ポスト

なりすましについて少しお話しましょう。フィッシング」、「ビジネスメールの漏洩」、「サイバー犯罪」などの言葉を聞いて、真っ先に頭に浮かぶのは何でしょうか?ほとんどの人は、メールセキュリティに関することを思い浮かべるでしょうし、あなたもそうかもしれません。先ほど挙げた言葉は、いずれもサイバー攻撃の一種であり、犯罪者がソーシャルエンジニアリングなどの手法を用いて機密情報や金銭にアクセスするものです。もちろん、それは悪いことであり、組織はそれから身を守るためにできる限りのことをすべきです。

しかし、これにはもう一つの側面があります。それは、一部の組織が単に考慮していないだけで、彼らにとっては同様に重要なことなのです。フィッシングは、データやお金を失うリスクが高いだけでなく、ブランドも同様に大きな損失を被る可能性があります。実際、その確率は63%にも上ります。これは、消費者がたった一度でも満足できない経験をすると、そのブランドの買い物をやめてしまう可能性があるということです。

フィッシングメールはブランドにどのような影響を与えるか?

フィッシングによって組織のシステムがどのように危険にさらされるかを理解することは非常に簡単です。しかし、1つのサイバー攻撃がもたらす長期的な影響については、あまり知られていません。そうではありません。

こんな風に考えてみてください。ほとんどの場合、メールをチェックしているユーザーは、自分が知っていて信頼している人やブランドからのメールをクリックしようとするはずです。そのメールが十分にリアルであれば、ユーザーは偽物とそうでないものの違いに気づかないでしょう。そのメールには、ユーザー名とパスワードを入力する、組織のログインポータルにそっくりなページへのリンクが貼られているかもしれません。

その後、自分のクレジットカード情報や住所が世間に流出したと聞けば、あなたの組織以外に頼るところはありません。結局のところ、災害を引き起こしたのは「あなたのメール」であり、あなたのセキュリティの欠如なのです。自分の顧客が自分のブランドとその信頼性を完全に失ってしまうと、ブランドの光学的な面で大きな問題を引き起こすことになります。あなたはハッキングされただけの会社ではなく、あなたが送ったメールによってデータが盗まれるのを許した会社なのです。

これが長期的に見て、貴社の収益に深刻な打撃を与えることは想像に難くありません。特に、新規の潜在的な顧客が、貴社の電子メールの被害者になることを恐れて敬遠する場合はなおさらです。サイバー犯罪者は、お客様のブランドに対する信頼と忠誠心を奪い、それを積極的に利用するのです。これこそが、ビジネス電子メール侵害(BEC)を単なる技術的なセキュリティ問題に終わらせない理由なのです。

最も打撃を受けた産業は何か?

製薬会社は、フィッシングやサイバー攻撃の標的となる頻度が最も高い企業の一つです。フォーチュン500社の製薬会社を対象とした調査によると、2018年の最後の3カ月だけで、各企業は平均して71件のメール詐欺攻撃に直面しました。それは、製薬会社が新しい化学物質や医薬品に関する貴重な知的財産を保有しているからです。攻撃者がこの情報を盗むことができれば、ブラックマーケットで売って高額な利益を得ることができます。

また、建設会社や不動産会社も同様です。特に金融サービス企業や金融機関は、慎重に計画されたビジネスやVEC(Vendor Email Compromise)攻撃 によって、機密データや多額の資金が盗まれるという脅威に常にさらされています。

これらの業界はすべて、お客さまがブランドを信頼してくれることで大きな利益を得ており、ブランドとの関係は企業とのビジネスにも直接影響します。もし消費者が、その企業が自分のデータやお金、その他の資産を安全に守る能力がないと感じたら、そのブランドにとっては不利益となり、時には取り返しのつかないことになるでしょう。

業界別のメールセキュリティについては、こちらをご覧ください。

ブランドを守るには?

