データを失うリスクを負う最も簡単な方法の1つは、電子メールを使うことです。真面目な話、メールによるフィッシング詐欺でデータ漏洩やハッキングに遭う企業の数は驚くほど多いのです。では、なぜ私たちはまだメールを使っているのでしょうか?同じ役割を果たす、より安全な通信手段を使えばいいのではないでしょうか。
それは、電子メールが非常に便利で、誰もが利用しているからです。世の中のほとんどの組織が、コミュニケーションやマーケティングのためにメールを使用しています。電子メールはビジネスに欠かせないものなのです。しかし、電子メールの最大の欠点は、避けて通れないものです。人はメールを開くと、内容を読み、リンクをクリックし、さらには個人情報を入力します。そして、すべてのメールを注意深くチェックする時間も能力もないため、その中の1通がフィッシング攻撃である可能性もあるのです。
攻撃者は、信頼できる有名ブランドになりすまして、無防備な個人にメールを送ります。これを「ドメイン・スプーフィング」と呼びます。受信者は、メールを本物と信じて悪意のあるリンクをクリックしたり、ログイン情報を入力したりして、攻撃者の思うつぼとなります。このようなフィッシングメールが人々の受信箱に入り続ける限り、電子メールを完全に安全に使用することはできません。
DMARCはどのようにメールを安全にするのか?
DMARC(Domain-based Message Authentication, Reporting and Conformance)は、ドメイン偽装を防止するために設計された電子メール認証プロトコルです。DMARCは、SPFとDKIMという2つの既存のセキュリティプロトコルを用いて、不正なメールの受信からユーザーを保護する。組織が自分のドメインを使って電子メールを送信すると、受信側の電子メールサーバーは、そのDNSにDMARCレコードがあるかどうかを確認します。そして、メールサーバーは、SPFとDKIMに対してメールを検証します。電子メールが正常に認証されると、送信先の受信箱に配信されます。
Power Toolboxでは、DMARC、SPF、DKIMなどのレコードを無料で検索、生成することができます。
認証された送信者のみがSPFとDKIMを通じて検証されます。つまり、誰かが自分のドメインを偽装しようとした場合、そのメールはDMARC認証に失敗します。その場合、ドメイン所有者が設定したDMARCポリシーが、受信サーバーにそのメールをどのように処理するかを伝えます。
DMARCポリシーとは何ですか?
DMARCを実装する際、ドメインオーナーはDMARCポリシーを設定することができます。このポリシーは、受信側のメールサーバーに対して、DMARCに失敗した電子メールをどう処理するかを指示します。ポリシーは3つあります。
- p=none
- p=quarantine
- p = 拒否
DMARCポリシーが「なし」に設定されていると、DMARCを通過していないメールでも受信箱に届けられてしまいます。これは、DMARCの実装を全くしていないのと同じです。ポリシーを「なし」に設定するのは、DMARCを設定したばかりで、ドメイン内のアクティビティを監視したい場合のみにしてください。
DMARCポリシーをquarantineに設定すると、メールはスパムフォルダに送られ、rejectに設定すると、受信者の受信箱からメールが完全にブロックされます。完全に施行するためには、DMARCポリシーをp=quarantineまたはp=rejectのいずれかに設定する必要があります。DMARCを実施しないと、あなたのメールを受信したユーザーは、あなたのドメインになりすました不正な送信者からのメールを受け取ることになります。
しかし、これらのことは重要な疑問を提起しています。なぜ誰もがSPFやDKIMを使ってメールを検証しないのか?なぜわざわざDMARCを使うのか?その答えは...
DMARCレポート
SPFとDKIMの主な欠点は、メールがどのように処理されているかのフィードバックが得られないことです。あなたのドメインからのメールがSPFやDKIMに失敗しても、それを知る方法はなく、問題を解決する方法もありません。もし誰かがあなたのドメインになりすまそうとしても、あなたはそれを知ることさえできないでしょう。
これこそが、DMARCのレポート機能が画期的なものである理由だ。DMARCは、所有者が指定した電子メールアドレスに週1回の集計レポートを作成します。これらのレポートには、どのメールが認証に失敗したか、どのIPアドレスから送信されたかなどの詳細な情報が含まれており、その他にも実用的なデータが多数含まれています。これらの情報は、ドメイン所有者が、どのメールが認証に失敗したか、またその理由を確認するのに役立ち、さらには、なりすましの試みを特定することもできます。
これまでのところ、DMARCが不正なフィッシングメールから電子メールの受信者を保護するというメリットがあることは明らかだ。しかし、それを導入しているのは、ドメイン所有者です。組織がDMARCを導入すると、どのようなメリットがあるのでしょうか?
ブランドセーフティのためのDMARC
DMARCはこのような目的で作られたものではありませんが、企業がDMARCを導入することで得られる大きなメリットがあります。それは、ブランド保護です。攻撃者がブランドになりすまして悪質なメールを送信すると、そのブランドの人気や信用を利用して詐欺を行うことになります。IBID Groupが実施した調査では、83%のお客様が、過去に不正アクセスを受けた企業からの購入に不安を感じると回答しています。
トランザクションの無形の要素は、しばしばハードデータと同じくらい強力です。消費者は購入先の企業に大きな信頼を寄せています。もし、そのようなブランドがフィッシング詐欺の被害に遭えば、フィッシングされた顧客だけでなく、ニュースでそのことを知った多くの人々を失うことになります。ブランドの安全性は壊れやすく、企業と顧客のために守らなければなりません。
ブランドの安全性は、DMARCだけではありません。BIMIを使えば、ユーザーはメールの横にあなたのロゴを見ることができます。ぜひチェックしてみてください。
DMARCは、ブランドが、自社のドメインを介して電子メールを送信できる人のコントロールを取り戻すことを可能にします。認証されていない送信者からの悪用をシャットアウトすることで、企業は安全で正当な電子メールのみを公衆に送信することができます。これにより、メールプロバイダーからのドメインの評価が高まるだけでなく、ブランドと消費者の間に信頼と信用に基づいた関係を築くことができるようになります。
DMARC: すべての人に安全な電子メールを
DMARCの目的は、ブランドが自社のドメインを保護すること以上のものであった。すべての人がDMARCを採用すれば、電子メールのエコシステム全体がフィッシング攻撃から守られることになります。これはまさにワクチンのようなもので、標準を実施する人が多ければ多いほど、他の人が偽装メールの餌食になる可能性は低くなる。DMARCで保護されたドメインが増えるごとに、電子メール全体がより安全になります。
自分たちがメールを安全に使えるようにすることで、他の人々がより自由にメールを使えるようになります。これは守るべき基準だと考えています。
