• ログイン
  • サインアップ
  • お問い合わせ
PowerDMARC
  • 特徴
    • PowerDMARC
    • ホスティングされたDKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • サービス
    • デプロイメントサービス
    • マネージドサービス
    • サポートサービス
    • サービス特典
  • 価格
  • パワーツールボックス
  • パートナー
    • リセラープログラム
    • MSSPプログラム
    • テクノロジーパートナー
    • 業界パートナー
    • パートナーを探す
    • パートナーになる
  • リソース
    • DMARCって何?- 詳細ガイド
    • データシート
    • 導入事例
    • あなたの国のDMARC
    • 産業別のDMARC
    • サポート
    • ブログ
    • DMARCトレーニング
  • について
    • 私たちの会社
    • クライアント
    • お問い合わせ
    • デモを予約する
    • イベント情報
  • メニュー メニュー

2021年、メールのなりすましを効果的に防ぐには?

ブログ
なりすましトレンド2021ブログ

電子メールのなりすましは、組織のセキュリティにとって大きな問題となっています。なりすましとは、ハッカーが信頼できる送信元/ドメインから送信されたように見せかけて電子メールを送信することです。電子メールスプーフィングは、新しい概念ではありません。実際の送信元以外の誰かやどこかから送信されたように見せかけるために、電子メールアドレスのヘッダーを偽造すること」と定義され、何十年もの間、ブランドを悩ませてきました。メールを送信する際、Fromアドレスには、実際にどのサーバーから送信されたかは表示されず、アドレス作成時に入力されたドメインが表示されるため、メール受信者に疑われることはありません。

2020年末の時点で、フィッシングの発生件数は、世界的な大流行の恐れがあった時期の年間平均と比較して、220%という驚異的な伸びを示していることがわかりました。すべてのなりすまし攻撃が大規模に行われているわけではないので、実際の数字はもっと高くなる可能性があります。2021年、問題は年を追うごとに悪化しているようです。だからこそ、ブランドは安全なプロトコルを利用して電子メールを認証し、脅威となる人物の悪意から逃れようとしているのです。

メールスプーフィング。どのようなもので、どのように機能するのか?

電子メールの偽装は、ユーザーが知っている、あるいは信頼できる人物や組織からのメッセージであると思わせるために、フィッシング攻撃で使用されます。サイバー犯罪者は、なりすまし攻撃を利用して、受信者にメッセージが実際にはない人物から来たものだと思わせます。これにより、攻撃者は自分を追跡することなく、あなたに危害を加えることができます。IRSからのEメールで、還付金を別の銀行口座に送ったと書かれていたら、それはなりすまし攻撃の可能性があります。フィッシング攻撃は、メールスプーフィングによっても行われることがあります。これは、ユーザー名、パスワード、クレジットカードの詳細情報(PIN番号)などの機密情報を、多くの場合、悪意のある目的のために不正に入手しようとするものです。この言葉は、信頼できるふりをして被害者を「釣る」ことに由来します。

SMTPでは、送信メッセージがクライアントアプリケーションによって送信者アドレスを割り当てられた場合、送信メールサーバーは、その送信者アドレスが正当なものか偽装されたものかを判断する方法がありません。したがって、電子メールアドレスを表現するために使用される電子メールシステムが、送信サーバが送信者アドレスが正当なものであるかどうかを確認する方法を提供していないため、電子メールのなりすましが可能なのです。このような理由から、業界の大手企業では、SPF、DKIM、DMARCなどのプロトコルを採用して、正当なメールアドレスを認証し、なりすまし攻撃を最小限に抑えています。

なりすましメール攻撃の仕組みについて

各メールクライアントは、特定のアプリケーション・プログラム・インターフェース(API)を使用して電子メールを送信します。一部のアプリケーションでは、電子メールアドレスを含むドロップダウンメニューから送信メッセージの送信者アドレスを設定することができます。しかし、この機能は、あらゆる言語で書かれたスクリプトを使って呼び出すこともできます。開いているメールメッセージの送信者アドレスには、送信元のユーザーのメールアプリケーションやサービスのアドレスが表示されています。攻撃者は、アプリケーションやサービスを再設定することで、任意の人の代わりに電子メールを送信することができます。

今では、本物のメールドメインから何千もの偽のメッセージを送信することが可能になったと言っておきましょう。さらに、このスクリプトを使うのにプログラミングの専門家である必要はありません。脅威行為者は、好みに応じてコードを編集し、別の送信者のメールドメインを使ってメッセージの送信を開始することができます。これこそが、メールスプーフィング攻撃が行われる仕組みなのです。

ランサムウェアのベクトルとしてのメールスプーフィング

電子メールのなりすましは、マルウェアやランサムウェアの拡散に道を開きます。ランサムウェアとは、機密データやシステムへのアクセスを永続的に遮断し、データを再び復号化する代わりに金額(身代金)を要求する悪質なソフトウェアのことです。ランサムウェアの攻撃により、企業や個人は毎年莫大な損失を被り、大規模なデータ漏洩にもつながっています。

