ポスト

DMARCの神話を打ち破る

多くの人にとって、DMARCが何をするものなのか、また、DMARCがどのようにドメインの偽装、なりすまし、詐欺を防ぐのか、すぐにはわかりません。そのため、DMARC、電子メール認証の仕組み、そしてなぜそれが良いのかについて、重大な誤解が生じている可能性があります。しかし、何が正しくて何が間違っているのかをどうやって知ることができるでしょうか?また、正しく実装されていることを確認するにはどうすればよいのでしょうか? 

PowerDMARCが救いの手を差し伸べますDMARCへの理解を深めていただくために、DMARCに関する最も一般的な誤解のトップ6をまとめてみました。

DMARCに関する誤解

1.DMARCはスパムフィルターと同じ

これは、DMARCについて最も多くの人が勘違いしていることのひとつです。スパムフィルターは、受信箱に届けられる受信メールをブロックします。これらのメールは、あなたのドメインだけでなく、誰のドメインからも送信された疑わしいメールである可能性があります。一方、DMARCは、受信側のメールサーバーに、あなたのドメインから送信された送信メールをどのように処理するかを伝えます。Microsoft Office 365ATPのようなスパムフィルターでは、このようなサイバー攻撃を防ぐことはできません。あなたのドメインがDMARCに対応していて、メールが認証に失敗した場合、受信側のサーバーはそのメールを拒否します。

2.一度DMARCを設定すれば、あなたのメールは永遠に安全です

DMARCは、世界で最も先進的な電子メール認証プロトコルの1つですが、だからといって完全に自己完結しているわけではありません。DMARCレポートを定期的に監視し、許可された送信元からのメールが拒否されていないことを確認する必要があります。さらに重要なことは、あなたのドメインを悪用している不正な送信者をチェックすることです。あなたのメールを偽装しようと何度も試みるIPアドレスを見つけたら、すぐに行動を起こし、ブラックリストに載せるか、削除する必要があります。

3.DMARCによってメールの配信能力が低下するのではないか

DMARCを設定する際には、まずポリシーをp=noneに設定することが重要です。これにより、すべてのメールは配信されますが、認証に成功したか失敗したかについてのDMARCレポートを受け取ることができます。この監視期間中に、自分のメールがDMARCに失敗しているのを確認したら、問題を解決するために行動を起こすことができます。認証されたすべてのメールが正しく検証されたら、p=quarantineまたはp=rejectのポリシーでDMARCを施行することができます。

4.DMARCを強制する必要はない(p=noneで十分です

DMARCを施行せずに設定した場合(p=noneのポリシー)、DMARCに失敗したメールを含めて、ドメインからのすべてのメールが配信されます。DMARCレポートを受信しても、なりすましからドメインを保護することはできません。最初の監視期間(上述)の後は、ポリシーをp=quarantineまたはp=rejectに設定し、DMARCを施行することが絶対に必要です。

5.DMARCが必要なのは大手ブランドだけ

多くの中小企業は、DMARC保護を必要とするのは、認知度の高い大手ブランドだけだと考えています。実際には、サイバー犯罪者は、あらゆるビジネスドメインを使って、なりすまし攻撃を仕掛けてきます。多くの中小企業は、一般的に専任のサイバーセキュリティチームを持っていないため、攻撃者が中小企業を標的にすることがより容易になっています。ドメイン名を持つすべての組織には、DMARC保護が必要であることを忘れないでください。

6.DMARCレポートは読みやすい

多くの組織がDMARCを導入し、レポートを自分のメールボックスに送信しているのを目にします。この場合の問題点は、DMARCレポートがXMLファイル形式で提供されていることで、慣れていないと読むのが非常に難しいことです。専用のDMARCプラットフォームを使用すると、セットアッププロセスが非常に簡単になるだけでなく、PowerDMARCは複雑なXMLファイルを、グラフやチャート、詳細な統計情報を含む読みやすいレポートに変換することができます。

 

