ポスト

最悪のフィッシング詐欺とは何かご存知ですか?CEO詐欺のように、無視することができないものです。政府を装ったメールで、未払いの税金を払わないと法的措置を取ると言ってきます。学校や大学から送られてきたかのようなメールで、払い損ねた学費を払えというもの。あるいは、上司やCEOからのメッセージで、「好意で」お金を振り込むように言われることもあるでしょう。

このようなメールの問題点は、政府や大学の理事会、職場の上司などの権威者になりすましていることです。彼らは重要な人物であり、彼らのメッセージを無視すれば、ほぼ間違いなく重大な結果を招きます。だから、見ざるを得ないし、説得力があると思えば、実際に騙されてしまうかもしれない。

しかし、ここではCEOの不正について見てみましょう。それは一体何なのか?あなたにも起こりうるのでしょうか?そして、もし起こりうるとしたら、それを阻止するために何をすべきか?

CEOの不正とは無縁ではない

毎年23億ドルの詐欺事件が発生しています。単純なメール詐欺で、何が企業にそれだけのお金を失わせることができるのか?"と疑問に思うかもしれません。しかし、CEOの詐欺メールがどれほど説得力があるか、驚くことでしょう。

2016年、マテル社はフィッシング攻撃により300万ドルの損失を出しそうになりました。財務担当役員がCEOからメールを受け取り、中国にあるベンダーの一つに支払いを送るよう指示されました。しかし、後になってCEOに確認したところ、メールを送っていなかったことが判明したのです。幸い、この会社は中国と米国の法執行機関と協力して、数日後にお金を取り戻しましたが、このような攻撃が起こることはほとんどありません。

このような詐欺は自分には起こらないと思いがちですが、実際に起こってみるとそうでもないのです。そして、それが最大の間違いであり、CEOの詐欺に備えていないということなのです。

フィッシング詐欺は、組織に何百万ドルもの損害を与えるだけでなく、ブランドの評判や信頼性に永続的な影響を与える可能性があります。メール詐欺で損失を出した企業と思われたり、重要な個人情報を保管している顧客の信頼を失ったりする危険性があります。

事後の対応に追われるのではなく、今回のようなスピアフィッシング詐欺からメールチャネルを保護する方がはるかに意味があります。ここでは、FBIが発表したBECに関するレポートで、あなたの組織が統計対象にならないようにするための最善の方法をいくつかご紹介します。

CEOの不正を防ぐには6つのシンプルなステップ

  1. スタッフへのセキュリティ教育
    これは非常に重要なことです。従業員、特に財務部門の従業員は、ビジネスメール不正アクセスの仕組みを理解する必要があります。パスワードを付箋に書いてはいけない」というような2時間の退屈な説明だけではありません。メールが偽物であることを示す不審な兆候に気づく方法、なりすましメールアドレスに注意する方法、他のスタッフがメールで行っていると思われる異常な要求に気づく方法などをトレーニングする必要があります。
  2. なりすましの兆候を見逃すな
    電子メール詐欺師は、あらゆる手段を使ってお客様を要求に応じさせようとします。その内容は、考えずにすぐに行動するように仕向けるための緊急の送金依頼や指示、あるいは、上層部がまだ公開していない「秘密のプロジェクト」のための機密情報へのアクセスを求めるものなど、多岐にわたります。これらは重大な危険信号であり、何か行動を起こす前に、二重三重に確認する必要があります。
  3. DMARCで保護する
    フィッシング詐欺を防ぐ最も簡単な方法は、そもそもメールを受信しないことです。DMARCは、メールを配信する前に、あなたのドメインから送られてくるメールを検証するメール認証プロトコルです。お客様のドメインでDMARCを実施すると、お客様の組織の誰かになりすました攻撃者は、不正な送信者として検出され、そのメールはお客様の受信箱からブロックされます。なりすましメールに対処する必要は一切ありません。
  4. 電信送金の明示的な承認を得る
    これは、間違った相手への送金を防ぐための、最も簡単で分かりやすい方法の一つです。取引を行う前に、電子メール以外の方法で、送金を依頼した相手から明確な承認を得ることを義務づけてください。大規模な送金の場合は、口頭での確認が必須となります。
  5. 似たような拡張子のメールにフラグを立てる
    FBIは、自社の拡張子と酷似した拡張子を使用するメールに自動的にフラグを立てるシステム・ルールを作成することを推奨しています。例えば、あなたの会社が「123-business.com」を使用している場合、システムは「123_business.com」のような拡張子を使用したメールを検出してフラグを立てることができます。
  6. 類似ドメイン名の購入
    攻撃者は、似たようなドメイン名を使ってフィッシングメールを送信することがよくあります。例えば、組織名に小文字の「i」が含まれている場合、大文字の「I」を使用したり、「E」を数字の「3」に置き換えたりします。このようにすることで、極端に似たドメイン名を使ってメールを送ってくる可能性を低くすることができます。

 

DMARCサービスを提供している私たちは、よくこのような質問を受けます。"もしDMARCがSPFとDKIMの認証を使うだけなら、なぜわざわざDMARCを使う必要があるのか?不必要なものではないのか?"