また、DMARCとメール認証は、なりすましやなりすましの悪意からお客様のドメインを守ることで、ランサムウェアに対する最初の防御策として機能します。

中堅・中小・大企業が抱える脅威

ブランド・アイデンティティは、ビジネスの成功に不可欠です。お客様は、認知度の高いブランドに惹かれ、一貫性のあるブランドに信頼を寄せます。しかし、サイバー犯罪者は、この信頼を利用するためにあらゆる手段を講じ、フィッシングメール、マルウェア、電子メールのなりすまし行為などで、お客様の安全を脅かします。平均的な組織では、電子メール詐欺によって年間2,000万ドルから7,000万ドルの損失が発生しています。なりすましメールには、商標権などの知的財産権の侵害も含まれており、以下の2つの方法で企業の評判や信頼性に相当なダメージを与えていることに注意する必要があります。

なりすましメール

  • パートナーや大切なお客様がなりすましメールを開封してしまい、機密データが漏洩してしまう可能性があります。サイバー犯罪者は、あなたを装ったなりすましメールを使って、ランサムウェアをシステムに侵入させ、金銭的な損失をもたらします。そのため、次からは正規のメールであっても開くのを躊躇するようになり、あなたのブランドに対する信頼を失ってしまうかもしれません。
  • 受信側のメールサーバーは、サーバーのレピュテーションの低下により、正当なメールをスパムと判断して迷惑メールフォルダに振り分けてしまい、メールの配信率に大きな影響を与えてしまいます。

いずれにしても、顧客に接するブランドは、あらゆる問題の当事者となることは疑いの余地がありません。IT専門家の努力にもかかわらず、サイバー攻撃の72%は悪意のある電子メールから始まり、データ漏洩の70%は企業のドメインを偽装するソーシャルエンジニアリング戦術を含んでいます-DMARCのような電子メール認証の実践は重要な優先事項です。

DMARC: メールスプーフィングに対するワンストップソリューション

DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、電子メール認証プロトコルで、正しく実装されていれば、電子メールの偽装、BEC、なりすまし攻撃を劇的に減少させることができます。DMARCは、SPFとDKIMという2つの標準的な認証方法と連携して、送信メッセージを認証し、認証チェックに失敗したメールに対してどのように対応すべきかを受信サーバーに指定する方法を提供します。

DMARCとは何かについてはこちらをご覧ください。

なりすましの悪意から自分のドメインを守りたいのであれば、まずはDMARCを正しく実装することが大切です。しかしその前に、あなたのドメインにSPFとDKIMを設定する必要があります。PowerDMARCの無料SPFおよびDKIMレコードジェネレーターは、ワンクリックであなたのDNSに公開されるこれらのレコードを生成するのに役立ちます。これらのプロトコルを正常に設定した後、次のステップでDMARCを実装します。

  • PowerDMARCの無料DMARCレコードジェネレーターを使って、エラーのないDMARCレコードを生成する。
  • ドメインのDNSにレコードを公開する
  • 徐々にp=rejectのDMARCエンフォースメントポリシーに移行する。
  • DMARCアナライザーツールでメールエコシステムを監視し、詳細な認証集約およびフォレンジック(RUA/RUF)レポートを受け取ることができます。

DMARCエンフォースメントを実現するために克服すべき制限事項

エラーのないDMARCレコードを公開し、施行のポリシーに移行したにもかかわらず、メール配信で問題が発生していますか?この問題は、あなたが考えているよりもはるかに複雑である可能性があります。ご存知ないかもしれませんが、SPF認証プロトコルにはDNSルックアップが10回までという制限があります。しかし、クラウドベースのメールサービスプロバイダーや様々なサードパーティベンダーを利用している場合、この制限を簡単に超えることができます。そうするとすぐにSPFが壊れてしまい、正当なメールであっても認証に失敗してしまい、メールが迷惑フォルダに入ってしまったり、全く届かなくなってしまうのです。

DNSルックアップが多すぎるためにSPFレコードが無効になると、ドメインは再びメールスプーフィング攻撃やBECに対して脆弱になります。そのため、SPF10ルックアップの制限を守ることは、メール配信を確実にするために必須です。このため、SPFレコードを1つのincludeステートメントに縮小し、冗長なIPアドレスやネストしたIPアドレスを排除する、自動SPFフラットナーであるPowerSPFをお勧めしています。また、お客様のサービスプロバイダーがそれぞれのIPアドレスに加えた変更を定期的にチェックし、お客様のSPFレコードが常に最新の状態になるようにします。

PowerDMARCは、SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMIなどの様々なメール認証プロトコルを組み立て、お客様のドメインの評価と配信能力を高めます。今すぐ登録して、無料のDMARCアナライザを手に入れましょう。

