ポスト

DMARCの神話を打ち破る

多くの人にとって、DMARCが何をするものなのか、また、DMARCがどのようにドメインの偽装、なりすまし、詐欺を防ぐのか、すぐにはわかりません。そのため、DMARC、電子メール認証の仕組み、そしてなぜそれが良いのかについて、重大な誤解が生じている可能性があります。しかし、何が正しくて何が間違っているのかをどうやって知ることができるでしょうか?また、正しく実装されていることを確認するにはどうすればよいのでしょうか? 

PowerDMARCが救いの手を差し伸べますDMARCへの理解を深めていただくために、DMARCに関する最も一般的な誤解のトップ6をまとめてみました。

DMARCに関する誤解

1.DMARCはスパムフィルターと同じ

これは、DMARCについて最も多くの人が勘違いしていることのひとつです。スパムフィルターは、受信箱に届けられる受信メールをブロックします。これらのメールは、あなたのドメインだけでなく、誰のドメインからも送信された疑わしいメールである可能性があります。一方、DMARCは、受信側のメールサーバーに、あなたのドメインから送信された送信メールをどのように処理するかを伝えます。Microsoft Office 365ATPのようなスパムフィルターでは、このようなサイバー攻撃を防ぐことはできません。あなたのドメインがDMARCに対応していて、メールが認証に失敗した場合、受信側のサーバーはそのメールを拒否します。

2.一度DMARCを設定すれば、あなたのメールは永遠に安全です

DMARCは、世界で最も先進的な電子メール認証プロトコルの1つですが、だからといって完全に自己完結しているわけではありません。DMARCレポートを定期的に監視し、許可された送信元からのメールが拒否されていないことを確認する必要があります。さらに重要なことは、あなたのドメインを悪用している不正な送信者をチェックすることです。あなたのメールを偽装しようと何度も試みるIPアドレスを見つけたら、すぐに行動を起こし、ブラックリストに載せるか、削除する必要があります。

3.DMARCによってメールの配信能力が低下するのではないか

DMARCを設定する際には、まずポリシーをp=noneに設定することが重要です。これにより、すべてのメールは配信されますが、認証に成功したか失敗したかについてのDMARCレポートを受け取ることができます。この監視期間中に、自分のメールがDMARCに失敗しているのを確認したら、問題を解決するために行動を起こすことができます。認証されたすべてのメールが正しく検証されたら、p=quarantineまたはp=rejectのポリシーでDMARCを施行することができます。

4.DMARCを強制する必要はない(p=noneで十分です

DMARCを施行せずに設定した場合(p=noneのポリシー)、DMARCに失敗したメールを含めて、ドメインからのすべてのメールが配信されます。DMARCレポートを受信しても、なりすましからドメインを保護することはできません。最初の監視期間(上述)の後は、ポリシーをp=quarantineまたはp=rejectに設定し、DMARCを施行することが絶対に必要です。

5.DMARCが必要なのは大手ブランドだけ

多くの中小企業は、DMARC保護を必要とするのは、認知度の高い大手ブランドだけだと考えています。実際には、サイバー犯罪者は、あらゆるビジネスドメインを使って、なりすまし攻撃を仕掛けてきます。多くの中小企業は、一般的に専任のサイバーセキュリティチームを持っていないため、攻撃者が中小企業を標的にすることがより容易になっています。ドメイン名を持つすべての組織には、DMARC保護が必要であることを忘れないでください。

6.DMARCレポートは読みやすい

多くの組織がDMARCを導入し、レポートを自分のメールボックスに送信しているのを目にします。この場合の問題点は、DMARCレポートがXMLファイル形式で提供されていることで、慣れていないと読むのが非常に難しいことです。専用のDMARCプラットフォームを使用すると、セットアッププロセスが非常に簡単になるだけでなく、PowerDMARCは複雑なXMLファイルを、グラフやチャート、詳細な統計情報を含む読みやすいレポートに変換することができます。

 

この記事では、メールのなりすましを止める方法を、5つの方法で探っていきます。ある日、あなたが出勤してデスクに着き、ニュースをチェックしようとパソコンを開いたとします。すると、目に飛び込んできました。あなたの組織の名前が見出しに躍っていますが、それは良いニュースではありません。何者かがあなたのドメインを使って電子メールのなりすまし攻撃を行い、世界中の人々にフィッシングメールを送信しました。そして、多くの人がそれに引っかかったのです。あなたの会社は巨大なフィッシング攻撃の顔となり、今では誰もあなたのセキュリティやメールを信用していません。

これはまさに、2020年2月のコヴィド-19パンデミックの際に、世界保健機関(WHO)の職員が陥った状況です。攻撃者は WHOの実際のドメイン名を使用して、コロナウイルス救済基金への寄付を求めるメールを送信していたのです。しかし、この事件は決して他人事ではありません。数え切れないほどの組織が、非常に説得力のあるフィッシングメールの被害に遭っています。このメールは、無邪気に個人情報や銀行情報、ログイン情報などを要求するものです。また、同じ組織内で、データベースや会社のファイルへのアクセスをさりげなく要求するようなメールもあります。

データ損失事件の90%は、フィッシングの要素を含んでいると言われています。しかし、ドメイン・スプーフィングは、それほど複雑ではありません。では、なぜこれほどまでに被害が拡大するのでしょうか。

ドメイン・スプーフィングの仕組みは?

