BEC(Business Email Compromise)とは、電子メールのセキュリティ侵害やなりすまし攻撃の一種で、商業、政府機関、非営利団体、中小企業、新興企業、多国籍企業、企業などに影響を与え、ブランドや組織に悪影響を与える機密データを抜き取るものです。スピアフィッシング攻撃、請求書詐欺、なりすまし攻撃はすべてBECの一例です。
サイバー犯罪者は、組織内の特定の人物、特にCEOなどの権威ある立場の人物や、信頼のおける顧客などを意図的に狙う策略の専門家です。BECによる世界的な経済的影響は甚大であり、特に米国がその中心的存在となっています。世界のBEC詐欺の被害状況についてはこちらをご覧ください。解決策は?DMARCに切り替えましょう。
DMARCとは何ですか?
DMARC(Domain-based Message Authentication, Reporting and Conformance)は、電子メール認証の業界標準である。この認証メカニズムは、SPFおよびDKIM認証チェックに失敗した電子メールへの対応方法を受信サーバーに指定します。DMARCは、あなたのブランドがBEC攻撃の餌食になる可能性をかなりの割合で最小化し、ブランドの評判、機密情報、金融資産を保護するのに役立ちます。
DMARC認証は、ドメインの代わりに送信されたメッセージを検証するためにこれら2つの標準認証プロトコルを使用するため、DMARCレコードを公開する前に、ドメインにSPFとDKIMを実装する必要があることに注意してください。
無料のSPF Record GeneratorとDKIM Record Generatorを使って、お客様のドメインのDNSで公開するレコードを生成することができます。
BEC対策のためにDMARCレコードを最適化するには?
お客様のドメインをビジネスメールの侵害から保護するとともに、認証結果を監視するための広範なレポートメカニズムを有効にし、お客様のメールエコシステムを完全に可視化するために、お客様のドメインのDNSで以下のDMARCレコード構文を公開することをお勧めします。
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
DMARCレコードの生成時に使用されるタグの理解。
V(必須 | このメカニズムでは、プロトコルのバージョンを指定します。 |
p(必須 | このメカニズムは、使用中のDMARCポリシーを指定します。DMARCポリシーを設定することができます:
p=none(DMARCは監視のみで、認証チェックに失敗したメールは受信者の受信箱に入る)。 p=quarantine(DMARCは強制で、認証チェックに失敗したメールは隔離されるか、スパムフォルダに入る)。 p=reject(DMARCを最大限に強化し、認証チェックに失敗したメールは破棄されるか、まったく配信されない)。 認証初心者の場合、最初は監視のみ(p=none)のポリシーから始めて、徐々に強制に移行することをお勧めします。しかし、このブログの目的上、BECからドメインを保護したい場合、p=rejectが最大限の保護を確保するために推奨されるポリシーです。 |
sp (オプション | このタグはサブドメインのポリシーを指定するもので、sp=none/quarantine/rejectに設定することで、メールがDMARC認証に失敗したすべてのサブドメインに対するポリシーを要求することができます。
このタグは、メインドメインとサブドメインに異なるポリシーを設定したい場合にのみ有効です。指定しない場合は、デフォルトですべてのサブドメインに同じポリシーが適用されます。 |
adkim (オプション | このメカニズムは、DKIM識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。
Strict alignmentは、電子メールヘッダのDKIM署名のd=フィールドが、fromヘッダ にあるドメインと正確に一致しなければならないことを指定する。 ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。 |
aspf (オプション | この機構は、SPF識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。
ストリクト・アラインメントとは、「Return-path」ヘッダーのドメインが、「from」ヘッダーのドメインと完全に一致することを意味します。 ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。 |
ルア(任意ですがお勧めします | このタグは、mailto:フィールドの後に指定されたアドレスに送信されるDMARC集約レポートを指定し、DMARCを通過したメールと失敗したメールについての洞察を提供します。 |
