ポスト

電子メール認証は、電子メール・プロバイダーの仕事の重要な側面です。SPFやDKIMとして知られる電子メール認証は、電子メールプロバイダのアイデンティティをチェックします。DMARCは、電子メールが正当なドメインから送信されたかどうかをアライメントによってチェックし、認証チェックに失敗したメッセージにどのように応答するかを受信サーバーに指定することで、電子メールを検証するプロセスを追加します。今日は、「なぜDMARCが失敗するのか」という疑問に答えるために、さまざまなシナリオについて説明します。

DMARCは、偽造された「なりすまし」メールがトランザクション・スパムフィルターを通過するのを防ぐための、メール認証ポリシーにおける重要な活動です。しかし、これはスパム対策プログラム全体の柱の一つに過ぎず、すべてのDMARCレポートが同じように作られているわけではない。メール受信者が各メッセージに対して行った正確なアクションを伝えるものもあれば、メッセージが成功したかどうかだけを伝えるものもある。メッセージが失敗した理由を理解することは、メッセージが成功したかどうかを知ることと同じくらい重要です。以下の記事では、メッセージがDMARC認証チェックに失敗する理由を説明しています。これらは、メッセージがDMARC認証チェックに失敗する最も一般的な理由である(そのうちのいくつかは簡単に修正できる)。

メッセージがDMARCに失敗する一般的な理由

DMARCが失敗している理由を特定するのは複雑です。しかし、ここでは典型的な理由とその要因を説明し、ドメイン所有者がより迅速に問題を解決できるようにします。

DMARC アライメントの失敗

DMARCは、ドメインの整合性を利用して電子メールを認証します。つまり、DMARCは、Fromアドレス(可視ヘッダー)に記載されているドメインが本物であるかどうかを、隠されたReturn-pathヘッダー(SPFの場合)とDKIM署名ヘッダー(DKIMの場合)に記載されているドメインと照合することで検証する。どちらかが一致すれば、そのメールはDMARCを通過し、そうでなければDMARCは失敗します。

そのため、メールがDMARCに失敗する場合は、ドメインの不整合の可能性があります。つまり、SPFやDKIMの識別子が一致せず、メールが不正な送信元から送られているように見えるのです。しかし、これはDMARCが失敗する理由の一つに過ぎません。

DMARC アライメントモード 

プロトコルのアライメントモードも、メッセージがDMARCを通過するかしないかに大きく影響します。SPF認証では、以下のアライメントモードを選択することができます。

  • Relaxed:Return-pathヘッダのドメインとFromヘッダのドメインが単純に組織的に一致している場合、SPFであっても通過することを意味しています。
  • ストリクトです。これは、Return-pathヘッダーのドメインとFromヘッダーのドメインが完全に一致した場合にのみ、SPFを通過させることを意味します。

DKIM認証のアライメントモードは、以下の中から選択できます。

  • Relaxed: これは、DKIM署名のドメインとFromヘッダーのドメインが単に組織的に一致している場合、DKIMであっても合格することを意味します。
  • 厳密。これは、DKIM署名のドメインとFromヘッダーのドメインが完全に一致した場合にのみ、DKIMが成立することを意味します。

なお、メールがDMARC認証を通過するためには、SPFまたはDKIMのどちらかを揃える必要があります。  

DKIM署名を設定していない 

DMARCが失敗するケースとして非常に多いのが、ドメインのDKIM署名を指定していない場合です。このような場合、メール交換サービスプロバイダーは、あなたのFromヘッダーのドメインと一致しないデフォルトのDKIM署名を送信メールに割り当てます。受信側のMTAは2つのドメインを整合させることができず、その結果、メッセージのDKIMとDMARCが失敗します(メッセージがSPFとDKIMの両方に対して整合されている場合)。

DNSに送信元を追加していない 

ドメインにDMARCを設定すると、受信側のMTAは送信元を認証するためにDNSクエリを実行することに注意することが重要である。つまり、ドメインのDNSにすべての許可された送信ソースがリストアップされていなければ、リストアップされていないソースのメールはDMARCに失敗するということです。したがって、正当な電子メールが常に配信されるようにするためには、あなたのドメインに代わって電子メールを送信することを許可されている、すべての認可されたサードパーティの電子メールベンダーをDNSに登録するようにしてください。