ドメイン・スプーフィング攻撃は非常に簡単に理解できます。

  • 攻撃者は電子メールのヘッダーを偽造して組織の名前を入れ、偽のフィッシングメールを誰かに送信し、あなたのブランド名を使って信用させます。
  • 悪意のあるリンクをクリックしたり、組織から頼まれたと思って機密情報を渡してしまう。
  • 詐欺だとわかると、ブランドイメージが低下し、お客様からの信頼を失います

 

フィッシングメールの被害に遭う可能性もありますし、外部(内部)の人にも迷惑をかけてしまいます。さらに悪いことに、あなたのドメインから送信された悪意のあるメールは、顧客から見た あなたのブランドの評判を著しく低下させる可能性があります

では、どうすればいいのでしょうか?ドメインの偽装から自分やブランドを守り、PRの失敗を回避するにはどうすればいいのでしょうか?

なりすましメールを防ぐには?

1.SPFレコードの変更

SPFの最大の間違いの1つは、それを簡潔に保っていないことです。SPFレコードには、メール1通あたりの処理コストを可能な限り低く抑えるために、10回のDNSルックアップの制限が設けられています。つまり、複数のIPアドレスをレコードに含めるだけで、制限を超えてしまう可能性があるということです。そうなると、SPFの実装が無効になり、メールがSPFに失敗して届かなくなる可能性があります。そんなことにならないように、自動SPFフラットニングでSPFレコードを短く、シンプルに保ちましょう。

2.承認されたIPのリストを最新の状態に保つこと

あなたの組織が、あなたのドメインからメールを送信するために承認された複数のサードパーティベンダーを使用している場合、これはあなたのためのものです。そのうちの1社とのサービスを中止した場合は、SPFレコードも更新する必要があります。そのベンダーのメールシステムが危険にさらされている場合、誰かがそれを使ってあなたのドメインから「承認された」フィッシングメールを送信できるかもしれません。SPFレコードにIPアドレスが登録されていることを確認してください。

3.DKIMの導入

DomainKeys Identified Mail(DKIM)とは、お客様のドメインから送信されるすべてのメールにデジタル署名を付与するプロトコルです。これにより、受信側のメールサーバーは、電子メールが本物かどうか、送信中に変更されていないかどうかを検証することができます。電子メールが改ざんされている場合、署名は検証されず、その電子メールはDKIMに失敗します。データの完全性を維持したい場合は、ドメインにDKIMを設定してください。

4.正しいDMARCポリシーの設定

DMARCを導入したものの、最も重要なこと、つまり実際にそれを実施することを忘れている組織が非常に多い。DMARCポリシーは、「なし」、「隔離」、「拒否」の3つのうちのどれかに設定することができます。DMARCを設定する際に、ポリシーを「なし」に設定すると、認証に失敗したメールでも配信されることになります。DMARCを導入することは良い第一歩ですが、それを実行しなければ、このプロトコルは効果がありません。むしろ、ポリシーをrejectに設定して、DMARCを通過しないメールは自動的にブロックされるようにするのが望ましい。

ここで重要なのは、メールプロバイダがメールを受信する際にドメイン名のレピュテーションを判断することです。もし、あなたのドメインになりすまし攻撃の履歴があると、あなたの評価は下がります。その結果、配信能力も低下してしまいます。

5.BIMIへのブランドロゴのアップロード

BIMI(Brand Indicators for Message Identification)は、ブランドロゴを用いて電子メールを認証する電子メールセキュリティ規格です。BIMIは、すべてのメールの横にブランドロゴをアイコンとして添付し、受信箱の中ですぐに認識できるようにします。仮に攻撃者がお客様のドメインからメールを送信した場合、そのメールにはお客様のロゴが付いていません。そのため、仮にメールが届いたとしても、お客様が偽物のメールに気づく可能性は格段に高くなります。しかし、BIMIの利点は2つあります。

誰かがあなたからのメールを受け取るたびに、あなたのロゴが目に入り、あなたが提供している製品やサービスをすぐに連想します。つまり、なりすましメールを阻止するだけでなく、実際にブランドの認知度を高めることができるのです。

今すぐ無料のDMARCアナライザーに登録しましょう。