マーケティングとは、ブランドイメージを構築し、オーディエンスの記憶に残るだけでなく、品質や信頼性を連想させるようなものにすることです。そのための第一歩がドメインの確保なのです。

サイバー犯罪者は、組織のドメインを偽装し、ブランドを装うことで、無防備なユーザーにメールを送信する際、あたかもあなたからのメールであるかのように見せかけます。どのメールが本物で、どのメールがそうでないかをユーザーが識別することを期待するのではなく(特に素人にはほとんど不可能です)、ユーザーの受信箱にこれらのメールが完全に入らないようにすることができます。

DMARCは、受信側のメールサーバーにとって取扱説明書のような役割を果たすメール認証プロトコルです。あなたのドメインからメールが送信されるたびに、受信側のメールサーバーは、あなたのDMARCレコード(あなたのDNS上で公開されている)をチェックし、メールを検証します。そのメールが正当なものであれば、DMARC認証を「パス」して、ユーザーの受信箱に届けられます。

未承認の送信者からのメールであれば、DMARCポリシーに応じて、そのメールは直接スパムに送られるか、あるいは完全にブロックされてしまいます。

DMARCの仕組みについてはこちらをご覧ください。

DMARCは、あなたのドメインから発信されるすべてのスパムメールをほぼ完全に排除することができます。なぜなら、偽のメールがあなたのドメインを出るときにブロックするのではなく、メールが受信者のサーバーに到着したときに真正性をチェックするからです。

すでにDMARCを導入していて、さらにブランドセキュリティを強化する方法を探しているなら、BIMI(Brand Indicators for Message Identification)があります。この新しいメールセキュリティ規格は、DMARCによって認証された自社ドメインからのすべてのメールの横に、ブランドのロゴを貼り付けるものです。

あなたが送ったメールを見た顧客は、あなたのロゴとあなたのブランドを結びつけ、ブランド想起度を高めます。そして、あなたのロゴを見たお客様は、あなたのロゴが付いたメールだけを信用するようになります。

BIMIの詳細はこちら 

Gartner社によると、DMARCはセキュリティプロジェクトのトップ10に入っています。私たちのように長い間、サイバーセキュリティの分野に携わっていると、組織がセキュリティの目的をどのように捉えているかというパターンに気付き始めます。多くの人は、サイバーセキュリティ対策を、実際にデジタルプロセスを保護するためのものではなく、コンプライアンス基準を満たすためのものと考えています。これはかなり近視眼的な見方であり、セキュリティが持つ現実的な有用性を正しく伝えることができません。

ガートナー社が最近発表した記事では、2020年から2021年にかけてのセキュリティプロジェクトのトップ10を挙げています。セキュリティとリスク管理のリーダーによると、これらは、組織がブランドに対するリスクを軽減するだけでなく、実際にビジネス価値を押し上げるための最も重要な戦略であるという。"重要なのは、ビジネスイネーブルメントとリスクの低減を優先し、その優先順位をビジネスに効果的に伝えることです。" と、Kasey Panettaは書いています。

中でもDMARCは、企業がビジネスに活用できる最も重要なセキュリティ対策の一つとして挙げられています。では、それは具体的にどのように機能するのでしょうか?長期的に見て、ビジネスの価値をどのように向上させることができるのでしょうか?それを見てみましょう。

DMARCはメールだけではありません

確かに、技術的な話をするならば、そうですね。DMARCは、受信サーバーが、あなたのドメインから送信された偽装メールを排除するためのメール認証プロトコルです。しかし、DMARCが適切に実装されていれば、ブランドはデジタルコミュニケーションを通じて信頼性、信用性、信憑性を構築するためのツールとなります。また、ブランドが伝えようとしているブランドメッセージが、なりすまし行為によって薄まったり、弱まったりしないようにするための手段でもあります。

一般のユーザーにとって、なりすましメールを見分けるのは非常に困難です。というのも、メールの見た目は何の変哲もないものだからです。何千ものアカウントが危険にさらされたOffice 365の大規模なフィッシング詐欺のように、顧客にオンラインサービスにログインして情報を更新するよう求めるだけの単純なものもあります。あるいは、2019年のSilent Starling攻撃のように、複雑で慎重に仕組まれたものもあります。

DMARC保護は、顧客の受信箱からスパムメールを排除するだけではありません。それは、顧客があなたのメールを見たときに、自信を持ってクリックすることができるようにするための方法です。メール認証は、配信率の向上などの測定可能な利益をもたらすだけでなく、グラフ上の数字以上の現実的な利益を貴社ブランドにもたらします。

ビジネスにおけるDMARCの5つのメリット|Gartner DMARC

1.インフォメーション

これは、DMARCの最も具体的で測定可能なメリットであり、DMARCレポートという形で提供されます。DMARCを設定すると、どのメールがSPF、DKIM、DMARCに失敗したかのレポートをメールで受け取ることができるようになります。