ruf(オプションだが推奨 | このタグは、mailto: フィールドの後に指定されたアドレスに送信される DMARC フォレンジックレポートを指定します。フォレンジックレポートは、認証失敗に関するより詳細な情報を提供するメッセージレベルのレポートです。これらのレポートには電子メールのコンテンツが含まれている可能性があるため、暗号化することが最善の方法です。 |
pct(オプション | このタグは、DMARCポリシーが適用されるメールの割合を指定します。デフォルト値は100に設定されています。 |
fo(オプションだが推奨 | DMARCレコードのフォレンジックオプションを設定することができます。
→DKIMとSPFが通らない、揃わない(0) →DKIMやSPFが通らない、または揃わない(1) →DKIMが通らない、揃わない(d) →SPFが通らない、揃わない(S 推奨モードはfo=1で、DKIMまたはSPFの認証チェックにメールが失敗した場合、フォレンジックレポートを生成してドメインに送信することを指定します。 |
PowerDMARCの無料DMARCレコードジェネレーターを使ってDMARCレコードを生成することができ、希望する施行レベルに応じてフィールドを選択することができます。
BECを最小限に抑え、あなたのドメインをなりすましやフィッシング攻撃から守ることができるのは、拒否のエンフォースメントポリシーだけであることに注意してください。
DMARCはBECからビジネスを保護する有効な標準となり得ますが、DMARCを正しく実装するには労力とリソースが必要です。電子メール認証のパイオニアであるPowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPT など、電子メール認証のベストプラクティスをひとつにまとめた電子メール認証 SaaS プラットフォームです。お客様のお役に立ちます:
- モニタリングからエンフォースメントへ瞬時に移行し、BECを抑える
- 当社の集計レポートは、複雑なXMLファイルを読まなくても簡単に理解できるように、簡略化された図表の形で生成されます。
- フォレンジックレポートを暗号化し、お客様の情報を保護します。
- 認証結果を7つのフォーマット(結果ごと、送信元ごと、組織ごと、ホストごと、詳細な統計情報、ジオロケーションレポート、国ごと)で、ユーザーフレンドリーなダッシュボード上に表示し、最適なユーザーエクスペリエンスを提供します。
- SPFとDKIMの両方に対してメールを調整することで、100%のDMARCコンプライアンスを実現し、いずれかの認証チェックポイントに失敗したメールが受信箱に届かないようにする
DMARCはどのようにしてBECから守るのか?
DMARCポリシーを最大実施(p=reject)に設定するとすぐに、DMARCはなりすまし攻撃やドメイン不正使用の可能性を減らし、メール詐欺からブランドを保護します。すべての受信メッセージは、SPFおよびDKIMメール認証チェックに対して検証され、有効なソースから送信されたことを確認します。
SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。受信側のメールサーバーは、SPFレコードに照らし合わせてメールを検証し、認証を行います。DKIMは、秘密鍵を使って作成された暗号化された署名を割り当て、受信サーバーで電子メールを検証します。受信者は、送信者のDNSから公開鍵を取得してメッセージを認証します。
拒否のポリシーを設定すると、認証チェックに失敗し、ブランドが偽装されていることを示す場合、メールは受信者のメールボックスに一切配信されません。これにより、なりすましやフィッシングなどのBEC攻撃を防ぐことができます。
PowerDMARCの中小企業向け基本プラン
ベーシックプランは、月額わずか8米ドルからご利用いただけますので、DMARCのような安全なプロトコルを採用しようとしている中小企業やスタートアップ企業には、簡単にご利用いただけます。このプランをご利用いただくと、以下のようなメリットがあります。
- 年間プランで20%割引
- 最大2,000,000件のDMARC準拠の電子メール
- 最大5つのドメイン
- 1年間のデータ履歴
- 2 プラットフォームユーザー
- 主催するBIMI
- ホスト型MTA-STS
- TLS-RPT
今すぐPowerDMARCに登録して、ビジネスメールの不正使用やメール詐欺の可能性を最小限に抑え、ブランドのドメインを守りましょう。
- PowerDMARC、カタールにおけるメールセキュリティ強化のためLoons Groupと提携- 2025年3月13日
- メールフィッシングとオンライン匿名性:ダークネット上で攻撃者から完全に隠れることは可能か?- 2025年3月10日
- DNSハイジャックとは?検知、予防、緩和策- 2025年3月7日