電子メールのなりすましは、組織のセキュリティにとって大きな問題となっています。なりすましとは、ハッカーが信頼できる送信元/ドメインから送信されたように見せかけて電子メールを送信することです。電子メールスプーフィングは、新しい概念ではありません。実際の送信元以外の誰かやどこかから送信されたように見せかけるために、電子メールアドレスのヘッダーを偽造すること」と定義され、何十年もの間、ブランドを悩ませてきました。メールを送信する際、Fromアドレスには、実際にどのサーバーから送信されたかは表示されず、アドレス作成時に入力されたドメインが表示されるため、メール受信者に疑われることはありません。
2020年末の時点で、フィッシングの発生件数は、世界的な大流行の恐れがあった時期の年間平均と比較して、220%という驚異的な伸びを示していることがわかりました。すべてのなりすまし攻撃が大規模に行われているわけではないので、実際の数字はもっと高くなる可能性があります。2021年、問題は年を追うごとに悪化しているようです。だからこそ、ブランドは安全なプロトコルを利用して電子メールを認証し、脅威となる人物の悪意から逃れようとしているのです。
メールスプーフィング。どのようなもので、どのように機能するのか?
電子メールの偽装は、ユーザーが知っている、あるいは信頼できる人物や組織からのメッセージであると思わせるために、フィッシング攻撃で使用されます。サイバー犯罪者は、なりすまし攻撃を利用して、受信者にメッセージが実際にはない人物から来たものだと思わせます。これにより、攻撃者は自分を追跡することなく、あなたに危害を加えることができます。IRSからのEメールで、還付金を別の銀行口座に送ったと書かれていたら、それはなりすまし攻撃の可能性があります。フィッシング攻撃は、メールスプーフィングによっても行われることがあります。これは、ユーザー名、パスワード、クレジットカードの詳細情報(PIN番号)などの機密情報を、多くの場合、悪意のある目的のために不正に入手しようとするものです。この言葉は、信頼できるふりをして被害者を「釣る」ことに由来します。
SMTPでは、送信メッセージがクライアントアプリケーションによって送信者アドレスを割り当てられた場合、送信メールサーバーは、その送信者アドレスが正当なものか偽装されたものかを判断する方法がありません。したがって、電子メールアドレスを表現するために使用される電子メールシステムが、送信サーバが送信者アドレスが正当なものであるかどうかを確認する方法を提供していないため、電子メールのなりすましが可能なのです。このような理由から、業界の大手企業では、SPF、DKIM、DMARCなどのプロトコルを採用して、正当なメールアドレスを認証し、なりすまし攻撃を最小限に抑えています。
なりすましメール攻撃の仕組みについて
各メールクライアントは、特定のアプリケーション・プログラム・インターフェース(API)を使用して電子メールを送信します。一部のアプリケーションでは、電子メールアドレスを含むドロップダウンメニューから送信メッセージの送信者アドレスを設定することができます。しかし、この機能は、あらゆる言語で書かれたスクリプトを使って呼び出すこともできます。開いているメールメッセージの送信者アドレスには、送信元のユーザーのメールアプリケーションやサービスのアドレスが表示されています。攻撃者は、アプリケーションやサービスを再設定することで、任意の人の代わりに電子メールを送信することができます。
今では、本物のメールドメインから何千もの偽のメッセージを送信することが可能になったと言っておきましょう。さらに、このスクリプトを使うのにプログラミングの専門家である必要はありません。脅威行為者は、好みに応じてコードを編集し、別の送信者のメールドメインを使ってメッセージの送信を開始することができます。これこそが、メールスプーフィング攻撃が行われる仕組みなのです。
ランサムウェアのベクトルとしてのメールスプーフィング
電子メールのなりすましは、マルウェアやランサムウェアの拡散に道を開きます。ランサムウェアとは、機密データやシステムへのアクセスを永続的に遮断し、データを再び復号化する代わりに金額(身代金)を要求する悪質なソフトウェアのことです。ランサムウェアの攻撃により、企業や個人は毎年莫大な損失を被り、大規模なデータ漏洩にもつながっています。
また、DMARCとメール認証は、なりすましやなりすましの悪意からお客様のドメインを守ることで、ランサムウェアに対する最初の防御策として機能します。
中堅・中小・大企業が抱える脅威
