• ログイン
  • サインアップ
  • お問い合わせ
PowerDMARC
  • 特徴
    • PowerDMARC
    • ホスティングされたDKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
    • 評判のモニタリング
  • サービス
    • デプロイメントサービス
    • マネージドサービス
    • サポートサービス
    • サービス特典
  • 価格
  • パワーツールボックス
  • パートナー
    • リセラープログラム
    • MSSPプログラム
    • テクノロジーパートナー
    • 業界パートナー
    • パートナーになる
  • リソース
    • DMARCとは何か?
    • データシート
    • 導入事例
    • ブログ
    • DMARCトレーニング
    • あなたの国のDMARC
    • 産業別のDMARC
    • サポート
  • について
    • 私たちの会社
    • クライアント
    • お問い合わせ
    • デモを予約する
    • イベント情報
  • メニュー メニュー

なりすましメールを防ぐための5つのステップ

ブログ
なりすましブログの停止

この記事では、電子メールのなりすましを防ぐ5つの方法を紹介する。ある日、出勤してデスクに座り、ニュースをチェックしようとパソコンを開いたとする。そして、あなたはそれを見た。あなたの組織の名前が見出しを飾っているのです。誰かがあなたのドメインからEメールスプーフィング攻撃を仕掛け、世界中の人々にフィッシングEメールを送りつけたのだ。そして、その多くが引っかかった。あなたの会社は巨大なフィッシング攻撃の顔役となり、今や誰もあなたのセキュリティやEメールを信用しなくなりました。

メールなりすましの例

2020年2月のCovid-19パンデミックの際、世界保健機関(WHO)の職員がまさにこの状況に陥った。攻撃者は WHOの実際のドメイン名を使い、コロナウイルス救済基金への寄付を求めるメールを送信していたのだ。しかし、この事件は孤立したものではない。数え切れないほどの組織が、非常に説得力のあるフィッシング・メールの被害に遭っている。これらのフィッシングメールは、同じ組織内からのメールであることさえあり、データベースや会社のファイルへのアクセスをさりげなく求めてくる。

データ損失事件の90%は、フィッシングの要素を含んでいると言われています。しかし、ドメイン・スプーフィングは、それほど複雑ではありません。では、なぜこれほどまでに被害が拡大するのでしょうか。

なりすましメールの仕組み

電子メールによるなりすまし攻撃は、理解するのが非常に簡単です。

  • 攻撃者は電子メールのヘッダーを偽造して組織の名前を入れ、偽のフィッシングメールを誰かに送信し、あなたのブランド名を使って信用させます。
  • 悪意のあるリンクをクリックしたり、組織から頼まれたと思って機密情報を渡してしまう。
  • 詐欺だとわかると、ブランドイメージが低下し、お客様からの信頼を失います

 

フィッシングメールの被害に遭う可能性もありますし、外部(内部)の人にも迷惑をかけてしまいます。さらに悪いことに、あなたのドメインから送信された悪意のあるメールは、顧客から見た あなたのブランドの評判を著しく低下させる可能性があります。

では、どうすればいいのでしょうか?ドメインの偽装から自分やブランドを守り、PRの失敗を回避するにはどうすればいいのでしょうか?

なりすましメールを防ぐには?

1.SPFレコードの変更

SPFの最大の間違いの1つは、それを簡潔に保っていないことです。SPFレコードには、メール1通あたりの処理コストを可能な限り低く抑えるために、10回のDNSルックアップの制限が設けられています。つまり、複数のIPアドレスをレコードに含めるだけで、制限を超えてしまう可能性があるということです。そうなると、SPFの実装が無効になり、メールがSPFに失敗して届かなくなる可能性があります。そんなことにならないように、自動SPFフラットニングでSPFレコードを短く、シンプルに保ちましょう。

2.承認されたIPのリストを最新の状態に保つこと

あなたの組織が、あなたのドメインからメールを送信するために承認された複数のサードパーティベンダーを使用している場合、これはあなたのためのものです。そのうちの1社とのサービスを中止した場合は、SPFレコードも更新する必要があります。そのベンダーのメールシステムが危険にさらされている場合、誰かがそれを使ってあなたのドメインから「承認された」フィッシングメールを送信できるかもしれません。SPFレコードにIPアドレスが登録されていることを確認してください。

3.DKIMの導入

DomainKeys Identified Mail(DKIM)とは、お客様のドメインから送信されるすべてのメールにデジタル署名を付与するプロトコルです。これにより、受信側のメールサーバーは、電子メールが本物かどうか、送信中に変更されていないかどうかを検証することができます。電子メールが改ざんされている場合、署名は検証されず、その電子メールはDKIMに失敗します。データの完全性を維持したい場合は、ドメインにDKIMを設定してください。

4.正しいDMARCポリシーの設定

DMARCを導入したものの、最も重要なこと、つまり実際にDMARCを施行することを忘れている組織があまりにも多い。DMARCポリシーは、「なし」「隔離」「拒否」の3つのいずれかに設定することができます。DMARCを設定する際、ポリシーを「なし」に設定すると、認証に失敗したメールでも配信されることになります。DMARCを導入することは良い第一歩ですが、それを実施しなければ、プロトコルの効果はありません。DMARCに合格しないメールは自動的にブロックされます。

ここで重要なのは、メールプロバイダがメールを受信する際にドメイン名のレピュテーションを判断することです。もし、あなたのドメインになりすまし攻撃の履歴があると、あなたの評価は下がります。その結果、配信能力も低下してしまいます。

