ポスト

自分のドメインがどれだけ安全か知っていますか?ほとんどの組織は、自社のドメインが非常に安全であると仮定して運営されていますが、しばらくすると、それが事実ではないことがわかります。セキュリティスコアが低いことを示す兆候の1つは、ドメイン名が偽装されている場合です。これは、誰かがお客様になりすまして(あるいは混乱させて)、メール受信者を欺くためにお客様のドメインを使用していることを意味します。しかし、なぜ気にしなければならないのでしょうか?このようななりすまし行為は、お客様の評判を落とす可能性があるからです。 

ドメイン・スプーフィングは、企業にとって軽視できないものです。ドメイン偽装は、自分自身や顧客を危険にさらすことになりかねません。ドメインのセキュリティ評価は、手っ取り早く金儲けをしようとするフィッシャーに狙われるかどうか、あるいはドメインやブランドを利用してランサムウェアを気づかれずに広めることができるかどうかに大きく影響します。

無料のDMARC Lookupツールで、あなたのドメインのセキュリティ評価をチェックしてみてください。驚きの結果が得られるかもしれません。

攻撃者はどのようにしてあなたのドメインを偽装するのか?

電子メールのなりすましは、攻撃者が、通常、他人になりすましたり、組織を装ったりする目的で、正規の送信元のIDを偽造して使用する場合に発生する可能性があります。それは以下のような方法で行われます。

ドメイン名の操作:攻撃者は、お客様のドメイン名を利用して、疑うことを知らない受信者にメールを送信し、悪意の餌食になることがあります。一般にダイレクトドメインスプーフィング攻撃として知られているこのような攻撃は、ブランドの評判や顧客がメールをどのように受け止めるかに特に悪影響を及ぼします。

電子メールのドメインやアドレスの偽装:攻撃者が既存の電子メールセキュリティプロトコルの抜け穴を利用して、正当なドメインを代表して電子メールを送信するものです。攻撃者は、メール送信元を確認しない第三者のメール交換サービスを利用して悪意ある活動を行うため、このような攻撃の成功率は高くなります。

電子メールのプロトコルであるSMTP(Simple Mail Transfer Protocol)にはドメイン認証が組み込まれていなかったため、DMARCのように近年開発された電子メール認証プロトコルでは、より高い検証が可能となっています。

低ドメインのセキュリティが組織に与える影響とは?

ほとんどの組織は電子メールでデータを送受信しているため、企業のブランドイメージを守るためにも安全な接続が必要です。しかし、電子メールのセキュリティが低い場合、企業にとっても個人にとっても災害につながる可能性があります。電子メールは今でも最も広く使われているコミュニケーションプラットフォームの一つです。データ漏洩やハッキングから発信された電子メールは、組織の評判に壊滅的な影響を与える可能性があります。また、電子メールを使用することで、悪意のある攻撃、マルウェア、スパムなどが拡散する可能性もあります。そのため、電子メールプラットフォーム内でのセキュリティコントロールの展開方法を見直す必要性が非常に高まっています。

2020年だけでも、ブランド偽装がフィッシング攻撃全体の81%を占め、1回のスピアフィッシング攻撃で平均160万ドルの損失が発生しています。セキュリティ研究者は、この数字が2021年末までに倍増する可能性があると予測しています。これにより、企業はメールセキュリティを早急に改善する必要性に迫られています。

多国籍企業はメールセキュリティプロトコルの導入に前向きですが、中小企業や小規模事業者はまだ消極的です。これは、中小企業はサイバー攻撃者の潜在的な標的レーダーに該当しないという一般的な神話があるからです。しかし、それは真実ではありません。攻撃者は、組織の規模ではなく、メールセキュリティ対策の脆弱性や抜け穴に基づいて組織を攻撃するため、ドメインセキュリティが不十分な組織は潜在的な標的となります。

メールセキュリティ評価ガイドでは、より高いドメインセキュリティ評価を得るための方法をご紹介しています。

認証プロトコルを活用してドメインセキュリティを最大限に高める

ドメインのメールセキュリティ評価を確認する際、スコアが低い場合は以下の要因が考えられます。

  • SPF、DMARC、DKIMなどのメール認証プロトコルが組織内に導入されていない。
  • プロトコルを導入したが、ドメインに適用されていない場合
  • 認証記録にエラーがある
  • メールチャネルを可視化するために、DMARCレポートを有効にしていない。
  • 送信中のお客様のメールとサーバーの通信は、MTA-STS によるTLS暗号化では保護されません。
  • メール配信の問題に関する通知を受けるためのSMTPTLSレポートを実装していない場合
  • ブランド記憶を向上させるために、お客様のドメインにBIMIを設定していない場合
  • ダイナミックSPFフラットニングでSPFパーマラー を解決していない。