メール転送の場合

電子メールの転送では、電子メールは仲介サーバを経由して、最終的に受信サーバに届けられます。メール転送時には、仲介サーバのIPアドレスが送信サーバのIPアドレスと一致せず、この新しいIPアドレスが元のサーバのSPFレコードに含まれていないことが多いため、SPFチェックが失敗します。一方で、メールの転送は、仲介サーバや転送元がメッセージの内容を変更しない限り、通常はDKIMメール認証に影響を与えません。

メール転送時にSPFが失敗することは周知の通りですが、万が一、送信元がDKIMニュートラルで、SPFにのみ検証を依存している場合、DMARC認証時に転送されたメールが不正なものとなってしまいます。この問題を解決するためには、直ちに組織で完全なDMARCコンプライアンスを選択し、SPFとDKIMの両方に対してすべての送信メッセージを整合させ、認証する必要があります。

お客様のドメインが偽装されている

DMARC、SPF、DKIMの各プロトコルがドメインに対して適切に設定されており、ポリシーが施行されていて、有効なエラーフリーレコードがあり、問題が上記のいずれのケースでもない場合、メールがDMARCに失敗する最も可能性の高い理由は、あなたのドメインがなりすましや偽造されていることです。これは、なりすましや脅威の行為者が、悪意のあるIPアドレスを使って、あなたのドメインから来ているように見せかけてメールを送ろうとする場合です。

最近の電子メール詐欺の統計では、電子メールになりすましたケースが最近増加しており、組織の評判にとって非常に大きな脅威となっていると結論づけられています。このようなケースでは、DMARCを拒否ポリシーで実装していても、失敗してしまい、なりすましメールは受信者の受信箱に届けられません。したがって、ドメインスプーフィングは、なぜDMARCが失敗するのかという疑問に対する答えになります。

無料のDMARC Analyzerにサインアップして、DMARCレポートとモニタリングの旅を始めることをお勧めします。

  • noneポリシーでは、DMARC (RUA) Aggregate Reportsでドメインを監視し、受信メールと送信メールに目を配ることができます。これにより、望ましくない配信問題に対応することができます。
  • その後、最終的にドメイン偽装やフィッシング攻撃に対する免疫を獲得するための強制的なポリシーへの移行を支援します。
  • 今後のなりすまし攻撃を回避するために、PowerDMARCプラットフォームから直接、悪意のあるIPアドレスを取り除いて報告することができます(Threat Intelligenceエンジンを使用)。
  • PowerDMARCのDMARC(RUF)フォレンジックレポートは、メールがDMARCに失敗したケースについての詳細な情報を得るのに役立ち、問題の根本を突き止めて修正することができます。

ドメイン偽装を防ぎ、メールフローを監視するPowerDMARCを今すぐご利用ください。

さて、あなたは自分のドメインにDMARCを設定するためのすべてのプロセスを終えたところです。SPF、DKIM、DMARCレコードを公開し、すべてのレポートを分析し、配信の問題を修正し、施行レベルをp=noneからquarantine、そして最終的にrejectに引き上げました。これで公式に100% DMARCが施行されたことになります。おめでとうございます。これで、あなたのメールだけが人々の受信箱に届きます。誰もあなたのブランドになりすますことはないでしょう。

これで完了ですね。あなたのドメインは保護され、あなたのメールが安全であることを知って、私たちは満足して家に帰ることができます。そうですよね...?

そうではない。DMARCは、運動やダイエットのようなものだ。しばらくやっていると、体重が減り、腹筋が鍛えられ、すべてがうまくいく。しかし、それをやめてしまうと、せっかくの効果が徐々に薄れてしまい、なりすましの危険性が再び出てきてしまいます。でも、焦らないでください。食事や運動と同じように、体調を整えること(つまり100%の運動量にすること)が一番難しいのです。それができれば、あとは同じレベルを維持するだけですから、はるかに簡単です。

さて、例え話はこれくらいにして、本題に入りましょう。ドメインにDMARCを導入して施行したところで、次のステップは何でしょうか?ドメインとメールチャネルの安全性を維持するにはどうすればよいのでしょうか?

