ポスト

メールフィッシングは、ゲーマーがいたずらメールを送ることから始まり、世界中のハッカーにとって非常に有益な活動となっています。

実際、90年代前半から半ばにかけて、AOLは初めて大規模な電子メールによるフィッシング攻撃を経験しました。ランダムなクレジットカード発行機を使ってユーザーの認証情報を盗み出し、それによってハッカーはAOLの全社的なデータベースに広くアクセスできるようになった。

これらの攻撃は、AOL社がさらなる被害を防ぐためにセキュリティシステムをアップグレードしたため、停止しました。その後、ハッカーたちは、現在も広く利用されている「なりすまし」を利用した、より高度な攻撃を行うようになりました。

最近では、ホワイトハウスやWHOが被害を受けた「なりすまし攻撃」がありましたが、これは、どのような企業でもいつかはメール攻撃を受ける可能性があることを示しています。

Verizonの「2019 Data Breach Investigation Report」によると、2019年に経験したデータブリーチのうち、約32%にメールフィッシングとソーシャルエンジニアリングがそれぞれ含まれていました。

そこで今回は、さまざまなタイプのフィッシング攻撃と、それらが今日のビジネスにとって大きな脅威となっている理由についてご紹介します。

さあ、始めましょう。

1.メールのなりすまし

電子メールスプーフィング攻撃とは、ハッカーが電子メールのヘッダーや送信者アドレスを偽造して、信頼できる人物からのメールであるかのように見せかける攻撃です。このような攻撃の目的は、受信者を誘導してメールを開かせ、場合によってはリンクをクリックさせたり、攻撃者との対話を開始させたりすることにあります。

これらの攻撃は、従来のハッキング手法ではなく、ソーシャルエンジニアリング技術に大きく依存しています。

一見、地味でローテクなサイバー攻撃に見えるかもしれません。しかし、実際には、無防備な従業員に送られた説得力のある電子メールを使って人々をおびき寄せる、極めて効果的な方法なのです。ソーシャルエンジニアリングは、システムのセキュリティインフラの欠陥ではなく、ヒューマンエラーの必然性を利用しています。

見てみてください。

2019年9月、トヨタはメール詐欺で3700万円を失った。

ハッカーは、電子メールアドレスを偽装し、金融機関の権限を持つ従業員に電子送金のための口座情報を変更するように仕向けました。

結果として、会社に多額の損失をもたらした。

2.ビジネスメールの不正アクセス(BEC

FBIの「2019年インターネット犯罪報告書」によると、BEC詐欺の被害額は170万ドルを超え、2019年に経験したサイバー犯罪被害の半分以上を占めています。

BECとは、攻撃者が企業の電子メールアカウントにアクセスし、そのアカウントの所有者になりすまして、企業やその従業員に損害を与える目的で使用されるものです。

これは、BECが非常に利益率の高いメール攻撃であり、攻撃者に高い利益をもたらすため、今でも人気のあるサイバー脅威となっているからです。

コロラド州のある町では、BEC詐欺により100万ドル以上の損害が発生しました。

襲撃者は、地元のウェブサイトにあるフォームに記入し、地元の建設会社に、現在町で行っている仕事の代金を、通常の小切手ではなく電子マネーで受け取るよう依頼しました。

従業員がフォームを受け取り、支払い情報を更新した結果、攻撃者に100万ドル以上のお金が送られてしまいました。

3.ベンダーメールコンプロマイズ(VEC)

2019年9月、日本経済新聞社は日本最大の報道機関が2900万ドルの損失を出した。

日本経済新聞社のアメリカ支社の社員が、経営陣を装った詐欺師の指示でお金を振り込んだのです。

VEC攻撃とは、ベンダー企業の従業員を危険にさらすメール詐欺の一種です。例えば上記の例のように。そしてもちろん、その企業に莫大な経済的損失をもたらしました。

DMARCについては?

世界中の企業が、上に挙げたような例を抑えるために、サイバーセキュリティの予算を増やしています。IDCによると、セキュリティソリューションに対する世界の支出は、2022年に1,337億ドルに達すると予測されています。

しかし、実際のところ、DMARCのようなメールセキュリティソリューションの普及は遅れています。

DMARC技術は2011年に登場し、世界中の企業にとって脅威となっている標的型BEC攻撃の防止に効果を発揮しています。

DMARCはSPFとDKIMの両方に対応しており、認証されていない電子メールに対してどのようなアクションを取るべきかを決定し、ドメインの完全性を保護することができます。

READ:DMARCとは何か、そしてあなたのビジネスが今すぐ導入する必要がある理由とは?