ニュージーランドの上位200社の企業や政府機関は、DMARCコンプライアンスの問題に直面しており、世界で36番目に位置しています。

近年、世界の多くの主要国では、フィッシング攻撃を防ぐためのメールセキュリティの重要性が認識され始めています。このようにサイバーセキュリティの手法が急速に変化する中、ニュージーランドでは、世界のセキュリティトレンドに対する認識レベルや対応が遅れていると言われています。

私たちは、官民合わせて332の組織のドメインを調査しました。調査したドメインの中には

  • デロイト・トップ200リスト(2019年
  • ニュージーランドのトップエネルギー企業
  • 通信事業者トップ
  • NZ登録銀行
  • ニュージーランド政府(クラウンエンティティを除く)。

公開されているDNSレコードを調査し、SPFとDMARCのステータスに関するデータを収集することで、ニュージーランドの主要な組織がなりすましに対してどれだけ保護されているかというデータを収集することができました。これらの数値の詳細については、調査結果をダウンロードしてご覧ください。

  • ドメインのなりすましを阻止するために必要な検疫または拒否のレベルでDMARCを施行していたのは、11%にあたる37ドメインのみでした。
  • 政府系ドメインのうち、どのレベルでもDMARCを正しく実装していたのは30%未満でした。
  • 観測された組織の14%が無効なSPFレコードを、4%が無効なDMARCレコードを持っていました。その多くはレコードにエラーがあり、中には同じドメインに対して複数のSPFレコードとDMARCレコードを持っているものもありました。

今回の調査では、ニュージーランドの企業がDMARCを効果的に導入する際に直面する最大のハードルを徹底的に調査しています。

 

データを失うリスクを負う最も簡単な方法の1つは、電子メールを使うことです。真面目な話、メールによるフィッシング詐欺でデータ漏洩やハッキングに遭う企業の数は驚くほど多いのです。では、なぜ私たちはまだメールを使っているのでしょうか?同じ役割を果たす、より安全な通信手段を使えばいいのではないでしょうか。

それは、電子メールが非常に便利で、誰もが利用しているからです。世の中のほとんどの組織が、コミュニケーションやマーケティングのためにメールを使用しています。電子メールはビジネスに欠かせないものなのです。しかし、電子メールの最大の欠点は、避けて通れないものです。人はメールを開くと、内容を読み、リンクをクリックし、さらには個人情報を入力します。そして、すべてのメールを注意深くチェックする時間も能力もないため、その中の1通がフィッシング攻撃である可能性もあるのです。

攻撃者は、信頼できる有名ブランドになりすまして、無防備な個人にメールを送ります。これを「ドメイン・スプーフィング」と呼びます。受信者は、メールを本物と信じて悪意のあるリンクをクリックしたり、ログイン情報を入力したりして、攻撃者の思うつぼとなります。このようなフィッシングメールが人々の受信箱に入り続ける限り、電子メールを完全に安全に使用することはできません。

DMARCはどのようにメールを安全にするのか?

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、ドメイン偽装を防止するために設計された電子メール認証プロトコルです。DMARCは、SPFとDKIMという2つの既存のセキュリティプロトコルを用いて、不正なメールの受信からユーザーを保護する。組織が自分のドメインを使って電子メールを送信すると、受信側の電子メールサーバーは、そのDNSにDMARCレコードがあるかどうかを確認します。そして、メールサーバーは、SPFとDKIMに対してメールを検証します。電子メールが正常に認証されると、送信先の受信箱に配信されます。

 

 Power Toolboxでは、DMARC、SPF、DKIMなどのレコードを無料で検索、生成することができます。

 

認証された送信者のみがSPFとDKIMを通じて検証されます。つまり、誰かが自分のドメインを偽装しようとした場合、そのメールはDMARC認証に失敗します。その場合、ドメイン所有者が設定したDMARCポリシーが、受信サーバーにそのメールをどのように処理するかを伝えます。

DMARCポリシーとは何ですか?