DMARCエンフォースメントを達成した後にすべきこと

メールセキュリティを100%強化しても終わりではない理由の第一は、攻撃パターン、フィッシング詐欺、送信元が常に変化することです。メール詐欺で人気のあるトレンドは、2、3カ月も続かないことがよくあります。2018年に発生したランサムウェア「WannaCry」の攻撃や、最近では2020年初頭に発生したWHOコロナウイルスのフィッシング詐欺を思い浮かべてみてください。今ではそのようなものはあまり見られませんよね?

サイバー犯罪者は常に戦術を変え、悪意のある送信元は常に変化し、増殖していますが、あなたにできることはあまりありません。しかし、あなたにできることは、あなたのブランドに襲いかかる可能性のあるあらゆるサイバー攻撃に備えることです。そのためには、DMARCの監視と可視化が必要です。

導入した後も、メールチャネルを完全にコントロールする必要があります。つまり、どのIPアドレスが自社ドメインを経由してメールを送信しているのか、メール配信や認証で問題が発生している場所はどこなのかを把握し、なりすましの可能性やフィッシングキャンペーンを行う悪意のあるサーバーを特定して対応する必要があります。ドメインを監視すればするほど、ドメインをより深く理解することができます。その結果、メール、データ、ブランドをより安全に保護することができるようになるのです。

DMARCモニタリングが重要な理由

新しいメールソースの発見
メールチャネルを監視する際には、すべてがうまくいっているかどうかをチェックするだけではありません。お客様のドメインからメールを送信している新しいIPを探すことになります。お客様の組織では、パートナーやサードパーティのベンダーが頻繁に変更されることがありますが、その場合、そのIPがお客様に代わってメールを送信する権限を持つようになるかもしれません。その新しい送信元は、新しいベンダーの一つなのか、それともブランドを偽装しようとしている人なのか?定期的にレポートを分析していれば、明確な答えが得られるでしょう。

PowerDMARCでは、ドメインのすべての送信元に応じたDMARCレポートを表示することができます。

ドメイン不正利用の新しいトレンドを理解する
先に述べたように、攻撃者はブランドになりすまし、人々を騙してデータや金銭を提供させる新しい方法を常に見つけています。しかし、数ヶ月に一度しかDMARCレポートを見ないのであれば、なりすましの兆候に気づくことはないでしょう。ドメイン内のメールトラフィックを定期的に監視していなければ、不審な活動の傾向やパターンに気づくことができず、なりすまし攻撃を受けても、メールの標的となった人たちと同じように何もわからないままになってしまいます。これは、ブランドにとって決して良いことではありません。

悪質なIPを見つけてブラックリストに登録
ドメインを悪用しようとしている人物を見つけるだけでは不十分で、早急にシャットダウンする必要があります。送信元を把握していれば、問題のあるIPを特定するのははるかに簡単です。発見したら、そのIPをホスティングプロバイダーに報告し、ブラックリストに登録してもらいます。このようにして、特定の脅威を永久に排除し、なりすまし攻撃を回避することができます。

Power Take Down」では、悪意のあるIPの位置や不正使用の履歴を見つけ出し、それらを削除させることができます。

配信性のコントロール
メールの配信率に影響を与えずにDMARCを100%実施することに成功したとしても、常に高い配信能力を確保し続けることが重要です。結局のところ、メールが目的地に届かないのであれば、せっかくのメールセキュリティも意味がありません。メールレポートを監視することで、どのメールがDMARCを通過したのか、失敗したのか、あるいは一致しなかったのかを確認し、問題の原因を発見することができます。モニタリングなしでは、問題を解決することはおろか、メールが配信されているかどうかを知ることもできません。

PowerDMARCでは、DMARCのステータスに基づいてレポートを表示するオプションがあり、どのレポートが通過しなかったかを即座に特定することができます。

 

私たちの最先端のプラットフォームは、24×7のドメイン監視を提供し、さらにはセキュリティ侵害を管理する専任のセキュリティ対応チームを提供します。PowerDMARCの延長サポートについてはこちらをご覧ください。

