ビジネス・メール・コンプロマイズ（BEC）とは、電子メールのセキュリティ侵害やなりすまし攻撃の一種であり、商業、政府、非営利団体、中小企業、新興企業、多国籍企業などに影響を与え、ブランドや組織に悪影響を及ぼす可能性のある機密データを抽出するものです。スピアフィッシング、請求書詐欺、スプーフィングなどがBECの一例です。

サイバー犯罪者は、組織内の特定の人物、特にCEOなどの権威ある立場の人物や、信頼のおける顧客などを意図的に狙う策略の専門家です。BECによる世界的な経済的影響は甚大であり、特に米国がその中心的存在となっています。世界のBEC詐欺の被害状況についてはこちらをご覧ください。解決策は？DMARCに切り替えましょう。

DMARCとは何ですか？

DMARC（Domain-based Message Authentication, Reporting and Conformance）とは、電子メール認証の業界標準である。この認証メカニズムは、SPFやDKIMの認証チェックに失敗したメールへの対応方法を受信サーバーに指定するものです。DMARCは、あなたのブランドがBEC攻撃の餌食になる可能性をかなりの割合で最小限に抑え、あなたのブランドの評判、機密情報、金融資産を保護するのに役立ちます。

DMARC認証は、ドメインを代表して送信されたメッセージを検証するために、これらの2つの標準的な認証プロトコルを使用するので、DMARCレコードを公開する前に、あなたのドメインにSPFとDKIMを実装する必要があることに注意してください。

無料のSPF Record GeneratorとDKIM Record Generatorを使って、お客様のドメインのDNSで公開するレコードを生成することができます。

BEC対策のためにDMARCレコードを最適化するには？

お客様のドメインをビジネスメールの侵害から保護するとともに、認証結果を監視するための広範なレポートメカニズムを有効にし、お客様のメールエコシステムを完全に可視化するために、お客様のドメインのDNSで以下のDMARCレコード構文を公開することをお勧めします。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

DMARCレコードの生成時に使用されるタグの理解。

V（必須	このメカニズムでは、プロトコルのバージョンを指定します。
p（必須	このメカニズムは、使用中のDMARCポリシーを指定します。DMARCポリシーを設定することができます。 p=none（認証チェックに失敗した電子メールが受信者の受信箱に届くような、監視のみのDMARC）。 p=quarantine（認証チェックに失敗した電子メールが隔離されるか、スパムフォルダに格納されるような、強制のDMARC）。 p=reject（DMARCを最大限に強化し、認証チェックに失敗したメールは破棄されるか、まったく配信されない）。しかし、このブログの目的である、BECからドメインを保護したい場合、最大限の保護を確保するためには、p=rejectが推奨されるポリシーです。
sp （オプション	このタグはサブドメインのポリシーを指定するもので、sp=none/quarantine/rejectに設定することで、メールがDMARC認証に失敗したすべてのサブドメインに対するポリシーを要求することができます。このタグは、メインドメインとサブドメインに異なるポリシーを設定したい場合にのみ有効です。指定しない場合は、デフォルトですべてのサブドメインに同じポリシーが適用されます。
adkim （オプション	このメカニズムは、DKIM識別子のアライメントモードを指定するもので、s（strict）またはr（relax）に設定できます。 Strict alignmentは、メールヘッダのDKIMシグネチャのd=フィールドが、fromヘッダのドメインと正確に一致しなければならないことを指定します。ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。
aspf （オプション	この機構は、SPF識別子のアライメントモードを指定するもので、s（strict）またはr（relax）に設定できます。ストリクト・アラインメントとは、「Return-path」ヘッダーのドメインが、「from」ヘッダーのドメインと完全に一致することを意味します。ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。
ルア（任意ですがお勧めします	このタグは、mailto:フィールドの後に指定されたアドレスに送信されるDMARC集約レポートを指定し、DMARCを通過したメールと失敗したメールについての洞察を提供します。
ruf（オプションだが推奨	このタグは、mailto: フィールドの後に指定されたアドレスに送信される DMARC フォレンジックレポートを指定します。フォレンジックレポートは、認証失敗に関するより詳細な情報を提供するメッセージレベルのレポートです。これらのレポートには電子メールのコンテンツが含まれている可能性があるため、暗号化することが最善の方法です。
pct（オプション	このタグは、DMARCポリシーが適用されるメールの割合を指定します。デフォルト値は100に設定されています。
fo（オプションだが推奨	DMARCレコードのフォレンジックオプションを設定することができます。 →DKIMとSPFが通らない、揃わない(0) →DKIMやSPFが通らない、または揃わない(1) →DKIMが通らない、揃わない(d) →SPFが通らない、揃わない（S 推奨モードはfo=1で、DKIMまたはSPFの認証チェックにメールが失敗した場合、フォレンジックレポートを生成してドメインに送信することを指定します。

PowerDMARCの無料DMARCレコードジェネレーターを使ってDMARCレコードを生成することができ、希望する施行レベルに応じてフィールドを選択することができます。

なお、BECを最小限に抑え、なりすましやフィッシング攻撃からドメインを守ることができるのは、拒否の実施ポリシーだけです。

DMARCは、BECからビジネスを守るための有効な基準となりますが、DMARCを正しく実装するには労力とリソースが必要です。電子メール認証のパイオニアであるPowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスをひとつにまとめた電子メール認証SaaSプラットフォームであり、認証の初心者でも、認証の愛好家でもあります。私たちはあなたを支援します。

モニタリングからエンフォースメントへ瞬時に移行し、BECを抑える
当社の集計レポートは、複雑なXMLファイルを読まなくても簡単に理解できるように、簡素化されたチャートやテーブルの形で生成されます。
フォレンジックレポートを暗号化し、お客様の情報を保護します。
認証結果を7つのフォーマット（結果ごと、送信元ごと、組織ごと、ホストごと、詳細な統計情報、ジオロケーションレポート、国ごと）で、ユーザーフレンドリーなダッシュボード上に表示し、最適なユーザーエクスペリエンスを提供します。
SPFとDKIMの両方に対してメールを調整することで、100%のDMARCコンプライアンスを実現し、いずれかの認証チェックポイントに失敗したメールが受信箱に届かないようにする

DMARCはどのようにしてBECから守るのか？

DMARCポリシーを最大施行（p=reject）に設定すると同時に、DMARCは、なりすまし攻撃やドメイン乱用の可能性を減らすことで、メール詐欺からブランドを守ります。すべての受信メッセージは、SPFとDKIMのメール認証チェックで検証され、有効な送信元からのメッセージであることが確認されます。

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。受信側のメールサーバーは、SPFレコードに照らし合わせてメールを検証し、認証を行います。DKIMは、秘密鍵を使って作成された暗号化された署名を割り当て、受信サーバーで電子メールを検証します。受信者は、送信者のDNSから公開鍵を取得してメッセージを認証します。

拒否のポリシーを設定すると、認証チェックに失敗し、ブランドが偽装されていることを示す場合、メールは受信者のメールボックスに一切配信されません。これにより、なりすましやフィッシングなどのBEC攻撃を防ぐことができます。