重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む
PowerDMARC

2021年、メールのなりすましを効果的に防ぐには?

Ahona Rudra
なりすましトレンド2021ブログ

なりすましトレンド2021ブログ

読書時間 5

電子メールのなりすましは、組織のセキュリティにとって大きな問題となっています。なりすましとは、ハッカーが信頼できる送信元/ドメインから送信されたように見せかけて電子メールを送信することです。電子メールスプーフィングは、新しい概念ではありません。実際の送信元以外の誰かやどこかから送信されたように見せかけるために、電子メールアドレスのヘッダーを偽造すること」と定義され、何十年もの間、ブランドを悩ませてきました。メールを送信する際、Fromアドレスには、実際にどのサーバーから送信されたかは表示されず、アドレス作成時に入力されたドメインが表示されるため、メール受信者に疑われることはありません。

2020年末の時点で、フィッシングの発生件数は、世界的な大流行の恐れがあった時期の年間平均と比較して、220%という驚異的な伸びを示していることがわかりました。すべてのなりすまし攻撃が大規模に行われているわけではないので、実際の数字はもっと高くなる可能性があります。2021年、問題は年を追うごとに悪化しているようです。だからこそ、ブランドは安全なプロトコルを利用して電子メールを認証し、脅威となる人物の悪意から逃れようとしているのです。

メールスプーフィング。どのようなもので、どのように機能するのか?

電子メールの偽装は、ユーザーが知っている、あるいは信頼できる人物や組織からのメッセージであると思わせるために、フィッシング攻撃で使用されます。サイバー犯罪者は、なりすまし攻撃を利用して、受信者にメッセージが実際にはない人物から来たものだと思わせます。これにより、攻撃者は自分を追跡することなく、あなたに危害を加えることができます。IRSからのEメールで、還付金を別の銀行口座に送ったと書かれていたら、それはなりすまし攻撃の可能性があります。フィッシング攻撃は、メールスプーフィングによっても行われることがあります。これは、ユーザー名、パスワード、クレジットカードの詳細情報(PIN番号)などの機密情報を、多くの場合、悪意のある目的のために不正に入手しようとするものです。この言葉は、信頼できるふりをして被害者を「釣る」ことに由来します。

SMTPでは、送信メッセージがクライアントアプリケーションによって送信者アドレスを割り当てられた場合、送信メールサーバーは、その送信者アドレスが正当なものか偽装されたものかを判断する方法がありません。したがって、電子メールアドレスを表現するために使用される電子メールシステムが、送信サーバが送信者アドレスが正当なものであるかどうかを確認する方法を提供していないため、電子メールのなりすましが可能なのです。このような理由から、業界の大手企業では、SPF、DKIM、DMARCなどのプロトコルを採用して、正当なメールアドレスを認証し、なりすまし攻撃を最小限に抑えています。

なりすましメール攻撃の仕組みについて

各メールクライアントは、特定のアプリケーション・プログラム・インターフェース(API)を使用して電子メールを送信します。一部のアプリケーションでは、電子メールアドレスを含むドロップダウンメニューから送信メッセージの送信者アドレスを設定することができます。しかし、この機能は、あらゆる言語で書かれたスクリプトを使って呼び出すこともできます。開いているメールメッセージの送信者アドレスには、送信元のユーザーのメールアプリケーションやサービスのアドレスが表示されています。攻撃者は、アプリケーションやサービスを再設定することで、任意の人の代わりに電子メールを送信することができます。

今では、本物のメールドメインから何千もの偽のメッセージを送信することが可能になったと言っておきましょう。さらに、このスクリプトを使うのにプログラミングの専門家である必要はありません。脅威行為者は、好みに応じてコードを編集し、別の送信者のメールドメインを使ってメッセージの送信を開始することができます。これこそが、メールスプーフィング攻撃が行われる仕組みなのです。

