARCの自動化と認証の管理に特化したサービスを提供します。簡単な設定と強力な分析ツールを備えており、DMARCの導入と維持を容易にします。

3. **Agari**:
  - Agariはメールの脅威から企業を保護するためのソリューションを提供しています。Agari Brand Protectionというサービスを通じて、DMARCの実装と管理をサポートします。

4. **dmarcian**:
  - dmarcianはDMARC専門のツールを提供し、DMARCの実装から管理、レポーティングまでを支援します。使いやすいインターフェースと詳細な分析機能が特徴です。

5. **Mimecast**:
  - Mimecastはメールセキュリティに関する広範なソリューションを提供しており、DMARC分析とポリシーの実施をサポートする機能も備えています。

これらの製品やサービスは、企業がDMARCを効果的に導入し、運用するための強力なサポートを提供します。企業のニーズに応じて、最適なツールを選択することが重要です。

個人のメール受信

受信側がDMARCを活用するために特別なソフトウェアをインストールする必要は基本的にありません。DMARCのチェックはメールサーバー側で行われます。つまり、送信側の組織がDMARCを設定している場合、そのメールが受信者のメールサーバーに到達した時点で、受信サーバーがDMARCポリシーに基づいてメールの検証を自動的に行います。

### どのように機能するか:

1. **メール受信時**:受信サーバーは送信されたメールを受け取ります。

2. **検証プロセス**:受信サーバーはメールのヘッダー情報を読み取り、メールが送信されたドメインのDMARCポリシーをDNS上で検索します。

3. **ポリシーに基づくチェック**:メールがSPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)の認証をパスしているかどうかをチェックし、それに基づいてDMARCポリシーの要件を満たしているかを検証します。

4. **処理決定**:検証に基づいて、メールを受信トレイに配信するか、迷惑メールフォルダに移動するか、または完全に拒否するかを決定します。

### 個人ユーザーの役割:

- **メールクライアントの選択**:多くの一般的なメールクライアントやメールサービス(例:Gmail、Outlook、Yahoo! Mailなど)は既にDMARCおよび他のメール認証プロトコルをサポートしています。これらのサービスを使用している場合、ユーザーは追加のアクションを取る必要はありません。

- **セキュリティ意識**:受信したメールの出所を確認し、疑わしいメールには慎重に対応することが重要です。DMARCは多くのなりすましメールを防ぐことができますが、ユーザー自身のセキュリティ意識も重要な防御策の一つです。

結論として、受信側のユーザーがDMARCの恩恵を受けるために特別なソフトウェアをインストールする必要はありませんが、使用しているメールサービスがこれらのメール認証プロトコルをサポートしていることを確認すると良いでしょう。

DMARKの注意点

DMARC(Domain-based Message Authentication, Reporting, and Conformance)はメールのなりすましを防ぐためのプロトコルですが、どんなセキュリティ対策にも限界があり、攻撃者は常に新たな方法を模索しています。DMARCを回避するための技術や戦略を開発しているハッカーは存在します。

DMARCはメールが正当な送信元から来ているかを確認するために、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の認証を使用します。これらの認証手段はメールの送信元が正規であることを確認するのに有効ですが、以下のようなケースでは効果が限定的になることがあります:

1. **ドメインスプーフィング**:攻撃者は正規のドメインに非常に似たドメインを登録し(例:`example.com`の代わりに`examp1e.com`)、受信者が気づかないようにします。これはDMARCではなく人間の目を欺く試みです。

2. **設定の不備**:DMARCポリシーが正しく設定されていない、または弱いポリシー(例:p=none)が設定されている場合、攻撃者はこれを利用してなりすましメールを送信することができます。

3. **サブドメインの悪用**:企業がサブドメインのDMARCポリシーを適切に管理していない場合、攻撃者はそのサブドメインを利用してなりすましメールを送ることがあります。

4. **メールのフォワーディング**:DMARCはメールがフォワードされると問題になることがあります。フォワーディングにより、メールのSPF認証が失敗し、DMARCポリシーによる保護が弱まることがあります。

5. **高度なフィッシング攻撃**:攻撃者はメールに悪意のあるリンクや添付ファイルを含めることで、DMARCの認証を回避します。これはDMARCがメールの内容をチェックするわけではなく、送信元の認証にのみ焦点を当てているためです。

これらの理由から、DMARCは重要なセキュリティ対策でありながらも、全てのセキュリティリスクを排除するものではありません。企業はDMARCを含む複数のセキュリティ層を組み合わせること、従業員に対するセキュリティ教育を徹底すること、定期的なセキュリティ監査を行うことが重要です。

この記事が気に入ったらサポートをしてみませんか?