一見すると、MicrosoftのOffice 365スイートはかなり魅力的に見えますよね?生産性向上のためのさまざまなアプリケーション、クラウドストレージ、メールサービスを利用できるだけでなく、マイクロソフト独自のメールセキュリティソリューションにより、スパムからも保護されます。市場シェアは54%、アクティブユーザー数は1億5,500万人以上と、最も広く採用されている企業向けメールソリューションであることも不思議ではありません。あなたもその一人ではないでしょうか。

でも、サイバーセキュリティ企業がOffice 365についてのブログを書いているなら、何か裏があるんじゃないの?そうですね。あります。ここでは、Office365のセキュリティオプションの何が問題なのか、そしてなぜこの問題を知る必要があるのかを説明します。

Microsoft Office 365のセキュリティが得意とすること

その問題点を語る前に、まずこれを素早く整理しておこう。Microsoft Office 365 Advanced Threat Protectionは、基本的なメールセキュリティにおいて非常に有効です。スパムメールやマルウェア、ウイルスが受信箱に入ってくるのを防ぐことができます。

基本的なスパム対策だけであれば、これで十分です。しかし、これが問題なのです。このような低レベルのスパムは、通常、最大の脅威にはなりません。ほとんどのメールプロバイダは、疑わしい送信元からのメールをブロックすることで、何らかの基本的な保護機能を提供しています。本当の脅威とは、組織の資金やデータ、ブランドの信頼性を失わせるようなもので、偽物だと気づかれないように慎重に作られたメールのことです。

これは、深刻なサイバー犯罪の領域に入るときです。

Microsoft Office 365で守れないもの

Microsoft Office 365のセキュリティソリューションは、スパム対策フィルターのように、アルゴリズムを用いてメールが他のスパムやフィッシングメールと類似しているかどうかを判断します。しかし、ソーシャルエンジニアリングを利用したはるかに巧妙な攻撃や、特定の社員やグループを対象とした攻撃を受けた場合はどうなるでしょうか。

これらは、何万人もの人々に一斉に送信される、ありふれたスパムメールではありません。BEC(Business Email Compromise)VEC(Vendor EmailCompromise)は、攻撃者がターゲットを慎重に選び、メールをスパイすることで組織の情報を詳しく知り、戦略的なポイントで偽の請求書や要求書をメールで送り、金銭の授受やデータの共有を要求する例です。

この手口は、スピアフィッシングとして広く知られており、自分の組織内の誰か、あるいは信頼できるパートナーやベンダーからのメールであるかのように見せかけます。このようなメールは、注意深く見ても非常にリアルに見えることがあり、経験豊富なサイバーセキュリティの専門家でも検知することはほぼ不可能です。

攻撃者があなたの上司や組織のCEOになりすましてメールを送ってきたとしても、そのメールが本物に見えるかどうかを確認することはまずないでしょう。これこそが、BECやCEO詐欺の危険な点です。Office 365は、これらが表向きには実在の人物から送られてきているため、アルゴリズムがスパムメールとみなさず、この種の攻撃から保護することができません。

BECやスピアフィッシングからOffice 365を守るには?

DMARC(Domain-based Message Authentication, Reporting & Conformance)とは、ドメインの所有者が提供する情報を利用して、受信者をなりすましメールから保護するメールセキュリティプロトコルのことです。組織のドメインにDMARCを実装すると、受信サーバーは、あなたのドメインから送られてくるすべてのメールを、あなたが公開したDNSレコードと照合します。

しかし、Office 365 ATPが標的型スプーフィング攻撃を防げなかったとしたら、DMARCはどうやって防いでいるのでしょうか?

