電子メールのなりすましは、組織のセキュリティにとって大きな問題となっています。なりすましとは、ハッカーが信頼できる送信元/ドメインから送信されたように見せかけて電子メールを送信することです。電子メールスプーフィングは、新しい概念ではありません。実際の送信元以外の誰かやどこかから送信されたように見せかけるために、電子メールアドレスのヘッダーを偽造すること」と定義され、何十年もの間、ブランドを悩ませてきました。メールを送信する際、Fromアドレスには、実際にどのサーバーから送信されたかは表示されず、アドレス作成時に入力されたドメインが表示されるため、メール受信者に疑われることはありません。
2020年末の時点で、フィッシングの発生件数は、世界的な大流行の恐れがあった時期の年間平均と比較して、220%という驚異的な伸びを示していることがわかりました。すべてのなりすまし攻撃が大規模に行われているわけではないので、実際の数字はもっと高くなる可能性があります。2021年、問題は年を追うごとに悪化しているようです。だからこそ、ブランドは安全なプロトコルを利用して電子メールを認証し、脅威となる人物の悪意から逃れようとしているのです。
メールスプーフィング。どのようなもので、どのように機能するのか?
電子メールのなりすましは、フィッシング攻撃で使用され、ユーザーを騙して、そのメッセージが知り合いや信頼できる人物や組織から送られてきたと思わせます。サイバー犯罪者は、なりすまし攻撃を使って、受信者を騙して、メッセージが誰かから来たと思い込ませます。こうすることで、攻撃者を追跡させることなく、あなたに危害を加えることができる。国税庁から「還付金を別の銀行口座に振り込んだ」というメールが届いたら、それはなりすまし攻撃の可能性があります。フィッシング攻撃は、電子メールのなりすましでも行われることがあります。これは、ユーザー名、パスワード、クレジットカードの詳細(PIN番号)などの機密情報を不正に入手しようとするもので、多くの場合、悪意のある目的のために行われます。この言葉は、信頼できるふりをして被害者を「釣る」ことから来ている。
SMTPでは、送信メッセージがクライアントアプリケーションによって送信者アドレスを割り当てられた場合、送信メールサーバーは、その送信者アドレスが正当なものか偽装されたものかを判断する方法がありません。したがって、電子メールアドレスを表現するために使用される電子メールシステムが、送信サーバが送信者アドレスが正当なものであるかどうかを確認する方法を提供していないため、電子メールのなりすましが可能なのです。このような理由から、業界の大手企業では、SPF、DKIM、DMARCなどのプロトコルを採用して、正当なメールアドレスを認証し、なりすまし攻撃を最小限に抑えています。
なりすましメール攻撃の仕組みについて
各メールクライアントは、特定のアプリケーション・プログラム・インターフェース(API)を使用して電子メールを送信します。一部のアプリケーションでは、電子メールアドレスを含むドロップダウンメニューから送信メッセージの送信者アドレスを設定することができます。しかし、この機能は、あらゆる言語で書かれたスクリプトを使って呼び出すこともできます。開いているメールメッセージの送信者アドレスには、送信元のユーザーのメールアプリケーションやサービスのアドレスが表示されています。攻撃者は、アプリケーションやサービスを再設定することで、任意の人の代わりに電子メールを送信することができます。
今では、本物のメールドメインから何千もの偽のメッセージを送信することが可能になったと言っておきましょう。さらに、このスクリプトを使うのにプログラミングの専門家である必要はありません。脅威行為者は、好みに応じてコードを編集し、別の送信者のメールドメインを使ってメッセージの送信を開始することができます。これこそが、メールスプーフィング攻撃が行われる仕組みなのです。
ランサムウェアのベクトルとしてのメールスプーフィング
電子メールのなりすましは、マルウェアやランサムウェアの拡散に道を開きます。ランサムウェアとは、機密データやシステムへのアクセスを永続的に遮断し、データを再び復号化する代わりに金額(身代金)を要求する悪質なソフトウェアのことです。ランサムウェアの攻撃により、企業や個人は毎年莫大な損失を被り、大規模なデータ漏洩にもつながっています。
また、DMARCとメール認証は、なりすましやなりすましの悪意からお客様のドメインを守ることで、ランサムウェアに対する最初の防御策として機能します。
中堅・中小・大企業が抱える脅威
ブランド・アイデンティティはビジネスの成功に不可欠である。顧客は認知度の高いブランドに惹かれ、その一貫性を頼りにします。しかし、サイバー犯罪者はこの信頼を利用するためなら手段を選ばず、フィッシングメールやマルウェア、なりすましメールなどで顧客の安全を脅かします。平均的な組織では、メール詐欺によって年間2,000万ドルから7,000万ドルの損失が発生しています。また、なりすましメールには商標権などの知的財産権の侵害も含まれることがあり、以下の2つの方法で企業の評判や信用に多大な損害を与えることに注意が必要です:
- パートナーや大切なお客様がなりすましメールを開封してしまい、機密データが漏洩してしまう可能性があります。サイバー犯罪者は、あなたを装ったなりすましメールを使って、ランサムウェアをシステムに侵入させ、金銭的な損失をもたらします。そのため、次からは正規のメールであっても開くのを躊躇するようになり、あなたのブランドに対する信頼を失ってしまうかもしれません。
- 受信側のメールサーバーは、サーバーのレピュテーションの低下により、正当なメールをスパムと判断して迷惑メールフォルダに振り分けてしまい、メールの配信率に大きな影響を与えてしまいます。
いずれにしても、顧客に接するブランドは、あらゆる問題の当事者となることは疑いの余地がありません。IT専門家の努力にもかかわらず、サイバー攻撃の72%は悪意のある電子メールから始まり、データ漏洩の70%は企業のドメインを偽装するソーシャルエンジニアリング戦術を含んでいます-DMARCのような電子メール認証の実践は重要な優先事項です。
DMARC: メールスプーフィングに対するワンストップソリューション
DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、電子メール認証プロトコルで、正しく実装されれば、電子メールのなりすまし、BEC、なりすまし攻撃を劇的に減らすことができます。DMARCは、SPFとDKIMという2つの標準的な認証方法と連携して送信メッセージを認証し、認証チェックに失敗した電子メールへの対応方法を受信サーバーに指定する方法を提供します。
DMARCとは何かについてはこちらをご覧ください。
なりすましの悪意から自分のドメインを守りたいのであれば、まずはDMARCを正しく実装することが大切です。しかしその前に、あなたのドメインにSPFとDKIMを設定する必要があります。PowerDMARCの無料SPFおよびDKIMレコードジェネレーターは、ワンクリックであなたのDNSに公開されるこれらのレコードを生成するのに役立ちます。これらのプロトコルを正常に設定した後、次のステップでDMARCを実装します。
- PowerDMARCの無料DMARCレコードジェネレーターを使用して、エラーのないDMARCレコードを生成する。
- ドメインのDNSにレコードを公開する
- 徐々にp=rejectのDMARC実施ポリシーに移行する。
- DMARCアナライザーツールでメールエコシステムを監視し、詳細な認証集約およびフォレンジック(RUA/RUF)レポートを受け取ることができます。
DMARCエンフォースメントを実現するために克服すべき制限事項
エラーのないDMARCレコードを公開し、施行のポリシーに移行したにもかかわらず、メール配信で問題が発生していますか?この問題は、あなたが考えているよりもはるかに複雑である可能性があります。ご存知ないかもしれませんが、SPF認証プロトコルにはDNSルックアップが10回までという制限があります。しかし、クラウドベースのメールサービスプロバイダーや様々なサードパーティベンダーを利用している場合、この制限を簡単に超えることができます。そうするとすぐにSPFが壊れてしまい、正当なメールであっても認証に失敗してしまい、メールが迷惑フォルダに入ってしまったり、全く届かなくなってしまうのです。
DNSルックアップが多すぎるためにSPFレコードが無効になると、ドメインは再びなりすましメール攻撃やBECの被害を受けやすくなります。そのため、SPFレコードのルックアップ回数を10回以下に抑えることは、メール配信を確実にするために必要不可欠です。SPFレコードを1つのinclude文に縮小し、冗長なIPアドレスやネストされたIPアドレスを排除します。また、サービスプロバイダーによるIPアドレスの変更を定期的にチェックし、SPFレコードを常に最新の状態に保ちます。
PowerDMARC は、SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMIなどのさまざまなメール認証プロトコルを組み合わせて、あなたのドメインの評価と配信性を高めます。無料DMARCアナライザーを入手するには、今すぐサインアップしてください。
- 自動ペンテストツールが電子メールとサイバーセキュリティにどのような革命をもたらすか- 2025年2月3日
- MSPケーススタディ:Hubelia、PowerDMARCでクライアント・ドメインのセキュリティ管理を簡素化- 2025年1月31日
- 2025年のMSP向けDMARCソリューション・トップ6- 2025年1月30日