これらのことから、メール詐欺、なりすまし、ドメインの不正使用などの被害を受けやすくなります。

PowerDMARCは、すべての認証プロトコル(DMARC、SPF、DKIM、MTA-STS、TLS-RPT、BIMI)を1枚のガラスに収めた、ワンストップの電子メール認証SaaSプラットフォームで、電子メールを再び安全なものにし、ドメインの電子メールセキュリティ姿勢を改善します。当社のDMARCアナライザーは、複雑な処理をすべてバックグラウンドで行い、ドメインユーザーのプロセスを自動化することで、プロトコルの実装を簡素化します。これにより、認証プロトコルを活用してその可能性を最大限に引き出し、セキュリティソリューションを最大限に活用することができます。

今すぐ無料のDMARCレポートアナライザーに登録して、高いドメインセキュリティ評価となり、なりすまし攻撃から保護されましょう。

マーケティング担当者はブランドイメージの設計者であるため、企業の評判を落とす可能性のある有名な5つのフィッシング用語について知っておく必要があります。 フィッシングとは、ウェブサイトや電子メールを利用して、あたかも信頼できる組織からのものであるかのように見せかけ、実際にはユーザー名、パスワード、クレジットカードの詳細情報(カードデータとも呼ばれる)などの機密情報を収集する目的で作成される攻撃ベクトルの一種です。フィッシング攻撃は、オンラインの世界では一般的なものです。

あなたの会社がフィッシング攻撃の被害に遭うと、ブランド名に傷がつき、検索エンジンのランキングやコンバージョン率に支障をきたす可能性があります。フィッシング攻撃は、企業の一貫性を直接反映するものであるため、マーケティング担当者にとってフィッシング攻撃から身を守ることは優先すべきことです。ゆえに、マーケターとしては、フィッシング詐欺には細心の注意を払って対処する必要があります。

フィッシング詐欺は何年も前から存在しています。今まで知らなかったとしても、あなたのせいではありませんのでご安心ください。サイバー詐欺が生まれたのは10年前とも言われていますが、フィッシングが正式に犯罪となったのは2004年のことです。フィッシングの手法は進化し続けているため、新しいフィッシングメールに遭遇するとすぐに混乱してしまい、メッセージが正当なものかどうか見分けがつかないこともあります。これらの5つの一般的なフィッシング手法に注意を払うことで、自分自身と組織をよりよく守ることができます。

知っておきたい5つの一般的なフィッシング用語

1) メールフィッシング 

フィッシングメールは通常、正規のドメインを模倣したドメインから大量に送信されます。例えば、ある企業のメールアドレスは「[email protected]」ですが、フィッシング企業は「[email protected]」を使用している場合があります。その目的は、お客様が取引している実在の企業を装うことで、悪意のあるリンクをクリックさせたり、機密情報を共有させたりすることです。 偽のドメインは、「r」と「n」を隣り合わせにして「m」の代わりに「rn」とするなど、文字の置換が行われることがよくあります。

フィッシング攻撃は常に進化しており、時間の経過とともに検知できなくなってきています。脅威となる人物は、ソーシャルエンジニアリングの手法を用いてドメインを偽装し、正規のドメインから不正なメールを送信し、悪意のある目的で利用しています。

2) スピアフィッシング 

スピアフィッシングとは、偽の情報を使ってセキュリティレベルの高いアカウントへのアクセスを試みる、新しいサイバー攻撃の形態です。プロの攻撃者は、一人の被害者を危険にさらすことを目的としており、この考えを実行するために、企業の社会的プロフィールや、その企業内の従業員の名前や役割などを調査します。フィッシングとは異なり、スピアフィッシングは、1つの組織や個人を対象としたキャンペーンです。このようなキャンペーンは、特定の人物をターゲットにして組織にアクセスすることを唯一の目的として、脅威アクターによって慎重に構築されます。

3) 捕鯨

ホワイリングは、高レベルの社員の電子メールを危険にさらすことができる高度な標的技術です。その目的は、他のフィッシング手法と同様に、従業員を騙して悪意のあるリンクをクリックさせることにあります。企業ネットワークを通過する最も壊滅的な電子メール攻撃の1つが、このホワイリング詐欺です。これは、説得力を利用して被害者の抵抗力を低下させ、騙して会社の資金を引き渡すことで個人的な利益を得ようとするものです。攻撃者は、企業のCEOなど権威ある立場の人物になりすますことが多いため、WhalingはCEO詐欺とも呼ばれています。