ランサムウェアのベクトルとしてのメールスプーフィング

電子メールのなりすましは、マルウェアやランサムウェアの拡散に道を開きます。ランサムウェアとは、機密データやシステムへのアクセスを永続的に遮断し、データを再び復号化する代わりに金額(身代金)を要求する悪質なソフトウェアのことです。ランサムウェアの攻撃により、企業や個人は毎年莫大な損失を被り、大規模なデータ漏洩にもつながっています。

また、DMARCとメール認証は、なりすましやなりすましの悪意からお客様のドメインを守ることで、ランサムウェアに対する最初の防御策として機能します。

中堅・中小・大企業が抱える脅威

ブランド・アイデンティティはビジネスの成功に不可欠である。顧客は認知度の高いブランドに惹かれ、その一貫性を頼りにします。しかし、サイバー犯罪者はこの信頼を利用するためなら手段を選ばず、フィッシングメールやマルウェア、なりすましメールなどで顧客の安全を脅かします。平均的な組織では、メール詐欺によって年間2,000万ドルから7,000万ドルの損失が発生しています。また、なりすましメールには商標権などの知的財産権の侵害も含まれることがあり、以下の2つの方法で企業の評判や信用に多大な損害を与えることに注意が必要です:

いずれにしても、顧客に接するブランドは、あらゆる問題の当事者となることは疑いの余地がありません。IT専門家の努力にもかかわらず、サイバー攻撃の72%は悪意のある電子メールから始まり、データ漏洩の70%は企業のドメインを偽装するソーシャルエンジニアリング戦術を含んでいます-DMARCのような電子メール認証の実践は重要な優先事項です。

DMARC: メールスプーフィングに対するワンストップソリューション

DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、電子メール認証プロトコルで、正しく実装されていれば、電子メールの偽装、BEC、なりすまし攻撃を劇的に減少させることができます。DMARCは、SPFとDKIMという2つの標準的な認証方法と連携して、送信メッセージを認証し、認証チェックに失敗したメールに対してどのように対応すべきかを受信サーバーに指定する方法を提供します。

DMARCとは何かについてはこちらをご覧ください。

なりすましの悪意から自分のドメインを守りたいのであれば、まずはDMARCを正しく実装することが大切です。しかしその前に、あなたのドメインにSPFとDKIMを設定する必要があります。PowerDMARCの無料SPFおよびDKIMレコードジェネレーターは、ワンクリックであなたのDNSに公開されるこれらのレコードを生成するのに役立ちます。これらのプロトコルを正常に設定した後、次のステップでDMARCを実装します。

DMARCエンフォースメントを実現するために克服すべき制限事項

エラーのないDMARCレコードを公開し、施行のポリシーに移行したにもかかわらず、メール配信で問題が発生していますか?この問題は、あなたが考えているよりもはるかに複雑である可能性があります。ご存知ないかもしれませんが、SPF認証プロトコルにはDNSルックアップが10回までという制限があります。しかし、クラウドベースのメールサービスプロバイダーや様々なサードパーティベンダーを利用している場合、この制限を簡単に超えることができます。そうするとすぐにSPFが壊れてしまい、正当なメールであっても認証に失敗してしまい、メールが迷惑フォルダに入ってしまったり、全く届かなくなってしまうのです。

DNSルックアップが多すぎるためにSPFレコードが無効になると、ドメインは再びメールスプーフィング攻撃やBECに対して脆弱になります。そのため、SPF10ルックアップの制限を守ることは、メール配信を確実にするために必須です。このため、SPFレコードを1つのincludeステートメントに縮小し、冗長なIPアドレスやネストしたIPアドレスを排除する、自動SPFフラットナーであるPowerSPFをお勧めしています。また、お客様のサービスプロバイダーがそれぞれのIPアドレスに加えた変更を定期的にチェックし、お客様のSPFレコードが常に最新の状態になるようにします。

PowerDMARC は、SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMI などのさまざまなメール認証プロトコルを組み合わせて、あなたのドメインの評価と配信性を高めます。無料DMARCアナライザーを入手するには、今すぐサインアップしてください。

最新記事 by Ahona Rudra(全て見る)
モバイル版を終了する