それぞれのケースに共通しているのは、「視認性」です。

この技術は、電子メールによるフィッシング行為がビジネスに与える影響を軽減することができます。その方法をご紹介します。

  • 可視性の向上。DMARCテクノロジーは、レポートを送信して、ビジネス全体の電子メール活動に関する詳細な情報を提供します。PowerDMARCは、強力なスレット・インテリジェンス・エンジンを使用しており、なりすまし攻撃のリアルタイム・アラートを生成します。これは、完全なレポートと相まって、ユーザーの履歴記録をより深く理解することができます。
  • メールのセキュリティが強化されます。なりすましやフィッシングの脅威がないか、自社のメールを追跡することができるようになります。PowerDMARCは、24時間365日体制のセキュリティオペレーションセンターを設置しています。PowerDMARCは、24時間365日体制のセキュリティ・オペレーション・センターを設置しており、メールを悪用するドメインを即座に削除することができるため、ビジネスのセキュリティレベルを向上させることができます。
    世界中でCOVID-19パンデミックが発生していますが、これはハッカーが脆弱なセキュリティシステムを利用する機会を広く提供しているに過ぎません。

ホワイトハウスとWHOに対する最近のなりすまし攻撃は、DMARC技術の使用拡大の必要性を如実に示しています。

 

COVID-19の流行や電子メールのフィッシングの増加を考慮して、3ヶ月間無料でDMARC保護を提供したいと思います。下記のボタンをクリックして、今すぐご利用ください。

 

 

世界各地でコヴィド19対策のためのチャリティ基金が設立されている中、インターネットの電子管では別の種類の戦いが繰り広げられています。コロナウイルスの大流行の中、世界中の何千人もの人々が、なりすましメールやコビッド19のメール詐欺の被害に遭っています。最近では、サイバー犯罪者が本物の組織のドメイン名をメールに使用して、正当なものであるかのように装うケースが増えています。

最近話題になったコロナウイルス詐欺では、世界保健機関(WHO)からと思われるメールが世界中に送られ、「連帯対応基金」への寄付を求めていました。差出人のアドレスは「[email protected]」で、「who.int」はWHOの実際のドメイン名です。このメールはフィッシング詐欺であることが確認されましたが、一見したところ、送信者は本物であることがわかりました。結局のところ、このドメインは本物のWHOに属していたのです。

レスポンスファンドを寄付する

しかし、これは、コロナウイルスに関連したメールを使って人々から金銭や機密情報を盗むフィッシング詐欺が増えている中の一つに過ぎません。しかし、送信者が本物のドメイン名を使用している場合、正規のメールと偽物のメールをどのように区別すればよいのでしょうか?なぜサイバー犯罪者は、このような大規模な組織にメール・ドメイン・スプーフィングを簡単に採用できるのでしょうか?

また、WHOのような組織は、誰かが自分のドメインを使ってフィッシング攻撃を行った場合、どうやってそれを見つけるのでしょうか?

電子メールは、世界で最も広く使われているビジネスコミュニケーションツールですが、完全にオープンなプロトコルです。それだけでは、誰がどのメールアドレスからどのようなメールを送信したかを監視することはほとんどできません。これは、攻撃者が信頼のおけるブランドや公人になりすまして、金銭や個人情報の提供を求める場合に大きな問題となります。実際、近年の企業のデータ流出の90%以上は、何らかの形でメール・フィッシングが関与していると言われています。そして、メールのドメイン偽装は、その代表的な原因の一つです。

電子メールの安全性を確保するために、SPF(Sender Policy Framework)DKIM(Domain Keys Identified Mail)などのプロトコルが開発されました。SPFは送信者のIPアドレスと承認されたIPアドレスのリストを照合し、DKIMは暗号化されたデジタル署名を使用して電子メールを保護します。これらは個々には有効ですが、それぞれに欠点があります。2012年に開発されたDMARCは、SPFとDKIMの両方の認証を用いて電子メールを保護するプロトコルで、電子メールがDMARCの検証に失敗すると、ドメイン所有者にレポートが送られる仕組みになっています。

つまり、認証されていない第三者からメールが送られてくると、ドメイン所有者に通知されるのです。そして重要なのは、ドメイン所有者は、認証されていないメールをどのように処理するかをメール受信者に伝えることができるということです。つまり、受信箱に入れる、隔離する、あるいは完全に拒否する、ということです。理論的には、悪質なメールが人々の受信箱に溢れるのを防ぎ、私たちが直面しているフィッシング攻撃の数を減らすことができるはずです。では、なぜそうならないのでしょうか。

DMARCはドメイン・スプーフィングやCovid-19電子メール詐欺を防止できるか?