4) ビジネスメールの不正使用 

ビジネス・メール・コンプロマイズ(BEC)は、企業にとって非常に大きな損害をもたらすサイバー犯罪の一種です。この種のサイバー攻撃は、電子メール詐欺を利用して組織のドメインに影響を与え、不正な活動に参加させることで、機密データの漏洩や窃盗を引き起こします。BECの例としては、請求書詐欺、ドメイン・スプーフィング、その他の形態のなりすまし攻撃などがあります。2020年のBEC攻撃の統計については、こちらをご覧ください。典型的な攻撃では、詐欺師は組織内の特定の役割の従業員をターゲットに、上級の同僚や顧客、ビジネスパートナーを装った一連の詐欺メールを送信します。詐欺師は、受信者に支払いや機密データの開示を指示することがあります。

5) Angler Phishing 

多くの企業は何千人ものお客様を抱え、毎日何百件ものクレームを受けています。ソーシャルメディアを利用することで、企業は制約から逃れ、顧客にアプローチすることができます。これにより、企業は顧客の要求に柔軟に対応することができます。アングラーフィッシングとは、ソーシャルメディアを通じて不満を持つお客様に接触し、企業の一員であるかのように装う行為のことです。アングラーフィッシングは、ソーシャルメディアを利用している人を騙して、企業が自分たちの問題を解決しようとしていると思わせ、実際には相手が自分たちを利用しているという単純な手口です。

フィッシングや電子メール詐欺から組織を守るには

Eメールサービスプロバイダーは、サービスの一環として統合されたセキュリティパッケージを提供している場合があります。これらのパッケージは、スパムフィルターとして機能し、受信側のフィッシング攻撃から保護してくれます。しかし、BEC、ホエールリング、その他の形態のなりすまし攻撃のように、お客様のドメイン名を使用して詐欺師が受信者の受信箱にメールを送信している場合、これらは目的を果たすことができません。だからこそ、DMARCのようなメール認証ソリューションをすぐに利用し、施行のポリシーに移行する必要があるのです。

  • DMARCは、SPFとDKIMの認証基準に照らし合わせて、電子メールを認証します。
  • 受信サーバーに対して、認証チェックに失敗したメールにどのように対応すべきかを指定します。
  • DMARC aggregate (RUA) レポートは、メールエコシステムと認証結果の可視性を高め、ドメインの監視を容易にします。
  • DMARCフォレンジック(RUF)レポートでは、DMARC障害の結果を詳細に分析することができ、なりすまし攻撃への迅速な対応に役立ちます。

PowerDMARCはあなたのブランドにどのように役立ちますか?

PowerDMARCは、単なるDMARCサービスプロバイダーではなく、幅広い認証ソリューションとDMARC MSSPプログラムを提供するマルチテナント型SaaSプラットフォームです。小規模企業から多国籍企業まで、あらゆる組織にとってメール認証を簡単かつ身近なものにします。

  • p=noneからp=rejectへの移行を迅速に行い、なりすまし攻撃、ドメイン偽装、フィッシングからブランドを守るためのサポートを行います。
  • 包括的なチャートやテーブル、6つの異なるフォーマットのRUAレポートビューを用いて、DMARCレポートを簡単に設定できるようにし、使いやすさと視認性を向上させます。
  • お客様のプライバシーに配慮して、DMARC RUFレポートをお客様の秘密鍵で暗号化することができます。
  • 認証結果のPDFレポートを定期的に生成することをサポートします。
  • PowerSPFのようなダイナミックなSPFフラットニングソリューションを提供し、10のDNSルックアップ制限を超えないようにします。
  • MTA-STSによるSMTPでのTLS暗号化の義務化を支援し、広汎なモニタリング攻撃からドメインを保護します。
  • BIMIを使って、受信者の受信箱の中でブランドを視覚的に識別できるようにサポートします。

今すぐPowerDMARCにサインアップして、DMARCアナライザーツールの無料トライアルを受けてください。そして、BEC、フィッシング、スプーフィング攻撃からドメインを最大限に保護するために、モニタリングのポリシーからエンフォースメントへと移行してください。