さて、DMARCの機能は、アンチスパムフィルターとは全く異なるものである。スパムフィルターが受信箱に入る受信メールをチェックするのに対し、DMARCは組織のドメインから送信される送信メールを認証します。つまり、誰かがあなたの組織になりすましてフィッシングメールを送ろうとしても、DMARCが適用されている限り、そのようなメールはスパムフォルダに捨てられるか、完全にブロックされるということです。

また、サイバー犯罪者があなたの信頼するブランドを利用してフィッシングメールを送信していたとしても、あなたの顧客でさえも対処する必要がないということです。DMARCは、実際にあなたのビジネスを守るのにも役立つのです。

しかし、それだけではありません。Office 365は実際にはフィッシング攻撃を可視化することはできず、スパムメールをブロックするだけです。しかし、自社のドメインを適切に保護したいのであれば、誰が、何が、自社のブランドになりすまそうとしているのかを正確に把握し、直ちに対策を講じる必要があります。DMARCは、不正な送信元のIPアドレスやメールの数など、このデータを提供する。PowerDMARCは、ダッシュボード上で高度なDMARC分析を行うことで、これを次のレベルに引き上げます。

PowerDMARCがあなたのブランドにできることをご紹介します。

 

世界各地でコヴィド19対策のためのチャリティ基金が設立されている中、インターネットの電子管では別の種類の戦いが繰り広げられています。コロナウイルスの大流行の中、世界中の何千人もの人々が、なりすましメールやコビッド19のメール詐欺の被害に遭っています。最近では、サイバー犯罪者が本物の組織のドメイン名をメールに使用して、正当なものであるかのように装うケースが増えています。

最近話題になったコロナウイルス詐欺では、世界保健機関(WHO)からと思われるメールが世界中に送られ、「連帯対応基金」への寄付を求めていました。差出人のアドレスは「[email protected]」で、「who.int」はWHOの実際のドメイン名です。このメールはフィッシング詐欺であることが確認されましたが、一見したところ、送信者は本物であることがわかりました。結局のところ、このドメインは本物のWHOに属していたのです。

レスポンスファンドを寄付する

しかし、これは、コロナウイルスに関連したメールを使って人々から金銭や機密情報を盗むフィッシング詐欺が増えている中の一つに過ぎません。しかし、送信者が本物のドメイン名を使用している場合、正規のメールと偽物のメールをどのように区別すればよいのでしょうか?なぜサイバー犯罪者は、このような大規模な組織にメール・ドメイン・スプーフィングを簡単に採用できるのでしょうか?

また、WHOのような組織は、誰かが自分のドメインを使ってフィッシング攻撃を行った場合、どうやってそれを見つけるのでしょうか?

電子メールは、世界で最も広く使われているビジネスコミュニケーションツールですが、完全にオープンなプロトコルです。それだけでは、誰がどのメールアドレスからどのようなメールを送信したかを監視することはほとんどできません。これは、攻撃者が信頼のおけるブランドや公人になりすまして、金銭や個人情報の提供を求める場合に大きな問題となります。実際、近年の企業のデータ流出の90%以上は、何らかの形でメール・フィッシングが関与していると言われています。そして、メールのドメイン偽装は、その代表的な原因の一つです。

電子メールの安全性を確保するために、SPF(Sender Policy Framework)DKIM(Domain Keys Identified Mail)などのプロトコルが開発されました。SPFは送信者のIPアドレスと承認されたIPアドレスのリストを照合し、DKIMは暗号化されたデジタル署名を使用して電子メールを保護します。これらは個々には有効ですが、それぞれに欠点があります。2012年に開発されたDMARCは、SPFとDKIMの両方の認証を用いて電子メールを保護するプロトコルで、電子メールがDMARCの検証に失敗すると、ドメイン所有者にレポートが送られる仕組みになっています。

つまり、認証されていない第三者からメールが送られてくると、ドメイン所有者に通知されるのです。そして重要なのは、ドメイン所有者は、認証されていないメールをどのように処理するかをメール受信者に伝えることができるということです。つまり、受信箱に入れる、隔離する、あるいは完全に拒否する、ということです。理論的には、悪質なメールが人々の受信箱に溢れるのを防ぎ、私たちが直面しているフィッシング攻撃の数を減らすことができるはずです。では、なぜそうならないのでしょうか。

DMARCはドメイン・スプーフィングやCovid-19電子メール詐欺を防止できるか?