メール認証では、送信者ドメインがSPF、DKIM、DMARCレコードをDNSに公開する必要があります。ある調査によると、2018年に有効なSPFレコードを公開していたのは、Alexaの上位100万ドメインのうち44.9%に過ぎず、有効なDMARCレコードを公開していたのは5.1%に過ぎませんでした。しかも、DMARC認証のないドメインは、セキュリティが確保されているドメインの4倍近くもなりすましに悩まされているにもかかわらず、です。ビジネスの現場では、本格的なDMARCの導入が行われておらず、それは数年前からあまり改善されていません。ユニセフのような組織でさえ、自社のドメインにDMARCを実装しておらず、ホワイトハウスと米国国防総省はともにDMARCポリシーをp=noneとしており、これは施行されていないことを意味します。

バージニア工科大学の専門家が行った調査により、大手企業やDMARC認証をまだ使用していない企業が挙げた最も深刻な懸念事項が明らかになりました。

  1. 展開の難しさ。セキュリティプロトコルを厳格に実施するには、大規模な組織では高度な調整が必要になることが多いが、そのためのリソースがない場合も多い。さらに、多くの組織ではDNSをあまり管理していないため、DMARCレコードの発行はさらに困難になります。
  2. コストを上回らないメリット。DMARC認証は通常、ドメイン所有者ではなく、電子メールの受信者に直接利益をもたらします。新しいプロトコルを採用する真剣な動機付けがないため、多くの企業がDMARCをシステムに組み込むことができないでいる。
  3. 既存のシステムを破壊するリスク。DMARCは比較的新しいため、不適切な実装が起こりやすく、正当なメールが届かないという非常に現実的なリスクがあります。電子メールの流通に依存している企業は、そのような事態を避けることができないため、DMARCの採用を見送っている。

DMARCが必要な理由の認識

今回の調査で企業が表明した懸念は明らかに妥当なものですが、DMARCの実装がメールセキュリティにとって不可欠であることに変わりはありません。企業がDMARCで認証されたドメインを持たずに活動を続ければ続けるほど、私たちは電子メールによるフィッシング攻撃という非常に現実的な危険にさらされることになります。コロナウイルスを利用したなりすましメールが教えてくれたように、誰もが標的にされたり、なりすまされたりすることから安全ではありません。DMARCはワクチンのようなものだと考えてください。DMARCを使用する人が増えれば増えるほど、感染の可能性は劇的に減少します。

この問題には、DMARCの採用に対する人々の懸念を払拭するような、現実的で実行可能な解決策がある。ここでは、導入率を大幅に向上させることができるいくつかの例を紹介する。

  1. 導入時の摩擦を減らす。企業がDMARCを採用する際に立ちはだかる最大のハードルは、DMARCに関連する導入コストである。経済は低迷しており、資源は不足しています。このため、PowerDMARCと産業界のパートナーであるグローバル・サイバー・アライアンス(GCA)は、Covid-19パンデミックの期間中、期間限定のオファーを発表することにしました。今すぐPowerDMARCを使ってDMARCソリューションを設定し、メールの監視を始めましょう。
  2. 知覚された有用性の向上。DMARC が電子メールのセキュリティに大きな影響を与えるためには、SPF、DKIM、DMARC のレコー ドを公開するユーザーの数が非常に多くなる必要がある。DMARC で認証されたドメインに「Trusted」または「Verified」のアイコンを与えることで(ウェブサイトの HTTPS 化を促進するように)、ドメインの所有者は自分のドメインに対する好意的な評価を得ようとするインセンティブを得ることができる。この評価が一定の閾値に達すると、DMARC で保護されたドメインは、そうでないドメインよりも好意的に見られるようになる。
  3. 導入の合理化。なりすまし防止プロトコルの導入と設定を容易にすることで、より多くのドメインがDMARC認証に同意するようになるだろう。これを実現する1つの方法は、プロトコルを「監視モード」で実行できるようにすることです。これにより、メール管理者は、本格的な導入を行う前に、システムに与える影響を評価することができます。

新しい発明には、新しい課題がつきものです。新しい課題があると、それを克服するための新しい方法を見つけなければならない。DMARCが登場してから数年が経つが、フィッシングはもっと前から存在している。最近の数週間では、Covid-19の大流行により、新たな顔を持つことになった。PowerDMARCでは、この新しい課題に正面から取り組むためのお手伝いをします。あなたがコロナウイルスから安全に家にいる間に、あなたのドメインがメールスプーフィングから安全になるように。