電子メールは、B2Bのリードジェネレーションや顧客とのコミュニケーションのための重要なチャネルとして機能していますが、同時にサイバー攻撃や電子メール詐欺の最も広く狙われているチャネルの一つでもあります。サイバー犯罪者は、より多くの情報や金融資産を盗むために、常に攻撃方法を革新しています。企業がより強固なセキュリティ対策で反撃を続ける中、サイバー犯罪者は常に戦術を進化させ、フィッシングやなりすましの技術を向上させなければなりません。

2021年、従来のメールセキュリティソリューションでは検知できない、機械学習(ML)や人工知能(AI)を利用したフィッシング攻撃が急激に増加していることが、世界中のセキュリティ研究者によって検知されています。これらの攻撃の主な目的は、人間の行動を操作して、詐欺師の口座にお金を振り込むなどの不正な行為をさせることです。

電子メールを使った攻撃や電子メール詐欺の脅威は常に進化していますが、遅れをとってはいけません。詐欺師の戦術、ツール、マルウェアの観点から、今後数年間に起こるであろうメール詐欺のトレンドを知っておきましょう。このブログ記事を通して、サイバー犯罪者がどのように戦術を展開しているかを紹介し、あなたのビジネスがこのようなメール攻撃を防ぐ方法を説明します。

2021年に気をつけたいメール詐欺の種類

1.ビジネスメールの不正アクセス(BEC

COVID-19により、企業はリモートワーク環境を導入し、従業員、パートナー、顧客の間でバーチャルなコミュニケーションに移行することを余儀なくされています。これにはいくつかのメリットがありますが、最も明らかなデメリットは、過去1年間でBECが驚くほど増加していることです。BECとは、メールスプーフィングやフィッシングなどの電子メール詐欺を指す広義の言葉です。

一般的には、サイバー攻撃者が自社のドメイン名を使って、パートナーや顧客、従業員にメールを送り、企業の認証情報を盗んで機密資産にアクセスしたり、電信送金を開始したりするというものです。BECは、過去1年間で70%以上の組織に影響を与え、数十億ドルに相当する企業資産の損失につながっています。

2.進化したメールフィッシング攻撃

電子メールによるフィッシング攻撃は、ここ数年で劇的に進化していますが、その目的は変わりません。それは、信頼しているパートナーや従業員、顧客を操り、自社から送られたように見える電子メールに含まれる悪意のあるリンクをクリックさせることで、マルウェアのインストールや認証情報の窃取を開始させるための媒体です。進化した電子メール詐欺師は、検知が困難なフィッシングメールを送信しています。非の打ちどころのない件名や間違いのないコンテンツの作成から、精度の高い偽のランディングページの作成まで、彼らの活動を手作業で追跡することは、2021年にはますます困難になっています。

3.マンインザミドル

素人でもわかるような稚拙なメールを攻撃者が送りつけていた時代は終わりました。最近の脅威アクターは、通信している2つのメールサーバー間の電子メール取引でオポチュニスティックな暗号化が使用されているようなSMTPセキュリティの問題を利用して、安全な接続を暗号化されていない接続にロールバックすることに成功した後、会話を盗聴しています。SMTPダウングレードやDNSスプーフィングなどのMITM攻撃は、2021年に入ってからますます盛んになっています。

4.CEOの不正行為

CEO詐欺とは、機密情報へのアクセスを目的として、上級管理職をターゲットにしたスキームが行われていることを指します。攻撃者は、CEOやCFOなどの実在の人物になりすまして、組織内の下位レベルの人々やパートナー、顧客にメッセージを送信し、騙して機密情報を提供させることでこれを行います。この種の攻撃は、Business Email CompromiseやWhalingとも呼ばれます。ビジネスの現場では、組織の意思決定者になりすまして、より信憑性の高いメールを作成しようとする犯罪者もいます。これにより、安易な金銭の授受や企業の機密情報を要求することができます。

5.COVID-19 ワクチンルアー

セキュリティ研究者は、ハッカーがCOVID-19パンデミックの恐怖を利用しようとしていることを明らかにしました。最近の研究では、サイバー犯罪者の心理が明らかになっており、COVID-19パンデミックにまつわるパニック状態に引き続き関心を寄せていることや、企業のトップを狙ったフィッシングやBEC(business email compromise)攻撃が目に見えて増加していることがわかっています。これらの攻撃を行うための媒体は、COVID-19ワクチンの偽物で、メール受信者の関心を瞬時に高めます。

メールセキュリティを強化するには?