DMARCを実装する際、ドメインオーナーはDMARCポリシーを設定することができます。このポリシーは、受信側のメールサーバーに対して、DMARCに失敗した電子メールをどう処理するかを指示します。ポリシーは3つあります。

  • p=none
  • p=quarantine
  • p = 拒否

DMARCポリシーが「なし」に設定されていると、DMARCを通過していないメールでも受信箱に届けられてしまいます。これは、DMARCの実装を全くしていないのと同じです。ポリシーを「なし」に設定するのは、DMARCを設定したばかりで、ドメイン内のアクティビティを監視したい場合のみにしてください。

DMARCポリシーをquarantineに設定すると、メールはスパムフォルダに送られ、rejectに設定すると、受信者の受信箱からメールが完全にブロックされます。完全に施行するためには、DMARCポリシーをp=quarantineまたはp=rejectのいずれかに設定する必要があります。DMARCを実施しないと、あなたのメールを受信したユーザーは、あなたのドメインになりすました不正な送信者からのメールを受け取ることになります。

しかし、これらのことは重要な疑問を提起しています。なぜ誰もがSPFやDKIMを使ってメールを検証しないのか?なぜわざわざDMARCを使うのか?その答えは...

DMARCレポート

SPFとDKIMの主な欠点は、メールがどのように処理されているかのフィードバックが得られないことです。あなたのドメインからのメールがSPFやDKIMに失敗しても、それを知る方法はなく、問題を解決する方法もありません。もし誰かがあなたのドメインになりすまそうとしても、あなたはそれを知ることさえできないでしょう。

これこそが、DMARCのレポート機能が画期的なものである理由だ。DMARCは、所有者が指定した電子メールアドレスに週1回の集計レポートを作成します。これらのレポートには、どのメールが認証に失敗したか、どのIPアドレスから送信されたかなどの詳細な情報が含まれており、その他にも実用的なデータが多数含まれています。これらの情報は、ドメイン所有者が、どのメールが認証に失敗したか、またその理由を確認するのに役立ち、さらには、なりすましの試みを特定することもできます。

これまでのところ、DMARCが不正なフィッシングメールから電子メールの受信者を保護するというメリットがあることは明らかだ。しかし、それを導入しているのは、ドメイン所有者です。組織がDMARCを導入すると、どのようなメリットがあるのでしょうか?

ブランドセーフティのためのDMARC

DMARCはこのような目的で作られたものではありませんが、企業がDMARCを導入することで得られる大きなメリットがあります。それは、ブランド保護です。攻撃者がブランドになりすまして悪質なメールを送信すると、そのブランドの人気や信用を利用して詐欺を行うことになります。IBID Groupが実施した調査では、83%のお客様が、過去に不正アクセスを受けた企業からの購入に不安を感じると回答しています。

トランザクションの無形の要素は、しばしばハードデータと同じくらい強力です。消費者は購入先の企業に大きな信頼を寄せています。もし、そのようなブランドがフィッシング詐欺の被害に遭えば、フィッシングされた顧客だけでなく、ニュースでそのことを知った多くの人々を失うことになります。ブランドの安全性は壊れやすく、企業と顧客のために守らなければなりません。

 

ブランドの安全性は、DMARCだけではありません。BIMIを使えば、ユーザーはメールの横にあなたのロゴを見ることができます。ぜひチェックしてみてください。

 

DMARCは、ブランドが、自社のドメインを介して電子メールを送信できる人のコントロールを取り戻すことを可能にします。認証されていない送信者からの悪用をシャットアウトすることで、企業は安全で正当な電子メールのみを公衆に送信することができます。これにより、メールプロバイダーからのドメインの評価が高まるだけでなく、ブランドと消費者の間に信頼と信用に基づいた関係を築くことができるようになります。

