ポスト

ドメイン所有者は、ドメインやブランド名を利用して悪質な活動を行う、ドメイン・スプーフィング攻撃やフィッシング攻撃を仕掛ける脅威に常に注意する必要があります。どのようなメール交換ソリューションを使用していても、ブランドの信頼性を確保し、尊敬する顧客層からの信頼を維持するためには、なりすましや偽装からドメインを保護することが不可欠です。このブログでは、Office 365ユーザー向けにDMARCレコードを設定する手順をご紹介します。

最近では、多くの企業が、効果的で堅牢なクラウドベースのプラットフォームやOffice 365などのホスティングされた電子メール交換ソリューションを使用する方向にシフトしています。その結果、サイバー犯罪者は、プラットフォームに統合されたセキュリティソリューションを巧みに操り、電子メール詐欺を行う悪質な技術をアップグレードしてきました。このような理由から、マイクロソフト社はDMARCのような電子メール認証プロトコルのサポートをすべての電子メールプラットフォームに拡大しました。しかし、DMARCの利点を十分に活用するためには、Office 365にDMARCを正しく実装する方法を知っておく必要があります。

なぜDMARCなのか?

最初の疑問は、偽の電子メールをブロックするためのアンチスパム・ソリューションや電子メール・セキュリティ・ゲートウェイがすでにOffice 365スイートに統合されているのに、なぜ認証にDMARCを必要とするのかということです。これは、これらのソリューションが、あなたのドメインに送信されたインバウンドのフィッシングメールを特に保護する一方で、DMARC認証プロトコルは、ドメイン所有者に、認証チェックに失敗したあなたのドメインから送信されたメールにどのように対応するかを受信側のメールサーバーに指定する権限を与えるからです。

DMARCは、SPFとDKIMという2つの標準的な認証方法を利用して、電子メールの真正性を検証します。ポリシーを設定して実施することで、DMARCはなりすまし攻撃やダイレクトドメインスプーフィングに対して高いレベルの保護を提供することができます。

Office 365を使用する際に、本当にDMARCが必要なのか?

企業の間では、「Office 365ソリューションを持っていれば、スパムやフィッシング攻撃からの安全性が確保できる」という誤解がよくあります。しかし、2020年5月、Office 365を利用している中東の保険会社数社を狙った一連のフィッシング攻撃により、多額のデータが失われ、かつてないほどのセキュリティ侵害が発生しました。このように、マイクロソフトの統合されたセキュリティソリューションに頼るだけで、ドメインを保護するための外部からの取り組みを行わないことは、大きな過ちとなり得るのです

Office 365の統合されたセキュリティソリューションは、インバウンドのセキュリティ上の脅威やフィッシング対策を提供しますが、自社ドメインから送信されたアウトバウンドメッセージが顧客やパートナーの受信箱に届く前に、効果的に認証されているかどうかを確認する必要があります。そこで登場するのがDMARCです。

DMARCによるOffice 365のなりすましと偽装の防止

Office 365に付属するセキュリティソリューションは、スパムフィルターとして機能しますが、ドメインをなりすましから保護することはできず、DMARCの必要性が強調されています。DMARCは、お客様のドメインのDNSにDNS TXTレコードとして存在します。お客様のドメインにDMARCを設定するには、次のことが必要です。

ステップ1ドメインの有効なメールソースを特定する
ステップ2ドメインにSPFを設定します。
ステップ3:DKIMを設定する
ステップ4 ドメインのDNSにDMARC TXTレコードを発行します。

PowerDMARCの無料DMARCレコードジェネレーターを使えば、正しい構文のレコードを即座に生成してDNSで公開し、ドメインにDMARCを設定することができます。ただし、なりすまし攻撃やドメインの不正使用を効果的に軽減できるのは、拒否という実施ポリシーだけであることに注意してください。

しかし、DMARCレコードの公開だけで十分なのでしょうか?答えは、「ノー」です。ここからは、最後の最後、DMARCのレポートとモニタリングについて説明します。

Microsoft Office365を利用する上でPowerDMARCが必要な5つの理由

Microsoft Office 365は、クラウドベースのサービスやソリューションを提供するとともに、スパム対策フィルターが組み込まれています。しかし、様々な利点がある一方で、セキュリティの観点から見ると、以下のような欠点があります。

  • 自身のドメインから送信されたアウトバウンドメッセージを検証するソリューションがない
  • 認証チェックに失敗したメールを報告する仕組みがない
  • メールエコシステムを可視化できない
  • インバウンドとアウトバウンドのメールフローを管理・監視するダッシュボードがない
  • SPFレコードが常に10ルックアップ制限以下であることを保証する仕組みがない

PowerDMARCによるDMARCレポートとモニタリング

PowerDMARCは、Office 365とシームレスに統合し、BECやダイレクトドメインスプーフィングのような高度なソーシャルエンジニアリング攻撃から保護する高度な認証ソリューションをドメインオーナーに提供します。PowerDMARCは、メール認証のベストプラクティス(SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMI)を統合するだけでなく、メールエコシステムを完全に可視化する広範で詳細なDMARCレポートメカニズムを提供するマルチテナント型のSaaSプラットフォームです。PowerDMARCダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます。