  • SPF、DKIM、DMARCなどのメール認証規格に対応したドメインの設定
  • DMARCモニタリングからDMARCエンフォースメントへの移行により、BEC、CEO詐欺、進化したフィッシング攻撃から最大限の保護を得ることができます。
  • 随時、メールの流れや認証結果を一貫して監視する
  • MITM攻撃を軽減するために、MTA-STSでSMTPに暗号化を必須にする。
  • SMTP TLSレポーティング(TLS-RPT )により、メール配信の問題について、その根本的な原因の詳細を定期的に通知
  • DNSルックアップ数を常に10件以内に抑えることで、SPFパーマラーを軽減
  • BIMIを使って、受信者が受信箱の中で貴社ブランドを視覚的に識別できるようにする。

PowerDMARCは、SPF、DKIM、MTA-STS、TLS-RPT、BIMIなどのすべての電子メール認証プロトコルを1枚のガラスに集約した、電子メール認証のSaaSプラットフォームです。今すぐ登録して、無料のDMARCアナライザ を手に入れましょう。

SMTPでは、暗号化はオプションであり、電子メールを平文で送信できることを意味します。MTA-STS(Mail Transfer Agent-Strict Transport Security)は比較的新しい規格で、メールサービスプロバイダがSMTP接続を保護するためにTLS(Transport Layer Security)を実施したり、送信側のSMTPサーバがTLSをサポートしていないMXホストへのメール配信を拒否するかどうかを指定したりすることができます。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃をうまく緩和することが証明されています。

MTA-STSを有効にするだけでは十分ではなく、暗号化されたチャネルの確立に失敗したことを検出するための効果的な報告メカニズムが必要です。SMTP TLS Reporting (TLS-RPT)は、電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出することができる規格です。電子メールがTLSで暗号化されていない場合に発生する電子メール配信の問題を報告することができます。

PowerMTA-STSによる簡単なMTA-STSの実装

MTA-STSの実装は、採用時に多くの複雑な作業を伴う大変な作業です。ポリシーファイルやレコードの生成から、ウェブサーバーやホスティング証明書の管理まで、長い時間を要する作業です。PowerDMARCはそんなあなたをサポートします。当社のホスト型MTA-STSサービスには、以下のようなメリットがあります。

  • 数回のクリックでDNSのCNAMEレコードを発行できる
  • ポリシーのWebサーバーのメンテナンスや証明書のホスティングを担当する
  • DNSを手動で変更しなくても、PowerDMARCのダッシュボードからMTA-STSのポリシーを即座に、かつ簡単に変更することができます。
  • PowerDMARCのホスト型MTA-STSサービスはRFCに準拠し、最新のTLS規格をサポートしています。
  • 証明書やMTA-STSポリシーファイルの生成からポリシーの実施まで、プロトコルの採用に伴う膨大な複雑さを回避するための支援を行います。

なぜ電子メールには転送時の暗号化が必要なのか?

SMTPには、TLS暗号化を開始するSTARTTLSコマンドを追加して下位互換性を確保する必要があったため、クライアントがTLSをサポートしていない場合は、通信が平文に戻ってしまいます。これにより、MITMのような監視型の攻撃を受ける可能性があります。MITMでは、サイバー犯罪者がメッセージを盗聴し、暗号化コマンド(STARTTLS)を置き換えたり削除したりすることで情報を改ざんし、通信を平文に戻してしまいます。

ここでMTA-STSが活躍し、SMTPにTLS暗号化を必須化します。これにより、MITM、DNS Spoofing、Downgrade攻撃などの脅威を軽減することができます。

ドメインにMTA-STSを設定した後に必要なのは、TLS暗号化の問題に起因するメール配信の問題を検出し、より迅速に対応するのに役立つ効率的なレポートメカニズムです。PowerTLS-RPTはまさにそれを実現してくれます。

PowerTLS-RPTによるメール配信問題のレポート受信

TLS-RPTはPowerDMARCセキュリティスイートに完全に統合されているので、PowerDMARCにサインアップしてドメインのSMTP TLS Reportingを有効にするとすぐに、メール配信問題のレポートを含む複雑なJSONファイルを、簡単に読み解けるドキュメントに変換する作業を行います。

PowerDMARCプラットフォームでは、TLS-RPT集計レポートが2つのフォーマットで生成され、使いやすさ、洞察力、ユーザーエクスペリエンスの向上を実現します。
  • 結果ごとのレポートを集計
  • 送信元ごとのレポートを集計

さらに、PowerDMARCのプラットフォームは、あなたが直面している問題を自動的に検出し、その後に伝えるので、あなたは迅速に問題に対処し、すぐに解決することができます。

なぜSMTP TLSレポートが必要なのか?