DMARC: すべての人に安全な電子メールを

DMARCの目的は、ブランドが自社のドメインを保護すること以上のものであった。すべての人がDMARCを採用すれば、電子メールのエコシステム全体がフィッシング攻撃から守られることになります。これはまさにワクチンのようなもので、標準を実施する人が多ければ多いほど、他の人が偽装メールの餌食になる可能性は低くなる。DMARCで保護されたドメインが増えるごとに、電子メール全体がより安全になります。

自分たちがメールを安全に使えるようにすることで、他の人々がより自由にメールを使えるようになります。これは守るべき基準だと考えています。

 

 

この記事では、メールのなりすましを止める方法を、5つの方法で探っていきます。ある日、あなたが出勤してデスクに着き、ニュースをチェックしようとパソコンを開いたとします。すると、目に飛び込んできました。あなたの組織の名前が見出しに躍っていますが、それは良いニュースではありません。何者かがあなたのドメインを使って電子メールのなりすまし攻撃を行い、世界中の人々にフィッシングメールを送信しました。そして、多くの人がそれに引っかかったのです。あなたの会社は巨大なフィッシング攻撃の顔となり、今では誰もあなたのセキュリティやメールを信用していません。

これはまさに、2020年2月のコヴィド-19パンデミックの際に、世界保健機関(WHO)の職員が陥った状況です。攻撃者は WHOの実際のドメイン名を使用して、コロナウイルス救済基金への寄付を求めるメールを送信していたのです。しかし、この事件は決して他人事ではありません。数え切れないほどの組織が、非常に説得力のあるフィッシングメールの被害に遭っています。このメールは、無邪気に個人情報や銀行情報、ログイン情報などを要求するものです。また、同じ組織内で、データベースや会社のファイルへのアクセスをさりげなく要求するようなメールもあります。

データ損失事件の90%は、フィッシングの要素を含んでいると言われています。しかし、ドメイン・スプーフィングは、それほど複雑ではありません。では、なぜこれほどまでに被害が拡大するのでしょうか。

ドメイン・スプーフィングの仕組みは?

ドメイン・スプーフィング攻撃は非常に簡単に理解できます。

  • 攻撃者は電子メールのヘッダーを偽造して組織の名前を入れ、偽のフィッシングメールを誰かに送信し、あなたのブランド名を使って信用させます。
  • 悪意のあるリンクをクリックしたり、組織から頼まれたと思って機密情報を渡してしまう。
  • 詐欺だとわかると、ブランドイメージが低下し、お客様からの信頼を失います

 

フィッシングメールの被害に遭う可能性もありますし、外部(内部)の人にも迷惑をかけてしまいます。さらに悪いことに、あなたのドメインから送信された悪意のあるメールは、顧客から見た あなたのブランドの評判を著しく低下させる可能性があります

では、どうすればいいのでしょうか?ドメインの偽装から自分やブランドを守り、PRの失敗を回避するにはどうすればいいのでしょうか?

なりすましメールを防ぐには?

1.SPFレコードの変更

SPFの最大の間違いの1つは、それを簡潔に保っていないことです。SPFレコードには、メール1通あたりの処理コストを可能な限り低く抑えるために、10回のDNSルックアップの制限が設けられています。つまり、複数のIPアドレスをレコードに含めるだけで、制限を超えてしまう可能性があるということです。そうなると、SPFの実装が無効になり、メールがSPFに失敗して届かなくなる可能性があります。そんなことにならないように、自動SPFフラットニングでSPFレコードを短く、シンプルに保ちましょう。

2.承認されたIPのリストを最新の状態に保つこと

あなたの組織が、あなたのドメインからメールを送信するために承認された複数のサードパーティベンダーを使用している場合、これはあなたのためのものです。そのうちの1社とのサービスを中止した場合は、SPFレコードも更新する必要があります。そのベンダーのメールシステムが危険にさらされている場合、誰かがそれを使ってあなたのドメインから「承認された」フィッシングメールを送信できるかもしれません。SPFレコードにIPアドレスが登録されていることを確認してください。