また、送信者のIPアドレスなど、他の有用な情報も提供されるので、相手が認証された送信者であるかどうかを確認することができます。配信力に影響する認証メールの割合を確認できるほか、不審な動きがあった場合には、各IPが何通のメールを送信しているかを確認することもできます。

2.コントロール

情報があれば、コントロールすることもできます。DMARCに起因する配信問題が発生しているかどうかを確認することができます。その場合、問題を修正するためにすぐに行動を起こし、メールの配信能力を高めることができます。

さらに、ドメインを偽装した不正なIPを発見した場合は、そのIPのホスティングプロバイダーに連絡して削除てもらい、脅威を排除することもできます。コミュニケーションチャネルをコントロールすることは、ブランドのコントロールを取り戻すことでもあります。

3.セキュリティ

DMARCは、電子メールの送信者と受信者をフィッシングの危険から守ることを目的として作られているので、これはDMARCの最も明白な利点である。DMARCを使用すると、セキュリティ上の利点は2つあり、スタッフと顧客の両方がスパムから保護されます。

上司やCEOになりすました攻撃者は、従業員にフィッシングメールを送り、お金を振り込ませたり、機密データにアクセスさせたりします。また、ブランドになりすまして、顧客や一般の人々に偽のメールを送信するケースもあります。

どちらのシナリオでも、メールが未承認のソースから来た場合、DMARCがそれを特定し、100%DMARCを施行している場合は、そのメールは自動的に拒否されます。

4.視認性

DMARCは、BIMI(Brand Indicators for Message Identification)の使用を可能にします。このプロトコルは、あなたが送信するすべてのメールの横に、あなたのブランドのロゴを添付します。あなたのメールがDMARCによって検証されると、ユーザーは受信箱にあなたのロゴを見ることができます。

これには2つの理由があります。1つはブランドの認知度、もう1つはお客様の信頼度です。定期的にロゴを目にすることで、ユーザーはブランドを認識し、親しみを感じるようになるだけでなく、ロゴが隣に表示されたメールだけが本物であることを知ることができます。

5.納入可能性

DMARCを導入すると、メールサービスプロバイダーに、あなたが一般的なドメインよりも高いレベルのセキュリティを使用していることを伝えることができます。これにより、プロバイダーからのドメインの評価が高まり、本物の認証済みメールが誤ってスパムとしてマークされる可能性が低くなります。

より多くのメールがお客様の受信箱に届くことで、クリック数やエンゲージメントが向上します。これは決して悪いことではありませんよね?

DMARCジャーニーは、お客様の電子メールの使用パターンのあらゆる側面を調べる、慎重に調整されたプロセスです。慎重なモニタリングと分析により、わずか2週間でDMARCをゼロから100%施行することができます。その方法は次のとおりです。

 

今すぐご連絡いただき、詳細をご確認いただくか、無料トライアルを開始していただくことで、DMARC施行への迅速な道筋をご提供いたします。

 

DMARC UKプロバイダー

PowerDMARCは、UK Crown Commercial ServicesのG-Cloud 12フレームワークに参加したことを誇りに思っています。

英国政府のDigital Marketplaceは、様々なデジタルイニシアチブのためのサービス、人材、技術を探している公共機関のためのオンラインサービスです。英国の公共機関がクラウドテクノロジーのソリューションを見つけて利用することを、より簡単に、よりコスト効率よくすることを目的に作られました。

DMARC UKのSaaSプロバイダーとして

当社は、DMARC認証およびサイバーセキュリティサービスのサプライヤーとして、G-Cloudフレームワークの一部となり、G-CloudのSaaS(Software-as-a-Service)カテゴリに掲載されます。デジタルマーケットプレイスへのリンク用のセクションを追加します。

G-Cloud 12のフレームワークについてはこちらをご覧ください。

https://www.digitalmarketplace.service.gov.uk/buyers/direct-award/g-cloud/start

https://www.digitalmarketplace.service.gov.uk/g-cloud/services/124488964256084

イギリスのDMARC Analyzer Tool Monitoring Serviceのプロバイダーであることを誇りに思います。

PowerDMARCは、フランスでDMARCサービスを拡張しています。

米国デラウェア州を拠点とするDMARCおよびサイバーセキュリティサービスプロバイダーであるPowerDMARC社は、パリで活動するフランスのITソリューションディストリビューターであるConfig社との最新のパートナーシップを発表しました。フランスのITセキュリティとネットワークサービスの主要企業であるConfig社は、電子メールのセキュリティと認証の分野への拡大を目指しており、フランスで最高のDMARCサービスを求めています。