TLS暗号化の問題によりメール配信に失敗した場合、TLS-RPTにより通知されます。TLS-RPTでは、すべてのメールチャネルの可視性が強化されるため、配信に失敗したメッセージを含め、ドメイン内で起こっているすべてのことをよりよく把握することができます。さらに、詳細な診断レポートが提供されるため、メール配信の問題を特定して根本的に解決することができ、遅延なく問題を解決することができます。

MTA-STSとTLS-RPTの実装と採用に関する実践的な知識を得るには、今すぐ詳細なガイドをご覧ください。

PowerDMARCでお客様のドメインにDMARCを設定し、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなどのメール認証のベスト・プラクティスを導入することができます。今すぐDMARCの無料トライアルにお申し込みください。

1982年にSMTPが初めて仕様化されたとき、SMTPにはメール転送エージェント間の通信を保護するトランスポートレベルのセキュリティを提供する仕組みはありませんでした。しかし、1999年にSMTPに追加されたSTARTTLSコマンドは、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルで暗号化されたセキュアな接続に変換する機能を提供しました。

しかし、SMTPでは暗号化はオプションであり、平文であっても電子メールの送信が可能であることを意味する。 メール転送エージェント-制限付きトランスポートセキュリティ(MTA-STSは比較的新しい規格で、メールサービスプロバイダーがSMTP接続を保護するためにTLS(Transport Layer Security)を実施したり、信頼できるサーバー証明書でTLSを提供していないMXホストへのメール配信を送信側SMTPサーバーが拒否するかどうかを指定したりすることができます。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃を軽減できることが実証されています。 SMTP TLSレポート(TLS-RPT)については、電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出するための規格です。電子メールがTLSで暗号化されていないときに発生する電子メール配信の問題の報告を可能にします。2018年9月、この規格はRFC 8460で初めて文書化されました。

なぜメールには転送時の暗号化が必要なのか?

その主な目的は、SMTP通信時のトランスポートレベルのセキュリティを向上させ、電子メールのトラフィックのプライバシーを確保することです。また、受信および送信メッセージの暗号化は、電子情報を保護するための暗号技術を用いて、情報セキュリティを強化します。 さらに、MITM(Man-In-The-Middle)やTLS Downgradeなどの暗号攻撃は、最近ではサイバー犯罪者の間で一般的になっていますが、TLSの暗号化を強制し、安全なプロトコルへのサポートを拡張することで回避することができます。

MITM攻撃はどのようにして行われるのか?

暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに依存する必要がありました。MITM攻撃者は、アップグレードコマンドを改ざんすることでSMTP接続のダウングレード攻撃を実行し、クライアントを平文でのメール送信に強制的に戻すことで、この機能を容易に悪用することができます。

通信を傍受したMITM攻撃者は、復号化された情報を容易に盗み出し、電子メールの内容にアクセスすることができます。これは、メール転送の業界標準であるSMTPがオポチュニスティック暗号を使用しているためです。オポチュニスティック暗号とは、暗号化が任意であり、電子メールを平文で配信できることを意味します。

TLSダウングレード攻撃はどのように行われるのか?

暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに依存する必要がありました。MITM攻撃者は、アップグレードコマンドを改ざんすることによってSMTP接続のダウングレード攻撃を行うことで、この機能を悪用することができます。攻撃者は、STARTTLSを、クライアントが識別できない文字列で単純に置き換えることができます。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。

つまり、ダウングレード攻撃は、MITM攻撃の一環として行われることが多く、最新バージョンのTLSプロトコルで暗号化された接続の場合には不可能な攻撃を可能にする経路を作るために、STARTTLSコマンドを置き換えたり削除したりして、通信を平文に戻すというものです。

情報セキュリティの強化や広汎なモニタリング攻撃の緩和以外にも、送信中のメッセージを暗号化することで、複数のSMTPセキュリティ問題を解決することができます。

MTA-STSによる電子メールの強制的なTLS暗号化の実現

安全な接続でメールを送信しないと、データが漏洩したり、サイバー攻撃者によって改ざんされてしまう可能性があります。ここでMTA-STSが登場してこの問題を解決し、電子メールの安全な転送を可能にするとともに、TLS暗号化を強制することで暗号攻撃を緩和し、情報セキュリティを強化することに成功しました。簡単に言うと、MTA-STSはメールをTLS暗号化経路で転送することを強制し、暗号化された接続が確立できない場合、メールは平文で配信されるのではなく、全く配信されません。さらに、MTAはMTA-STSのポリシーファイルを保存するため、攻撃者がDNSスプーフィング攻撃を仕掛けることが難しくなります。