3.DKIMの導入

DomainKeys Identified Mail(DKIM)とは、お客様のドメインから送信されるすべてのメールにデジタル署名を付与するプロトコルです。これにより、受信側のメールサーバーは、電子メールが本物かどうか、送信中に変更されていないかどうかを検証することができます。電子メールが改ざんされている場合、署名は検証されず、その電子メールはDKIMに失敗します。データの完全性を維持したい場合は、ドメインにDKIMを設定してください。

4.正しいDMARCポリシーの設定

DMARCを導入したものの、最も重要なこと、つまり実際にそれを実施することを忘れている組織が非常に多い。DMARCポリシーは、「なし」、「隔離」、「拒否」の3つのうちのどれかに設定することができます。DMARCを設定する際に、ポリシーを「なし」に設定すると、認証に失敗したメールでも配信されることになります。DMARCを導入することは良い第一歩ですが、それを実行しなければ、このプロトコルは効果がありません。むしろ、ポリシーをrejectに設定して、DMARCを通過しないメールは自動的にブロックされるようにするのが望ましい。

ここで重要なのは、メールプロバイダがメールを受信する際にドメイン名のレピュテーションを判断することです。もし、あなたのドメインになりすまし攻撃の履歴があると、あなたの評価は下がります。その結果、配信能力も低下してしまいます。

5.BIMIへのブランドロゴのアップロード

BIMI(Brand Indicators for Message Identification)は、ブランドロゴを用いて電子メールを認証する電子メールセキュリティ規格です。BIMIは、すべてのメールの横にブランドロゴをアイコンとして添付し、受信箱の中ですぐに認識できるようにします。仮に攻撃者がお客様のドメインからメールを送信した場合、そのメールにはお客様のロゴが付いていません。そのため、仮にメールが届いたとしても、お客様が偽物のメールに気づく可能性は格段に高くなります。しかし、BIMIの利点は2つあります。

誰かがあなたからのメールを受け取るたびに、あなたのロゴが目に入り、あなたが提供している製品やサービスをすぐに連想します。つまり、なりすましメールを阻止するだけでなく、実際にブランドの認知度を高めることができるのです。

今すぐ無料のDMARCアナライザーに登録しましょう。

 

メールフィッシングは、ゲーマーがいたずらメールを送ることから始まり、世界中のハッカーにとって非常に有益な活動となっています。

実際、90年代前半から半ばにかけて、AOLは初めて大規模な電子メールによるフィッシング攻撃を経験しました。ランダムなクレジットカード発行機を使ってユーザーの認証情報を盗み出し、それによってハッカーはAOLの全社的なデータベースに広くアクセスできるようになった。

これらの攻撃は、AOL社がさらなる被害を防ぐためにセキュリティシステムをアップグレードしたため、停止しました。その後、ハッカーたちは、現在も広く利用されている「なりすまし」を利用した、より高度な攻撃を行うようになりました。

最近では、ホワイトハウスやWHOが被害を受けた「なりすまし攻撃」がありましたが、これは、どのような企業でもいつかはメール攻撃を受ける可能性があることを示しています。

Verizonの「2019 Data Breach Investigation Report」によると、2019年に経験したデータブリーチのうち、約32%にメールフィッシングとソーシャルエンジニアリングがそれぞれ含まれていました。

そこで今回は、さまざまなタイプのフィッシング攻撃と、それらが今日のビジネスにとって大きな脅威となっている理由についてご紹介します。

さあ、始めましょう。

1.メールのなりすまし

電子メールスプーフィング攻撃とは、ハッカーが電子メールのヘッダーや送信者アドレスを偽造して、信頼できる人物からのメールであるかのように見せかける攻撃です。このような攻撃の目的は、受信者を誘導してメールを開かせ、場合によってはリンクをクリックさせたり、攻撃者との対話を開始させたりすることにあります。

これらの攻撃は、従来のハッキング手法ではなく、ソーシャルエンジニアリング技術に大きく依存しています。

一見、地味でローテクなサイバー攻撃に見えるかもしれません。しかし、実際には、無防備な従業員に送られた説得力のある電子メールを使って人々をおびき寄せる、極めて効果的な方法なのです。ソーシャルエンジニアリングは、システムのセキュリティインフラの欠陥ではなく、ヒューマンエラーの必然性を利用しています。