  • 集計レポート
  • フォレンジックレポート

私たちは、業界の様々な問題を解決することで、お客様の認証体験をより良いものにするよう努めてきました。PowerDMARCは、DMARCフォレンジックレポートを確実に暗号化するだけでなく、7つの異なるビューで集計レポートを表示し、ユーザーエクスペリエンスを向上させ、わかりやすくします。PowerDMARCは、メールの流れや認証の失敗を監視し、世界中の悪意のあるIPアドレスをブラックリストに登録するのに役立ちます。当社のDMARCアナライザーツールは、お客様のドメインに対してDMARCを正しく設定し、監視から実施へとあっという間に移行するのに役立ちます。

 

電子メールは、非常に簡単に悪用できるため、サイバー犯罪者が着手する際の最初の選択肢となることがよくあります。処理能力が必要なブルートフォース攻撃や、高度なスキルを必要とする巧妙な手法とは異なり、ドメイン・スプーフィングは、他人のふりをしてメールを書くだけの簡単なものです。多くの場合、その「誰か」とは、人々が仕事をする上で依存している主要なソフトウェアサービスプラットフォームです。

2020年4月15日から30日の間に、PowerDMARCのセキュリティアナリストが、中東の大手保険会社をターゲットにした新しいフィッシングメールの波を発見しました。この攻撃は、Covid-19危機の際に増加したフィッシングやスプーフィングの事例の中の一つに過ぎませんでした。2020年2月には、別の大規模なフィッシング詐欺が、世界保健機関になりすまして、コロナウイルス救済のための寄付を求めるメールを何千人もの人々に送信するという事態にまで発展しました。

最近の一連の事件では、マイクロソフト社のOffice 365サービスのユーザーが、ユーザーアカウントのステータスに関する定期的な更新メールと思われるものを受け取りました。これらのメールは、組織独自のドメインから送信されており、パスワードのリセットや保留中の通知を表示するためのリンクのクリックをユーザーに要求していました。

私たちが観察した、使用されているメールタイトルの一部をまとめました。

  • Microsoftアカウントの異常なサインイン活動
  • あなたの e-Mail [email protected]* Portal には、配信待ちのメッセージが 3 件あります。
  • [email protected] 保留中のMicrosoft Office UNSYNCメッセージがあります。
  • リ・アクティベーション・サマリー通知 [email protected]

ユーザーのプライバシーのために、アカウントの詳細は変更されています。

また、保険会社に送信されたなりすましメールに使用されているメールヘッダーのサンプルもご覧いただけます。

Received: from [malicious_ip] (helo=malicious_domain)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Received: from [xxxx] (port=58502 helo=xxxxx)

によるマリシャスドメインesmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

からです。"マイクロソフトアカウントチーム" 

宛先 [email protected]

件名マイクロソフトオフィスのお知らせ [email protected] on 4/1/2020 23:46

日付:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″ (日本語)

Content-Transfer-Encoding: quoted-printable

X-AntiAbuseこのヘッダは不正行為を追跡するために追加されたもので、不正行為の報告にはこのヘッダを含めてください。

X-AntiAbuseプライマリホスト名 - malicious_domain

X-AntiAbuse:オリジナルのドメイン - domain.com

X-AntiAbuse:オリジネーター/コーラーのUID/GID - [47 12] / [47 12] 。

X-AntiAbuse送信者アドレス ドメイン - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Sourceです。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.comのドメインが指定されていない) malicious_ip_address を許可された送信者として指定していない) client-ip=malicious_ip_address ; エンベロープ-from=[email protected]; helo=malicious_domain;

X-SPF-Result: domain.comのドメインが指定されていません。 悪質なIPアドレス を許可された送信者として指定していません。

X-Sender-WarningリバースDNSルックアップが 悪意のあるIPアドレス と表示されました(失敗)。

X-DKIM-Status: none / / ドメイン.com / / /

X-DKIM-Status: pass / / マリシャスドメイン / malicious_domain/ / デフォルト

 

当社のセキュリティオペレーションセンターは、メールのリンク先を追跡したところ、Microsoft Office 365のユーザーを対象としたフィッシングURLであることがわかりました。このURLは、世界のさまざまな場所にある危険なサイトにリダイレクトされていました。

これらのメールのタイトルを見ただけでは、組織のドメインを詐称して送信されたものだとはわからないでしょう。私たちは、Office 365のようなオンラインサービスへのサインインを促す、仕事やアカウントに関連したメールを継続的に受け取ることに慣れています。ドメイン偽装は、そのような状況を利用して、偽の悪質なメールを本物のメールと見分けがつかないようにします。信頼できる送信元からのメールであるかどうかは、そのメールを徹底的に分析しない限り、事実上知ることはできません。しかし、毎日何十通ものメールが送られてくる中で、すべてのメールを精査する時間はありません。唯一の解決策は、あなたのドメインから送信されたすべてのメールをチェックし、認証されていない誰かが送ったメールだけをブロックするような認証メカニズムを採用することです。

その認証機構はDMARCと呼ばれています。そして、私たちPowerDMARCは、メールセキュリティソリューションを提供する世界有数の企業として、組織のドメインを保護することの重要性を理解していただくことを使命としています。あなた自身のためだけではなく、あなたが安全で信頼できるメールを毎回受信箱に届けてくれると信頼し、依存しているすべての人のために。

なりすましのリスクについてはこちらをご覧ください: https://powerdmarc.com/stop-email-spoofing/

なりすましからドメインを保護し、ブランド力を高める方法については、こちらをご覧ください: https://powerdmarc.com/what-is-dmarc/