 

MTA-STSが提供するのは、...に対する保護です。

  • ダウングレード・アタック
  • MITM(Man-In-The-Middle)攻撃
  • 期限切れのTLS証明書やセキュアなプロトコルのサポート不足など、複数のSMTPセキュリティ問題を解決します。

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダがMTA-STSをサポートしています。業界最大手のGoogleは、どのプロトコルを採用しても中心的な役割を果たします。GoogleがMTA-STSを採用したことは、安全なプロトコルへのサポートが拡大していることを示しており、転送中のメール暗号化の重要性を強調しています。

TLS-RPTによるメール配信のトラブルシューティング

SMTP TLS Reportingは、お客様のドメインに送信されたメールのうち、配信問題に直面しているものや、ダウングレード攻撃などにより配信できなかったものについて、詳細な情報を記載した診断レポート(JSONファイル形式)をドメインオーナーに提供し、お客様が問題を事前に解決できるようにします。TLS-RPTを有効にするとすぐに、acquiescent Mail Transfer Agentは、通信しているサーバー間のメール配信問題に関する診断レポートを、指定されたメールドメインに送信し始めます。レポートは通常1日1回送信され、送信者が観測したMTA-STSポリシー、トラフィック統計、およびメール配信の失敗や問題に関する情報をカバーして伝えます。

TLS-RPTを導入する必要性について :

  • 万が一、配送上の問題で受信者にメールが届かなかった場合は、お客様にお知らせします。
  • TLS-RPTは、すべてのメールチャネルの可視性を高め、配信に失敗しているメッセージを含め、ドメイン内で起こっているすべてのことをよりよく把握できるようにします。
  • TLS-RPTは、詳細な診断レポートを提供することで、メール配信の問題を特定して根本的に解決し、遅滞なく修正することができます。

MTA-STSとTLS-RPTの採用は、PowerDMARCで簡単かつスピーディに。

MTA-STSには、有効な証明書を備えたHTTPS対応のウェブサーバ、DNSレコード、および継続的なメンテナンスが必要です。PowerDMARCは、証明書やMTA-STSポリシーファイルの生成からポリシーの適用まで、これらすべてをバックグラウンドで処理することにより、プロトコルの採用に伴う非常に複雑な作業を回避することができ、お客様の生活をより快適にします。証明書やMTA-STSポリシーファイルの生成からポリシーの適用まで、完全にバックグラウンドで処理することで、お客様がプロトコルの採用に伴う非常に複雑な作業から逃れることができます。

PowerDMARCの電子メール認証サービスを利用すれば、手間をかけずにスピーディにホスト型MTA-STSを導入することができます。このサービスを利用すれば、TLS暗号化接続でドメインに電子メールを送信するように強制することができ、接続を安全にしてMITM攻撃を防ぐことができます。

PowerDMARCは、SMTP TLS Reporting (TLS-RPT)の実装プロセスを簡単かつスピーディに行うことで、お客様の生活をより快適にします。お客様がPowerDMARCにサインアップしてドメインのSMTP TLS Reportingを有効にするとすぐに、メール配信問題のレポートを含む複雑なJSONファイルを、お客様が簡単に見て理解できるようなシンプルで読みやすいドキュメント(結果ごと、送信元ごと)に変換する作業を行います。PowerDMARCのプラットフォームは、お客様が直面しているメール配信の問題を自動的に検出し、それを伝えることで、お客様はすぐに問題に対処し、解決することができます。

今すぐ登録して、無料のDMARCを手に入れよう

MTA-STS(Mail Transfer Agent-Strict Transport Security)は、メールサービスプロバイダがSMTP接続を保護するためにTLS(Transport Layer Security)を実施し、送信側SMTPサーバが信頼性の高いサーバ証明書でTLSを提供していないMXホストへのメール配信を拒否するかどうかを指定することができる新しい規格です。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃 を軽減することができることが証明されています。

MTA-STSは、簡単に言えば、SMTPメールサーバ間の接続を保護するインターネット標準です。SMTPの最も顕著な問題点は、暗号化が完全にオプションであり、メール転送中に強制されないことです。そのため、SMTPでは、平文から暗号化にアップグレードするためにSTARTTLSコマンドを採用しました。これは、パッシブな攻撃を軽減するための貴重な一歩でしたが、アクティブなネットワークを経由した攻撃やMITM攻撃への対策はまだ残っていました。

したがって、MTA-STSが解決している問題は、SMTPがオポチュニスティックな暗号化を利用していることです。つまり、暗号化された通信チャネルが確立できない場合、接続は平文に戻り、MITM攻撃やダウングレード攻撃を抑えることができます。

TLSダウングレード攻撃とは何ですか?