"PowerDMARCの共同設立者兼CEOのFaisal Al Farsiは、「コンフィグは、ヨーロッパにおける当社の最初の主要な販売代理店の一つです。"フランスはサイバー空間における技術のパイオニアとして非常に先進的な国であるため、成長中の電子メール認証プラットフォームである当社にとって大きな一歩となりました。フランスで事業を拡大し、ヨーロッパ全体でDMARCの採用が進むことをとても楽しみにしています」と述べています。

過去20年間、コンフィグはフランスのITソリューションとセキュリティの成長に貢献してきました。彼らは、ネットワークシステムやサーバーなどのセキュリティを彼らの専門知識に頼っている多くの確立された顧客を誇っています。彼らの特徴の一つは、顧客のニーズに合わせたテーラーメイドのサービスを提供し、セキュリティインシデントに迅速かつ効果的に対応できることです。 

今回の戦略的パートナーシップにより、コンフィグはフランスでのDMARC認証サービスの普及を目指し、先進的なPowerDMARC技術の主要な販売代理店としての地位を確保したいと考えています。同社の幅広いソリューションにPowerDMARCソリューションを加え、フランスでDMARCサービスを実施することで、なりすまし攻撃や電子メールの危険性から企業のブランドを守るために、大小さまざまな企業にインパクトを与えることが期待されています。

Config社の創業者兼CEOであるZouhir El Kamel氏は、今回の新しいパートナーシップについて次のように述べています。"彼は、「カバーすべき領域がたくさんあります。"フランスの企業がDMARC認証の重要性を認識し始めたのは、ここ数年のことです。私たちは、フランス、スイス、モロッコ、アフリカですでに確立された事業基盤を持っており、これらの国々の企業が必要とするセキュリティを得るための支援をするのに適した立場にあります。PowerDMARCのプラットフォームを利用することで、私たちは変化をもたらすことができると確信しています」と述べています。


コンフィグ (www.config.fr)は、1000人以上のインテグレーター、エディター、リセラーが、以下のエコシステムで流通しているソリューションを販売するための付加価値のあるディストリビューターです。

Vidéoprotection Config社のセキュリティおよびサイバーセキュリティネットワーク、ストレージの仮想化およびクラウドソリューションは、リードジェネレーションを促進する革新的なマーケティング活動、技術トレーニングや認証(ATC認定センター)を通じたスキルの向上、サプライヤーやパートナーの活動を発展させる多くの差別化サービスにより、パートナーにカスタムメイドのサポートを提供しています。

コンフィグはフランスのパリに本社を置き、現在120人以上の従業員と複数の子会社(スイス、モロッコ、チュニジア、アルジェリア、セネガル、コートジボワール、サブサハラアフリカ)を抱えています。

 

DMARCの神話を打ち破る

多くの人にとって、DMARCが何をするものなのか、また、DMARCがどのようにドメインの偽装、なりすまし、詐欺を防ぐのか、すぐにはわかりません。そのため、DMARC、電子メール認証の仕組み、そしてなぜそれが良いのかについて、重大な誤解が生じている可能性があります。しかし、何が正しくて何が間違っているのかをどうやって知ることができるでしょうか?また、正しく実装されていることを確認するにはどうすればよいのでしょうか? 

PowerDMARCが救いの手を差し伸べますDMARCへの理解を深めていただくために、DMARCに関する最も一般的な誤解のトップ6をまとめてみました。

DMARCに関する誤解

1.DMARCはスパムフィルターと同じ

これは、DMARCについて最も多くの人が勘違いしていることのひとつです。スパムフィルターは、受信箱に届けられる受信メールをブロックします。これらのメールは、あなたのドメインだけでなく、誰のドメインからも送信された疑わしいメールである可能性があります。一方、DMARCは、受信側のメールサーバーに、あなたのドメインから送信された送信メールをどのように処理するかを伝えます。Microsoft Office 365ATPのようなスパムフィルターでは、このようなサイバー攻撃を防ぐことはできません。あなたのドメインがDMARCに対応していて、メールが認証に失敗した場合、受信側のサーバーはそのメールを拒否します。