メール認証では、送信者ドメインがSPF、DKIM、DMARCレコードをDNSに公開する必要があります。ある調査によると、2018年に有効なSPFレコードを公開していたのは、Alexaの上位100万ドメインのうち44.9%に過ぎず、有効なDMARCレコードを公開していたのは5.1%に過ぎませんでした。しかも、DMARC認証のないドメインは、セキュリティが確保されているドメインの4倍近くもなりすましに悩まされているにもかかわらず、です。ビジネスの現場では、本格的なDMARCの導入が行われておらず、それは数年前からあまり改善されていません。ユニセフのような組織でさえ、自社のドメインにDMARCを実装しておらず、ホワイトハウスと米国国防総省はともにDMARCポリシーをp=noneとしており、これは施行されていないことを意味します。

バージニア工科大学の専門家が行った調査により、大手企業やDMARC認証をまだ使用していない企業が挙げた最も深刻な懸念事項が明らかになりました。

  1. 展開の難しさ。セキュリティプロトコルを厳格に実施するには、大規模な組織では高度な調整が必要になることが多いが、そのためのリソースがない場合も多い。さらに、多くの組織ではDNSをあまり管理していないため、DMARCレコードの発行はさらに困難になります。
  2. コストを上回らないメリット。DMARC認証は通常、ドメイン所有者ではなく、電子メールの受信者に直接利益をもたらします。新しいプロトコルを採用する真剣な動機付けがないため、多くの企業がDMARCをシステムに組み込むことができないでいる。
  3. 既存のシステムを破壊するリスク。DMARCは比較的新しいため、不適切な実装が起こりやすく、正当なメールが届かないという非常に現実的なリスクがあります。電子メールの流通に依存している企業は、そのような事態を避けることができないため、DMARCの採用を見送っている。

DMARCが必要な理由の認識

今回の調査で企業が表明した懸念は明らかに妥当なものですが、DMARCの実装がメールセキュリティにとって不可欠であることに変わりはありません。企業がDMARCで認証されたドメインを持たずに活動を続ければ続けるほど、私たちは電子メールによるフィッシング攻撃という非常に現実的な危険にさらされることになります。コロナウイルスを利用したなりすましメールが教えてくれたように、誰もが標的にされたり、なりすまされたりすることから安全ではありません。DMARCはワクチンのようなものだと考えてください。DMARCを使用する人が増えれば増えるほど、感染の可能性は劇的に減少します。

この問題には、DMARCの採用に対する人々の懸念を払拭するような、現実的で実行可能な解決策がある。ここでは、導入率を大幅に向上させることができるいくつかの例を紹介する。

  1. 導入時の摩擦を減らす。企業がDMARCを採用する際に立ちはだかる最大のハードルは、DMARCに関連する導入コストである。経済は低迷しており、資源は不足しています。このため、PowerDMARCと産業界のパートナーであるグローバル・サイバー・アライアンス(GCA)は、Covid-19パンデミックの期間中、期間限定のオファーを発表することにしました。今すぐPowerDMARCを使ってDMARCソリューションを設定し、メールの監視を始めましょう。
  2. 知覚された有用性の向上。DMARC が電子メールのセキュリティに大きな影響を与えるためには、SPF、DKIM、DMARC のレコー ドを公開するユーザーの数が非常に多くなる必要がある。DMARC で認証されたドメインに「Trusted」または「Verified」のアイコンを与えることで(ウェブサイトの HTTPS 化を促進するように)、ドメインの所有者は自分のドメインに対する好意的な評価を得ようとするインセンティブを得ることができる。この評価が一定の閾値に達すると、DMARC で保護されたドメインは、そうでないドメインよりも好意的に見られるようになる。
  3. 導入の合理化。なりすまし防止プロトコルの導入と設定を容易にすることで、より多くのドメインがDMARC認証に同意するようになるだろう。これを実現する1つの方法は、プロトコルを「監視モード」で実行できるようにすることです。これにより、メール管理者は、本格的な導入を行う前に、システムに与える影響を評価することができます。

新しい発明には、新しい課題がつきものです。新しい課題があると、それを克服するための新しい方法を見つけなければならない。DMARCが登場してから数年が経つが、フィッシングはもっと前から存在している。最近の数週間では、Covid-19の大流行により、新たな顔を持つことになった。PowerDMARCでは、この新しい課題に正面から取り組むためのお手伝いをします。あなたがコロナウイルスから安全に家にいる間に、あなたのドメインがメールスプーフィングから安全になるように。