データを失うリスクを負う最も簡単な方法の1つは、電子メールを使うことです。真面目な話、メールによるフィッシング詐欺でデータ漏洩やハッキングに遭う企業の数は驚くほど多いのです。では、なぜ私たちはまだメールを使っているのでしょうか?同じ役割を果たす、より安全な通信手段を使えばいいのではないでしょうか。
それは、電子メールが非常に便利で、誰もが利用しているからです。世の中のほとんどの組織が、コミュニケーションやマーケティングのためにメールを使用しています。電子メールはビジネスに欠かせないものなのです。しかし、電子メールの最大の欠点は、避けて通れないものです。人はメールを開くと、内容を読み、リンクをクリックし、さらには個人情報を入力します。そして、すべてのメールを注意深くチェックする時間も能力もないため、その中の1通がフィッシング攻撃である可能性もあるのです。
攻撃者は、よく知られた信頼できるブランドになりすまして、疑うことを知らない個人にメールを送信します。これをドメイン・スプーフィングと呼ぶ。受信者はそのメールを本物だと信じ、悪意のあるリンクをクリックしたり、ログイン情報を入力したりして、攻撃者の思うつぼにはまる。このようなフィッシングメールが人々の受信トレイに入り続ける限り、電子メールが完全に安全に使われることはないだろう。
DMARCはどのようにメールを安全にするのか?
DMARC(Domain-basedMessage Authentication, Reporting and Conformance)は、ドメイン偽装に対抗するために設計された電子メール認証プロトコルである。DMARCは、既存の2つのセキュリティプロトコル-SPFとDKIM-を使用して、ユーザーを詐欺メールの受信から保護します。ある組織がそのドメインを使ってメールを送信すると、受信側のメールサーバーはDNSにDMARCレコードがないかチェックします。その後、サーバーはSPFとDKIMに対してメールを検証します。メールが認証に成功すると、宛先の受信トレイに配信されます。
Power Toolboxでは、DMARC、SPF、DKIMなどのレコードを無料で検索、生成することができます。
許可された送信者のみがSPFとDKIMを通して検証されるため、誰かが自分のドメインを詐称しようとした場合、メールはDMARC認証に失敗することになります。その場合、ドメイン所有者が設定したDMARCポリシーが、受信サーバーにメールの処理方法を伝えます。
DMARCポリシーとは何ですか?
DMARCを実装する際、ドメインオーナーはDMARCポリシーを設定することができます。このポリシーは、受信側のメールサーバーに対して、DMARCに失敗した電子メールをどう処理するかを指示します。ポリシーは3つあります。
- p=none
- p=quarantine
- p = 拒否
DMARCポリシーが「なし」に設定されていると、DMARCを通過していないメールでも受信箱に届けられてしまいます。これは、DMARCの実装を全くしていないのと同じです。ポリシーを「なし」に設定するのは、DMARCを設定したばかりで、ドメイン内のアクティビティを監視したい場合のみにしてください。
DMARCポリシーをquarantineに設定すると、メールはスパムフォルダに送られ、rejectに設定すると、受信者の受信箱からメールが完全にブロックされます。完全に施行するためには、DMARCポリシーをp=quarantineまたはp=rejectのいずれかに設定する必要があります。DMARCを実施しないと、あなたのメールを受信したユーザーは、あなたのドメインになりすました不正な送信者からのメールを受け取ることになります。
しかし、これらのことは重要な疑問を提起しています。なぜ誰もがSPFやDKIMを使ってメールを検証しないのか?なぜわざわざDMARCを使うのか?その答えは...
DMARCレポート
SPFとDKIMの主な欠点は、メールがどのように処理されているかのフィードバックが得られないことです。あなたのドメインからのメールがSPFやDKIMに失敗しても、それを知る方法はなく、問題を解決する方法もありません。もし誰かがあなたのドメインになりすまそうとしても、あなたはそれを知ることさえできないでしょう。
これこそが、DMARCのレポート機能が画期的なものである理由だ。DMARCは、所有者が指定した電子メールアドレスに週1回の集計レポートを作成します。これらのレポートには、どのメールが認証に失敗したか、どのIPアドレスから送信されたかなどの詳細な情報が含まれており、その他にも実用的なデータが多数含まれています。これらの情報は、ドメイン所有者が、どのメールが認証に失敗したか、またその理由を確認するのに役立ち、さらには、なりすましの試みを特定することもできます。
これまでのところ、DMARCが不正なフィッシングメールから電子メールの受信者を保護するというメリットがあることは明らかだ。しかし、それを導入しているのは、ドメイン所有者です。組織がDMARCを導入すると、どのようなメリットがあるのでしょうか?
ブランドセーフティのためのDMARC
DMARCはこのような目的で作られたものではありませんが、企業がDMARCを導入することで得られる大きなメリットがあります。それは、ブランド保護です。攻撃者がブランドになりすまして悪質なメールを送信すると、そのブランドの人気や信用を利用して詐欺を行うことになります。IBID Groupが実施した調査では、83%のお客様が、過去に不正アクセスを受けた企業からの購入に不安を感じると回答しています。
トランザクションの無形の要素は、しばしばハードデータと同じくらい強力です。消費者は購入先の企業に大きな信頼を寄せています。もし、そのようなブランドがフィッシング詐欺の被害に遭えば、フィッシングされた顧客だけでなく、ニュースでそのことを知った多くの人々を失うことになります。ブランドの安全性は壊れやすく、企業と顧客のために守らなければなりません。
ブランドの安全性は、DMARCだけではありません。BIMIを使えば、ユーザーはメールの横にあなたのロゴを見ることができます。ぜひチェックしてみてください。
DMARCは、ブランドが、自社のドメインを介して電子メールを送信できる人のコントロールを取り戻すことを可能にします。認証されていない送信者からの悪用をシャットアウトすることで、企業は安全で正当な電子メールのみを公衆に送信することができます。これにより、メールプロバイダーからのドメインの評価が高まるだけでなく、ブランドと消費者の間に信頼と信用に基づいた関係を築くことができるようになります。
DMARC: すべての人に安全な電子メールを
DMARCの目的は、ブランドが自社のドメインを保護すること以上のものであった。すべての人がDMARCを採用すれば、電子メールのエコシステム全体がフィッシング攻撃から守られることになります。これはまさにワクチンのようなもので、標準を実施する人が多ければ多いほど、他の人が偽装メールの餌食になる可能性は低くなる。DMARCで保護されたドメインが増えるごとに、電子メール全体がより安全になります。
自分たちがメールを安全に使えるようにすることで、他の人々がより自由にメールを使えるようになります。これは守るべき基準だと考えています。
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日