ブランド・アイデンティティは、ビジネスの成功に不可欠です。お客様は、認知度の高いブランドに惹かれ、一貫性のあるブランドに信頼を寄せます。しかし、サイバー犯罪者は、この信頼を利用するためにあらゆる手段を講じ、フィッシングメール、マルウェア、電子メールのなりすまし行為などで、お客様の安全を脅かします。平均的な組織では、電子メール詐欺によって年間2,000万ドルから7,000万ドルの損失が発生しています。なりすましメールには、商標権などの知的財産権の侵害も含まれており、以下の2つの方法で企業の評判や信頼性に相当なダメージを与えていることに注意する必要があります。
- パートナーや大切なお客様がなりすましメールを開封してしまい、機密データが漏洩してしまう可能性があります。サイバー犯罪者は、あなたを装ったなりすましメールを使って、ランサムウェアをシステムに侵入させ、金銭的な損失をもたらします。そのため、次からは正規のメールであっても開くのを躊躇するようになり、あなたのブランドに対する信頼を失ってしまうかもしれません。
- 受信側のメールサーバーは、サーバーのレピュテーションの低下により、正当なメールをスパムと判断して迷惑メールフォルダに振り分けてしまい、メールの配信率に大きな影響を与えてしまいます。
いずれにしても、顧客に接するブランドは、あらゆる問題の当事者となることは疑いの余地がありません。IT専門家の努力にもかかわらず、サイバー攻撃の72%は悪意のある電子メールから始まり、データ漏洩の70%は企業のドメインを偽装するソーシャルエンジニアリング戦術を含んでいます-DMARCのような電子メール認証の実践は重要な優先事項です。
DMARC: メールスプーフィングに対するワンストップソリューション
DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、電子メール認証プロトコルで、正しく実装されていれば、電子メールの偽装、BEC、なりすまし攻撃を劇的に減少させることができます。DMARCは、SPFとDKIMという2つの標準的な認証方法と連携して、送信メッセージを認証し、認証チェックに失敗したメールに対してどのように対応すべきかを受信サーバーに指定する方法を提供します。
DMARCとは何かについてはこちらをご覧ください。
なりすましの悪意から自分のドメインを守りたいのであれば、まずはDMARCを正しく実装することが大切です。しかしその前に、あなたのドメインにSPFとDKIMを設定する必要があります。PowerDMARCの無料SPFおよびDKIMレコードジェネレーターは、ワンクリックであなたのDNSに公開されるこれらのレコードを生成するのに役立ちます。これらのプロトコルを正常に設定した後、次のステップでDMARCを実装します。
- PowerDMARCの無料DMARCレコードジェネレーターを使って、エラーのないDMARCレコードを生成する。
- ドメインのDNSにレコードを公開する
- 徐々にp=rejectのDMARCエンフォースメントポリシーに移行する。
- DMARCアナライザーツールでメールエコシステムを監視し、詳細な認証集約およびフォレンジック(RUA/RUF)レポートを受け取ることができます。
DMARCエンフォースメントを実現するために克服すべき制限事項
エラーのないDMARCレコードを公開し、施行のポリシーに移行したにもかかわらず、メール配信で問題が発生していますか?この問題は、あなたが考えているよりもはるかに複雑である可能性があります。ご存知ないかもしれませんが、SPF認証プロトコルにはDNSルックアップが10回までという制限があります。しかし、クラウドベースのメールサービスプロバイダーや様々なサードパーティベンダーを利用している場合、この制限を簡単に超えることができます。そうするとすぐにSPFが壊れてしまい、正当なメールであっても認証に失敗してしまい、メールが迷惑フォルダに入ってしまったり、全く届かなくなってしまうのです。
DNSルックアップが多すぎるためにSPFレコードが無効になると、ドメインは再びメールスプーフィング攻撃やBECに対して脆弱になります。そのため、SPF10ルックアップの制限を守ることは、メール配信を確実にするために必須です。このため、SPFレコードを1つのincludeステートメントに縮小し、冗長なIPアドレスやネストしたIPアドレスを排除する、自動SPFフラットナーであるPowerSPFをお勧めしています。また、お客様のサービスプロバイダーがそれぞれのIPアドレスに加えた変更を定期的にチェックし、お客様のSPFレコードが常に最新の状態になるようにします。
PowerDMARCは、SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMIなどの様々なメール認証プロトコルを組み立て、お客様のドメインの評価と配信能力を高めます。今すぐ登録して、無料のDMARCアナライザを手に入れましょう。