5.BIMIへのブランドロゴのアップロード

Brand Indicators for Message Identification(BIMI)は、ブランドロゴを使用して電子メールを認証する電子メールセキュリティ規格です。BIMIは、あなたのロゴをすべてのメールの横にアイコンとして添付し、誰かの受信トレイで即座に認識できるようにします。もし攻撃者があなたのドメインからメールを送信したとしても、そのメールにはあなたのロゴは添付されません。そのため、たとえメールが配信されたとしても、顧客が偽のメールだと気づく可能性ははるかに高くなります。しかし、BIMIの利点は2つある。

誰かがあなたからのメールを受け取るたびに、あなたのロゴが目に入り、あなたが提供している製品やサービスをすぐに連想します。つまり、なりすましメールを阻止するだけでなく、実際にブランドの認知度を高めることができるのです。

今すぐ無料のDMARCアナライザーに登録しましょう。

なりすましメール

  • について
  • 最新記事
Ahona Rudra
PowerDMARCのデジタルマーケティング&コンテンツライターマネージャー
PowerDMARCでデジタルマーケティングとコンテンツライターマネージャーとして働いています。彼女は、サイバーセキュリティと情報技術における情熱的なライター、ブロガー、マーケティングの専門家です。
最新記事 by Ahona Rudra(全て見る)
  • グーグル、2024年のメール送信者ガイドラインにアークを含める- 2023年12月8日
  • ウェブ・セキュリティ101 - ベストプラクティスとソリューション- 2023年11月29日
  • 電子メールの暗号化とは何か、そのさまざまな種類は何ですか? - 2023年11月29日
2020年6月23日/によって Ahona Rudra
タグ ブランド・レピュテーション,サイバーセキュリティ,DMARC,powerdmarc,メールスプーフィングの阻止
このエントリーを共有する
  • Facebookでシェアする
  • Twitterでシェアする
  • Twitterでシェアする
  • WhatsAppでシェアする
  • LinkedInで共有する
  • メールでシェア
こちらもご覧ください
フォレンジックレポート ルフブログDMARC Failure Forensic Reports (RUF) は死んだのか?この角度からの見え方を見逃していませんか?
ガートナーブログDMARCは、Gartner社の「2020-2021年のセキュリティ・プロジェクト・トップ10」の1つです。
BECブログメール認証で中小企業をBECから守るには?
保険保険会社を狙ったOffice 365を利用したフィッシング詐欺の手口について
nzなりすましリスクブログDMARC遵守率が低いNZの組織
セオ詐欺ブログそのメールは上司からのものではない:CEOの不正行為を阻止する6つの方法

電子メールのセキュリティ

なりすましメールの防止とメール配信能力の向上

15日間無料体験


カテゴリー

  • ブログ
  • ニュース
  • プレスリリース

最新のブログ

  • グーグル、2024年Eメール送信者ガイドラインにARCを含める
    グーグル、2024年のメール送信者ガイドラインにアークを含める2023年12月8日 - 午前11時55分
  • ウェブ・セキュリティ101 - ベストプラクティスとソリューション
    ウェブ・セキュリティ101 - ベストプラクティスとソリューション11月 29, 2023 - 4:52 午後
  • What-is-Email-Encryption-and-What-are-its-Various-Types (電子メール暗号化とはおよびさまざまなタイプ)
    電子メールの暗号化とは何か、そのさまざまな種類は何ですか?11月29、2023 - 12:39の午後
  • MTA STSブログ
    MTA-STSとは?正しいMTA STSポリシーの設定11月 25, 2023 - 3:02 午後
ロゴ・フッター・パワーマーク
SOC2 GDPR GDPRに準拠したPowerDMARC クラウン・コマーシャル・サービス
グローバル・サイバー・アライアンス・サーティファイド・パワー・マーク csa

知識

メール認証とは何ですか?
DMARCとは何ですか?
DMARCポリシーとは何ですか?
SPFとは何ですか?
DKIMとは何ですか?
BIMIとは何ですか?
MTA-STSとは何ですか?
TLS-RPTとは何ですか?
RUAとは何ですか?
RUFとは何ですか?
スパム対策とDMARC
DMARCの調整
DMARCのコンプライアンス
DMARCの施行
BIMI実装ガイド
ペルメラー
MTA-STSおよびTLS-RPT実装ガイド

ツール

無料のDMARCレコードジェネレータ
フリーのDMARCレコードチェッカ
無料のSPFレコードジェネレータ
無料のSPFレコード・ルックアップ
無料のDKIMレコードジェネレーター
無料のDKIMレコード検索
無料のBIMIレコードジェネレーター
無料の BIMI レコード ルックアップ
Free FCrDNS Record Lookup(無料の FCrDNS レコード検索
無料の TLS-RPT レコード チェッカー
無料の MTA-STS レコード チェッカー(MTA-STS Record Checker
無料の TLS-RPT レコード ジェネレーター

製品

製品ツアー
特徴
パワーSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
パワーアラート
評判モニタリング
API ドキュメンテーション
マネージドサービス
なりすましメール対策
ブランド保護
フィッシング対策
Office365用DMARC
Google Mail GSuite用DMARC
Zimbra用DMARC
無料DMARCトレーニング

お試しください

お問い合わせ
無料トライアル
デモを予約する
パートナーシップ
価格について
よくある質問
サポート
ブログ
イベント情報
機能リクエスト
変更履歴
システム状況

  • English
  • Français
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
© PowerDMARCは登録商標です。
  • ツイッター
  • Youtube
  • リンクトイン
  • フェイスブック
  • インスタグラム
  • お問い合わせ
  • ご利用条件
  • プライバシーポリシー
  • クッキーポリシー
  • セキュリティポリシー
  • コンプライアンス
  • GDPRに関するお知らせ
  • サイトマップ
PowerDMARCがDisti360を付加価値のあるディストリビュータとして契約powerdmarc distiのブログ記事dmarc blogとはDMARCとは何ですか?
トップへスクロール