なりすましメール

  • について
  • 最新記事
Ahona Rudra
PowerDMARCのデジタルマーケティング&コンテンツライターマネージャー
PowerDMARCでデジタルマーケティングとコンテンツライターマネージャーとして働いています。彼女は、サイバーセキュリティと情報技術における情熱的なライター、ブロガー、マーケティングの専門家です。
最新記事 by Ahona Rudra(全て見る)
  • DMARC NoneからDMARC Rejectへのスムーズな移行を計画する方法とは?- 2023年5月26日
  • ドメインの健康状態を確認する方法とは?- 2023年5月26日
  • なぜマイクロソフトはBIMIを取り入れるべきなのか?- 2023年5月25日
2021年3月30日/によって Ahona Rudra
タグDMARC,DMARCアナライザー,DMARCエンフォースメント,電子メール認証,電子メールセキュリティ,電子メールスプーフィング
このエントリーを共有する
  • Facebookでシェアする
  • Twitterでシェアする
  • WhatsAppでシェアする
  • LinkedInで共有する
  • メールでシェア
こちらもご覧ください
なりすましブログから守るメールスプーフィングからビジネスを守るために、最適なDMARCソフトウェアソリューションを選ぶには?
パワードマルクステップ3つのステップでメールスプーフィングを阻止。設定、実施、監視
無料dmarcルックアップメールのドメインが偽装されている可能性は?今すぐあなたのドメインをチェック
dmarc shadow it ブログDMARCがシャドーITのセキュリティリスクにどう対処するか
メール直帰率ブログDMARCでメールの直帰率を下げる
ブログメール配信メール認証でメールの配信力を向上させるには? 

電子メールのセキュリティ

なりすましメールの防止とメール配信能力の向上

15日間無料体験


カテゴリー

  • ブログ
  • ニュース
  • プレスリリース

最新のブログ

  • DMARC noneからDMARC rejectへのスムーズな移行を計画する方法
    DMARC NoneからDMARC Rejectへのスムーズな移行を計画する方法とは?2023年5月26日 - 午後5時00分
  • ドメインの健康状態を確認する方法
    ドメインの健康状態を確認する方法とは?2023年5月26日 17時00分
  • なぜマイクロソフトはBIMIをサポートし始めるべきなのか?
    なぜマイクロソフトはBIMIを取り入れるべきなのか?2023年5月25日 18:00
  • サイバーセキュリティ管理監査-それは何であり、なぜ重要なのか?
    サイバーセキュリティ・コントロール・オーディット:What is it & Why is it important?2023年5月25日 - 5:28 pm
ロゴ・フッター・パワーマーク
SOC2 GDPR GDPRに準拠したPowerDMARC クラウン・コマーシャル・サービス
グローバル・サイバー・アライアンス・サーティファイド・パワー・マーク csa

知識

メール認証とは何ですか?
DMARCとは何ですか?
DMARCポリシーとは何ですか?
SPFとは何ですか?
DKIMとは何ですか?
BIMIとは何ですか?
MTA-STSとは何ですか?
TLS-RPTとは何ですか?
RUAとは何ですか?
RUFとは何ですか?
スパム対策とDMARC
DMARCの調整
DMARCのコンプライアンス
DMARCの施行
BIMI実装ガイド
ペルメラー
MTA-STSおよびTLS-RPT実装ガイド

ツール

無料のDMARCレコードジェネレータ
フリーのDMARCレコードチェッカ
無料のSPFレコードジェネレータ
無料のSPFレコード・ルックアップ
無料のDKIMレコードジェネレーター
無料のDKIMレコード検索
無料のBIMIレコードジェネレーター
無料の BIMI レコード ルックアップ
Free FCrDNS Record Lookup(無料の FCrDNS レコード検索
無料の TLS-RPT レコード チェッカー
無料の MTA-STS レコード チェッカー(MTA-STS Record Checker
無料の TLS-RPT レコード ジェネレーター

製品

製品ツアー
特徴
パワーSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
API ドキュメント
マネージドサービス
なりすましメール対策
ブランド保護
フィッシング対策
DMARC for Office365
DMARC(Google Mail GSuite用
Zimbra用DMARC
無料DMARCトレーニング

お試しください

お問い合わせ
無料トライアル
デモを予約する
パートナーシップ
価格について
よくある質問
サポート
ブログ
イベント情報
機能リクエスト
変更履歴
システム状況

  • English
  • Français
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
© PowerDMARCは登録商標です。
  • ツイッター
  • Youtube
  • リンクトイン
  • フェイスブック
  • インスタグラム
  • お問い合わせ
  • ご利用条件
  • プライバシーポリシー
  • クッキーポリシー
  • セキュリティポリシー
  • コンプライアンス
  • GDPRに関するお知らせ
  • サイトマップ
ドメインにDKIMを簡単に設定するには?セットアップ・ディキムドマルクブログDMARCは必要か?DMARCをすぐに導入すべき5つの理由とは?
トップへスクロール