見てみてください。

2019年9月、トヨタはメール詐欺で3700万円を失った。

ハッカーは、電子メールアドレスを偽装し、金融機関の権限を持つ従業員に電子送金のための口座情報を変更するように仕向けました。

結果として、会社に多額の損失をもたらした。

2.ビジネスメールの不正アクセス(BEC

FBIの「2019年インターネット犯罪報告書」によると、BEC詐欺の被害額は170万ドルを超え、2019年に経験したサイバー犯罪被害の半分以上を占めています。

BECとは、攻撃者が企業の電子メールアカウントにアクセスし、そのアカウントの所有者になりすまして、企業やその従業員に損害を与える目的で使用されるものです。

これは、BECが非常に利益率の高いメール攻撃であり、攻撃者に高い利益をもたらすため、今でも人気のあるサイバー脅威となっているからです。

コロラド州のある町では、BEC詐欺により100万ドル以上の損害が発生しました。

襲撃者は、地元のウェブサイトにあるフォームに記入し、地元の建設会社に、現在町で行っている仕事の代金を、通常の小切手ではなく電子マネーで受け取るよう依頼しました。

従業員がフォームを受け取り、支払い情報を更新した結果、攻撃者に100万ドル以上のお金が送られてしまいました。

3.ベンダーメールコンプロマイズ(VEC)

2019年9月、日本経済新聞社は日本最大の報道機関が2900万ドルの損失を出した。

日本経済新聞社のアメリカ支社の社員が、経営陣を装った詐欺師の指示でお金を振り込んだのです。

VEC攻撃とは、ベンダー企業の従業員を危険にさらすメール詐欺の一種です。例えば上記の例のように。そしてもちろん、その企業に莫大な経済的損失をもたらしました。

DMARCについては?

世界中の企業が、上に挙げたような例を抑えるために、サイバーセキュリティの予算を増やしています。IDCによると、セキュリティソリューションに対する世界の支出は、2022年に1,337億ドルに達すると予測されています。

しかし、実際のところ、DMARCのようなメールセキュリティソリューションの普及は遅れています。

DMARC技術は2011年に登場し、世界中の企業にとって脅威となっている標的型BEC攻撃の防止に効果を発揮しています。

DMARCはSPFとDKIMの両方に対応しており、認証されていない電子メールに対してどのようなアクションを取るべきかを決定し、ドメインの完全性を保護することができます。

READ:DMARCとは何か、そしてあなたのビジネスが今すぐ導入する必要がある理由とは?

それぞれのケースに共通しているのは、「視認性」です。

この技術は、電子メールによるフィッシング行為がビジネスに与える影響を軽減することができます。その方法をご紹介します。

  • 可視性の向上。DMARCテクノロジーは、レポートを送信して、ビジネス全体の電子メール活動に関する詳細な情報を提供します。PowerDMARCは、強力なスレット・インテリジェンス・エンジンを使用しており、なりすまし攻撃のリアルタイム・アラートを生成します。これは、完全なレポートと相まって、ユーザーの履歴記録をより深く理解することができます。
  • メールのセキュリティが強化されます。なりすましやフィッシングの脅威がないか、自社のメールを追跡することができるようになります。PowerDMARCは、24時間365日体制のセキュリティオペレーションセンターを設置しています。PowerDMARCは、24時間365日体制のセキュリティ・オペレーション・センターを設置しており、メールを悪用するドメインを即座に削除することができるため、ビジネスのセキュリティレベルを向上させることができます。
    世界中でCOVID-19パンデミックが発生していますが、これはハッカーが脆弱なセキュリティシステムを利用する機会を広く提供しているに過ぎません。

ホワイトハウスとWHOに対する最近のなりすまし攻撃は、DMARC技術の使用拡大の必要性を如実に示しています。

 