すでにご存じのように、SMTPには暗号化プロトコルが搭載されておらず、既存のプロトコルのセキュリティを強化するために、後からSTARTTLSコマンドを追加して暗号化を行う必要がありました。クライアントが暗号化(TLS)をサポートしている場合は、STARTTLS動詞を理解し、電子メールを送信する前にTLS交換を開始して、電子メールが確実に暗号化されるようにします。クライアントがTLSを知らない場合は、STARTTLSコマンドを単に無視して、平文でメールを送信します。

そのため、暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに頼らざるを得ませんでした。MITM攻撃者は、アップグレードコマンドを改ざんすることでSMTP接続のダウングレード攻撃を行い、この機能を容易に利用することができます。攻撃者は、STARTTLSを、クライアントが識別できないゴミのような文字列に置き換えるだけです。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。

攻撃者は通常、コマンドを捨ててしまうのではなく、同じ文字数を含むガベージストリングに置き換えます。これは、パケットサイズが保持されるため、容易になるからです。optionコマンドのガベージストリングに含まれる8文字によって、サイバー犯罪者によってTLSダウングレード攻撃が実行されたことを検知・特定し、その普及状況を測定することができます。

つまり、ダウングレード攻撃は、MITM攻撃の一環として行われることが多く、最新バージョンのTLSプロトコルで暗号化された接続の場合には不可能な暗号攻撃を可能にする経路を作るために、STARTTLSコマンドを置き換えたり削除したりして、通信を平文に戻すというものです。

クライアントからサーバへの通信にTLSを強制することは可能ですが、そのような接続では、アプリとサーバがTLSをサポートしていることがわかっています。しかし、サーバー間の通信では、レガシーサーバーからのメール送信を可能にするために、フェイルオープンを行わなければなりません。問題の本質は、相手側のサーバがTLSをサポートしているかどうかがわからないことです。MTA-STSでは、サーバがTLSをサポートしていることを示すことができるので、アップグレード交渉が行われなかった場合、フェイルクローズ(メールを送信しない)することができ、TLSダウングレード攻撃ができなくなります。

TLSレポート

MTA-STSはどのようにして救済されるのか?

MTA-STSは、EXOやExchange Onlineのメールセキュリティを高めることで機能し、SMTPセキュリティのさまざまな欠点や問題を解決する究極のソリューションです。MTA-STSは、セキュアなプロトコルのサポートがない、TLS証明書の有効期限が切れている、信頼できる第三者が発行していない証明書 があるなど、SMTPセキュリティの問題を解決します。

メールサーバーが電子メールの送信を進めていくと、SMTP接続はダウングレード攻撃やMITMなどの暗号攻撃に対して脆弱になります。ダウングレード攻撃は、STARTTLSレスポンスを削除することで、メッセージを平文で配信することができます。同様に、MITM攻撃は、安全でない接続を介してサーバー侵入者にメッセージをリダイレクトすることでも行われます。MTA-STSでは、お客様のドメインで、暗号化されたTLSでのメール送信を義務化するポリシーを公開することができます。何らかの理由で受信サーバーがSTARTTLSをサポートしていないことが判明した場合、メールは一切送信されません。これにより、TLSダウングレード攻撃を仕掛けることができなくなります。

最近では、大多数のメールサービスプロバイダーがMTA-STSを採用しています。これにより、サーバー間の接続がより安全になり、最新バージョンのTLSプロトコルで暗号化されるため、TLSダウングレード攻撃を緩和し、サーバー通信の抜け道をなくすことに成功しています。

PowerDMARCは、スピーディで簡単なMTA-STSホスティングサービスを提供します。これは、有効な証明書を備えたHTTPS対応のウェブサーバー、DNSレコード、常時メンテナンスなど、MTA-STSが導入時および導入後に必要とするすべての仕様を管理することで、お客様の生活をより快適にするものです。PowerDMARCはこれらすべてをバックグラウンドで完全に管理しますので、セットアップのお手伝いをした後は、お客様は二度と考える必要はありません。

PowerDMARCを使えば、手間をかけずにスピーディにホスト型MTA-STSを組織に導入することができます。このMTA-STSを使えば、TLS暗号化された接続でドメインにメールを送信するように強制することができ、接続を安全にしてTLSダウングレード攻撃を抑えることができます。