表面的にはほとんど違いがないように見えるかもしれませんが、現実は大きく異なります。DMARCはSPFとDKIMの技術を組み合わせただけではなく、それ自体が全く新しいプロトコルなのです。DMARCにはいくつかの特徴があり、世界で最も先進的なメール認証規格の1つであり、企業にとっては絶対に必要なものです。

しかし、ちょっと待ってください。なぜDMARCが必要なのか、正確な答えが出ていません。SPFやDKIMにはない、DMARCの特徴とは?まあ、それはかなり長い答えで、1つのブログ記事には長すぎます。だから、それを分割して、まずSPFについて話しましょう。慣れていない方のために、簡単にご紹介します。

SPFとは?

SPF(Sender Policy Framework)とは、メール受信者をなりすましメールから保護するためのメール認証プロトコルです。SPFレコードは、お客様(ドメイン所有者)のチャンネルを通じてメールを送信することを許可されたすべてのIPアドレスのリストです。受信サーバーは、あなたのドメインからのメッセージを見ると、あなたのDNSで公開されているSPFレコードをチェックします。送信者のIPがこの「リスト」にあれば、メールは配信されます。そうでなければ、サーバーはそのメールを拒否します。

ご覧のように、SPFは、お客様のデバイスに害を及ぼしたり、組織のセキュリティシステムを危険にさらしたりする可能性のある、多くの好ましくない電子メールを排除するために、かなり良い仕事をしています。しかし、SPFは一部の人が考えているほど良いものではありません。それは、SPFにはいくつかの大きな欠点があるからです。ここでは、その問題点について説明します。

SPFの限界

SPFレコードは、Fromアドレスには適用されません。

メールには、送信者を特定するための複数のアドレスがあります。通常表示されるFromアドレスと、1~2回のクリックで表示される隠れたReturn Pathアドレスです。SPFを有効にすると、受信側のメールサーバーはリターンパスを見て、そのアドレスのドメインのSPFレコードをチェックします。

ここで問題となるのは、攻撃者がリターンパスのアドレスに偽のドメインを使い、Fromセクションに正当な(または正当に見える)メールアドレスを使うことで、これを悪用できることです。仮に受信者が送信者のメールIDを確認したとしても、まずFromアドレスを見て、一般的にはリターンパスをわざわざ確認することはありません。実際、ほとんどの人はReturn Pathアドレスというものがあることすら知らないのではないでしょうか。

SPFは、この単純なトリックを使うことで非常に簡単に回避することができ、SPFで保護されたドメインであってもほとんど無防備になります。

SPFレコードは、DNSルックアップの制限があります。

SPFレコードには、ドメイン所有者がメール送信を許可したすべてのIPアドレスのリストが含まれています。しかし、これには決定的な欠点があります。受信サーバーは、送信者が許可されているかどうかを確認するためにレコードをチェックする必要があり、サーバーの負荷を軽減するために、SPFレコードのDNSルックアップは10回までとなっています。

つまり、あなたの組織が複数のサードパーティベンダーを使用して、あなたのドメインを通じてメールを送信している場合、SPFレコードはその制限をオーバーシュートしてしまう可能性があります。適切に最適化されていなければ(自分でやるのは簡単ではありませんが)、SPFレコードには非常に制限の多い上限が設定されています。この制限を超えると、SPFの実装が無効であるとみなされ、メールはSPFに失敗します。これにより、メールの配信率が低下する可能性があります。

 

メールが転送されたときにSPFが機能しないことがある

SPFには、メール配信に支障をきたすもう一つの重大な障害点があります。お客様のドメインにSPFを実装している場合、誰かがお客様のメールを転送すると、転送されたメールがSPFポリシーによって拒否されることがあります。

これは、転送されたメッセージによってメールの受信者が変更されたが、メールの送信者のアドレスは同じままであるためです。これが問題になるのは、メッセージにはオリジナルの送信者のFromアドレスが含まれているのに、受信サーバーには別のIPが表示されているからです。転送先のメールサーバのIPアドレスは、オリジナルの送信者のドメインのSPFレコードに含まれていません。その結果、受信サーバーでメールが拒否されてしまうことがあります。

DMARCはこれらの問題をどのように解決するのでしょうか?

DMARCは、SPFとDKIMを組み合わせて電子メールを認証します。電子メールがDMARCを通過して正常に配信されるためには、SPFまたはDKIMのいずれかを通過する必要があります。さらに、SPFやDKIMだけの認証よりもはるかに効果的な重要な機能が追加されている。レポーティングです。

DMARCレポートでは、お客様のメールチャネルのステータスに関するフィードバックを毎日得ることができます。これには、DMARCの整合性に関する情報、認証に失敗したメールのデータ、潜在的なスプーフィングの試みに関する詳細が含まれます。

なりすましメールを受け取らないためにはどうしたらいいのかとお考えの方は、メールのなりすましを防ぐための5つの方法をまとめた便利なガイドをご覧ください。