COVID-19の流行や電子メールのフィッシングの増加を考慮して、3ヶ月間無料でDMARC保護を提供したいと思います。下記のボタンをクリックして、今すぐご利用ください。

 

 

世界各地でコヴィド19対策のためのチャリティ基金が設立されている中、インターネットの電子管では別の種類の戦いが繰り広げられています。コロナウイルスの大流行の中、世界中の何千人もの人々が、なりすましメールやコビッド19のメール詐欺の被害に遭っています。最近では、サイバー犯罪者が本物の組織のドメイン名をメールに使用して、正当なものであるかのように装うケースが増えています。

最近話題になったコロナウイルス詐欺では、世界保健機関(WHO)からと思われるメールが世界中に送られ、「連帯対応基金」への寄付を求めていました。差出人のアドレスは「[email protected]」で、「who.int」はWHOの実際のドメイン名です。このメールはフィッシング詐欺であることが確認されましたが、一見したところ、送信者は本物であることがわかりました。結局のところ、このドメインは本物のWHOに属していたのです。

レスポンスファンドを寄付する

しかし、これは、コロナウイルスに関連したメールを使って人々から金銭や機密情報を盗むフィッシング詐欺が増えている中の一つに過ぎません。しかし、送信者が本物のドメイン名を使用している場合、正規のメールと偽物のメールをどのように区別すればよいのでしょうか?なぜサイバー犯罪者は、このような大規模な組織にメール・ドメイン・スプーフィングを簡単に採用できるのでしょうか?

また、WHOのような組織は、誰かが自分のドメインを使ってフィッシング攻撃を行った場合、どうやってそれを見つけるのでしょうか?

電子メールは、世界で最も広く使われているビジネスコミュニケーションツールですが、完全にオープンなプロトコルです。それだけでは、誰がどのメールアドレスからどのようなメールを送信したかを監視することはほとんどできません。これは、攻撃者が信頼のおけるブランドや公人になりすまして、金銭や個人情報の提供を求める場合に大きな問題となります。実際、近年の企業のデータ流出の90%以上は、何らかの形でメール・フィッシングが関与していると言われています。そして、メールのドメイン偽装は、その代表的な原因の一つです。

電子メールの安全性を確保するために、SPF(Sender Policy Framework)DKIM(Domain Keys Identified Mail)などのプロトコルが開発されました。SPFは送信者のIPアドレスと承認されたIPアドレスのリストを照合し、DKIMは暗号化されたデジタル署名を使用して電子メールを保護します。これらは個々には有効ですが、それぞれに欠点があります。2012年に開発されたDMARCは、SPFとDKIMの両方の認証を用いて電子メールを保護するプロトコルで、電子メールがDMARCの検証に失敗すると、ドメイン所有者にレポートが送られる仕組みになっています。

つまり、認証されていない第三者からメールが送られてくると、ドメイン所有者に通知されるのです。そして重要なのは、ドメイン所有者は、認証されていないメールをどのように処理するかをメール受信者に伝えることができるということです。つまり、受信箱に入れる、隔離する、あるいは完全に拒否する、ということです。理論的には、悪質なメールが人々の受信箱に溢れるのを防ぎ、私たちが直面しているフィッシング攻撃の数を減らすことができるはずです。では、なぜそうならないのでしょうか。

DMARCはドメイン・スプーフィングやCovid-19電子メール詐欺を防止できるか?