2.一度DMARCを設定すれば、あなたのメールは永遠に安全です

DMARCは、世界で最も先進的な電子メール認証プロトコルの1つですが、だからといって完全に自己完結しているわけではありません。DMARCレポートを定期的に監視し、許可された送信元からのメールが拒否されていないことを確認する必要があります。さらに重要なことは、あなたのドメインを悪用している不正な送信者をチェックすることです。あなたのメールを偽装しようと何度も試みるIPアドレスを見つけたら、すぐに行動を起こし、ブラックリストに載せるか、削除する必要があります。

3.DMARCによってメールの配信能力が低下するのではないか

DMARCを設定する際には、まずポリシーをp=noneに設定することが重要です。これにより、すべてのメールは配信されますが、認証に成功したか失敗したかについてのDMARCレポートを受け取ることができます。この監視期間中に、自分のメールがDMARCに失敗しているのを確認したら、問題を解決するために行動を起こすことができます。認証されたすべてのメールが正しく検証されたら、p=quarantineまたはp=rejectのポリシーでDMARCを施行することができます。

4.DMARCを強制する必要はない(p=noneで十分です

DMARCを施行せずに設定した場合(p=noneのポリシー)、DMARCに失敗したメールを含めて、ドメインからのすべてのメールが配信されます。DMARCレポートを受信しても、なりすましからドメインを保護することはできません。最初の監視期間(上述)の後は、ポリシーをp=quarantineまたはp=rejectに設定し、DMARCを施行することが絶対に必要です。

5.DMARCが必要なのは大手ブランドだけ

多くの中小企業は、DMARC保護を必要とするのは、認知度の高い大手ブランドだけだと考えています。実際には、サイバー犯罪者は、あらゆるビジネスドメインを使って、なりすまし攻撃を仕掛けてきます。多くの中小企業は、一般的に専任のサイバーセキュリティチームを持っていないため、攻撃者が中小企業を標的にすることがより容易になっています。ドメイン名を持つすべての組織には、DMARC保護が必要であることを忘れないでください。

6.DMARCレポートは読みやすい

多くの組織がDMARCを導入し、レポートを自分のメールボックスに送信しているのを目にします。この場合の問題点は、DMARCレポートがXMLファイル形式で提供されていることで、慣れていないと読むのが非常に難しいことです。専用のDMARCプラットフォームを使用すると、セットアッププロセスが非常に簡単になるだけでなく、PowerDMARCは複雑なXMLファイルを、グラフやチャート、詳細な統計情報を含む読みやすいレポートに変換することができます。

 

ニュージーランドの上位200社の企業や政府機関は、DMARCコンプライアンスの問題に直面しており、世界で36番目に位置しています。

近年、世界の多くの主要国では、フィッシング攻撃を防ぐためのメールセキュリティの重要性が認識され始めています。このようにサイバーセキュリティの手法が急速に変化する中、ニュージーランドでは、世界のセキュリティトレンドに対する認識レベルや対応が遅れていると言われています。

私たちは、官民合わせて332の組織のドメインを調査しました。調査したドメインの中には

  • デロイト・トップ200リスト(2019年
  • ニュージーランドのトップエネルギー企業
  • 通信事業者トップ
  • NZ登録銀行
  • ニュージーランド政府(クラウンエンティティを除く)。

公開されているDNSレコードを調査し、SPFとDMARCのステータスに関するデータを収集することで、ニュージーランドの主要な組織がなりすましに対してどれだけ保護されているかというデータを収集することができました。これらの数値の詳細については、調査結果をダウンロードしてご覧ください。

  • ドメインのなりすましを阻止するために必要な検疫または拒否のレベルでDMARCを施行していたのは、11%にあたる37ドメインのみでした。
  • 政府系ドメインのうち、どのレベルでもDMARCを正しく実装していたのは30%未満でした。
  • 観測された組織の14%が無効なSPFレコードを、4%が無効なDMARCレコードを持っていました。その多くはレコードにエラーがあり、中には同じドメインに対して複数のSPFレコードとDMARCレコードを持っているものもありました。

今回の調査では、ニュージーランドの企業がDMARCを効果的に導入する際に直面する最大のハードルを徹底的に調査しています。