メール認証では、送信者ドメインがSPF、DKIM、DMARCレコードをDNSに公開する必要があります。ある調査によると、2018年に有効なSPFレコードを公開していたのは、Alexaの上位100万ドメインのうち44.9%に過ぎず、有効なDMARCレコードを公開していたのは5.1%に過ぎませんでした。しかも、DMARC認証のないドメインは、セキュリティが確保されているドメインの4倍近くもなりすましに悩まされているにもかかわらず、です。ビジネスの現場では、本格的なDMARCの導入が行われておらず、それは数年前からあまり改善されていません。ユニセフのような組織でさえ、自社のドメインにDMARCを実装しておらず、ホワイトハウスと米国国防総省はともにDMARCポリシーをp=noneとしており、これは施行されていないことを意味します。

バージニア工科大学の専門家が行った調査により、大手企業やDMARC認証をまだ使用していない企業が挙げた最も深刻な懸念事項が明らかになりました。

  1. 展開の難しさ。セキュリティプロトコルを厳格に実施するには、大規模な組織では高度な調整が必要になることが多いが、そのためのリソースがない場合も多い。さらに、多くの組織ではDNSをあまり管理していないため、DMARCレコードの発行はさらに困難になります。
  2. コストを上回らないメリット。DMARC認証は通常、ドメイン所有者ではなく、電子メールの受信者に直接利益をもたらします。新しいプロトコルを採用する真剣な動機付けがないため、多くの企業がDMARCをシステムに組み込むことができないでいる。
  3. 既存のシステムを破壊するリスク。DMARCは比較的新しいため、不適切な実装が起こりやすく、正当なメールが届かないという非常に現実的なリスクがあります。電子メールの流通に依存している企業は、そのような事態を避けることができないため、DMARCの採用を見送っている。

DMARCが必要な理由の認識

今回の調査で企業が表明した懸念は明らかに妥当なものですが、DMARCの実装がメールセキュリティにとって不可欠であることに変わりはありません。企業がDMARCで認証されたドメインを持たずに活動を続ければ続けるほど、私たちは電子メールによるフィッシング攻撃という非常に現実的な危険にさらされることになります。コロナウイルスを利用したなりすましメールが教えてくれたように、誰もが標的にされたり、なりすまされたりすることから安全ではありません。DMARCはワクチンのようなものだと考えてください。DMARCを使用する人が増えれば増えるほど、感染の可能性は劇的に減少します。

この問題には、DMARCの採用に対する人々の懸念を払拭するような、現実的で実行可能な解決策がある。ここでは、導入率を大幅に向上させることができるいくつかの例を紹介する。

  1. 導入時の摩擦を減らす。企業がDMARCを採用する際に立ちはだかる最大のハードルは、DMARCに関連する導入コストである。経済は低迷しており、資源は不足しています。このため、PowerDMARCと産業界のパートナーであるグローバル・サイバー・アライアンス(GCA)は、Covid-19パンデミックの期間中、期間限定のオファーを発表することにしました。今すぐPowerDMARCを使ってDMARCソリューションを設定し、メールの監視を始めましょう。
  2. 知覚された有用性の向上。DMARC が電子メールのセキュリティに大きな影響を与えるためには、SPF、DKIM、DMARC のレコー ドを公開するユーザーの数が非常に多くなる必要がある。DMARC で認証されたドメインに「Trusted」または「Verified」のアイコンを与えることで(ウェブサイトの HTTPS 化を促進するように)、ドメインの所有者は自分のドメインに対する好意的な評価を得ようとするインセンティブを得ることができる。この評価が一定の閾値に達すると、DMARC で保護されたドメインは、そうでないドメインよりも好意的に見られるようになる。
  3. 導入の合理化。なりすまし防止プロトコルの導入と設定を容易にすることで、より多くのドメインがDMARC認証に同意するようになるだろう。これを実現する1つの方法は、プロトコルを「監視モード」で実行できるようにすることです。これにより、メール管理者は、本格的な導入を行う前に、システムに与える影響を評価することができます。

新しい発明には、新しい課題がつきものです。新しい課題があると、それを克服するための新しい方法を見つけなければならない。DMARCが登場してから数年が経つが、フィッシングはもっと前から存在している。最近の数週間では、Covid-19の大流行により、新たな顔を持つことになった。PowerDMARCでは、この新しい課題に正面から取り組むためのお手伝いをします。あなたがコロナウイルスから安全に家にいる間に、あなたのドメインがメールスプーフィングから安全になるように。