2018年1月 独立行政法人情報処理推進機構(IPA)は、「コンピュータウイルス・不正アクセスの届出状況および相談状況[2017年第4四半期(10月~12月)]」において、2017年10~12月にウイルスおよび不正プログラム検出経路は、メールがもっとも多く全体の約99.3%を占めていたことを発表した(*1)。そして、そのメールの大半は、送信元ドメインが詐称され、実在する人物や企業名を騙った「なりすましメール」だった。もはや、なりすましメール対策をしていないと勝手にドメインを使われてしまうリスクがあること、そして、なりすましメールが企業活動に重大な影響と甚大な被害を及ぼすことを十分に認識しなければならない。
本記事では、官民含めた迷惑メール対策を推進する「迷惑メール対策推進協議会」技術WG 副主査であるTwoFive 開発マネージャーの加瀬正樹氏に、なりすましメール被害の深刻さと、その脅威撲滅のために、メール送受信に関わるすべての企業や団体が取り組むべき対策である「DMARC(Domain-based Message Authentication,Reporting and Conformance)」について解説いただいた。
*1:コンピュータウイルス・不正アクセスの届出状況および相談状況[2017年第4四半期(10月~12月)]
https://www.ipa.go.jp/files/000063550.pdf
メール差出人名は、簡単に書き換えられる
メールの差出人名に、誰もが知る企業名や見覚えのあるサービス名が表示されていて、「重要:必ずお読みください」、「注文通知」などの件名があれば、ついつい開いてしまうが、実はそれがなりすましメールでマルウェアなどが仕込まれていることがある。なぜそんなことが起きてしまうのか。
「メールでは、サーバー間で取り交わされる差出人のアドレス(Envelope-From)、メールソフトに差出人として表示されるアドレスや名前(Header-From)、いずれも自由に書き換えが可能であり、かつ双方が一致している必要もないため、メールの差出人名はいともたやすく詐称できてしまうのです」(加瀬氏)
「ドメインの信用性」=「企業の信用性」
なりすましメールで自社のドメインが悪用されたとしても、現在の法律では、なりすまされた側の企業が罰せられる可能性はない。なりすまされた企業は被害者なのだから、「世間の信用が損なわれることはない」と考える方もいるかもしれない。しかしそれは大きな間違いで、信頼を失うばかりか、甚大な損害を被ることになる。
もし自社のドメインが詐称され、大掛かりなフィッシング詐欺や架空請求、マルウェアの拡散などの犯罪に利用されたとなれば、ユーザーはその企業からのメールの安全性を信用できなくなり、そのドメインから届くメールは開封されなくなるだろう。そうなれば、例えば、バーゲンセールや新商品の案内など、企業からユーザーへのアナウンスが届かなくなる。あるいは、企業間の取引や請求書などの重要なやりとりが機能不全に陥るかもしれない。
実際に起こったセキュリティ被害の例をあげると、2017年には、大手宅配業者を装うなりすましメールが不特定多数のユーザーに継続的に送信され、メール受信者であるユーザーが添付されていたファイルを開いてウイルス感染するなどの被害が発生。なりすまされた企業は、問い合わせ対応に忙殺され、加害者ではないのにブランドイメージが低下したことは否めない。ニュースでも頻繁に取り上げられて広く注意喚起されたことで、顧客がウイルスファイルを開いてしまう確率は下がったが、従来は好評だったメール通知サービスなどに対する信頼が損なわれてしまった。なりすましメール犯罪から自社ドメインを守るための対策は、経営課題として取り組むべきビジネスリスク対策なのである。
なりすましメールの対策技術とその課題
なりすましメール対策として知られる主な技術には、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)がある。メールの送信元を、SPFはIPアドレスで、DKIMは電子署名を用いて認証する。これを郵便物に例えるなら、SPFは郵便物の消印が正しいかどうかを認証し、DKIMは封筒の中の手紙に書かれている差出人や内容が正しいかどうかで、なりすましを検知すると考えてよい。それぞれ、なりすましメール対策として有効な手段ではあるが、一方で課題も存在する。
まず、認証方法が違うので、それぞれに不得意なパターンがある。前述の例えで言えば、SPFでは手紙に書かれている差出人が正しいかは判断せず、DKIMは封筒の消印が正しいかは判断しない。また、もし届いたメールに問題があったとしても、それがIPアドレスや電子署名によって「なりすまし」と判断されたのか、それともメールサーバーの設定ミスなどの技術的な問題が原因なのかは判断できない。さらに、認証に失敗したメールの扱いについても、それを「受信拒否」、「隔離」、「通常受信」のいずれにするかは受信側の設定次第になってしまう。つまり、なりすましメールが送られた場合に、なりすまされた側は何もできないまま、なりすましメールは配送されてしまう。
「なりすまされた際のリスクを考えれば、自社のドメインになりすましたメールを、大切な顧客やパートナーに受信させたくないと誰もが思うはずです。そこで生み出された新しい仕組みがDMARCなのです」(加瀬氏)
なりすましメール対策の最適解「DMARC」とは
DMARCは、Microsoft、Facebook、Googleなどが共同で立ち上げたワーキンググループであり、そこから生まれた認証技術である。DMARC認証にはSPF /DKIM認証結果の情報を利用して、認証に失敗したメールのアクセス制御を行い、認証結果を送信者と共有する。つまり、先述した双方の不得意部分を互いが補完し合い、双方を集大成させたものといえる。
DMARCは、SPFかつDKIMによって認証が失敗し、なりすましメールである可能性が高いと判断されたメールを受信側でどのように処理するか(「受信させる」「隔離する」「受信拒否する」)を送信側で設定できる。また、送信側にはDMARC認証結果のレポートが定期的に届くので、認証に失敗した理由が「なりすましと判断されたため」なのか「技術上の問題があったのか」などを判断する材料となる。
現在、DMARCは米国や欧州を中心に導入が進んでおり、高い効果をあげている。 DMARCの公式サイトには、「Twitter社ではDMARCの導入によって、1日あたり1億1千万通あったなりすましメールを、1日千件まで減少させることに成功した」との報告が掲載されている。 英国政府はDMARCの適用義務化を決定し、米国の米国国土安全保障省はDMARCを実装するよう声明を発表している。日本国内においても、総務省がなりすましメール対策としてDMARCの導入を推進しており(*3)、今後の普及が期待されている。
*3:JPドメイン名における送信ドメイン認証技術の設定状況の調査
http://www.soumu.go.jp/menu_news/s-news/01kiban18_01000035.html
受信側は、メールをSPF/DKIMで認証チェックし、認証に成功(pass)したメールは利用者へ。認証に失敗(fail)したメールは、DMARCで認証し、DMARCポリシー(送信側が設定)に従って「何もしない(利用者へ)」「隔離」「拒否」の処理を行う。DMARC認証結果は、XML形式のレポートとして送信者側に定期的に通知される。
TwoFiveの「DMARC / 25 Analyze」サービスを利用すると、XML形式のレポートを解析して、わかりやすいグラフなどで可視化されて提供されるので、状況を的確に把握できる。
DMARCレポートを集計して可視化する「DMARC / 25 Analyze」
「DMARCの導入が広がれば、なりすましメールに限らず、迷惑メール自体がユーザーのメールボックスに届く量も大幅に減少すると言われています。インターネットの安全を守るためにも、官民一体となって普及に努めていくことが重要です」と加瀬氏は語る。
DMARCの導入は、すでにSPFやDKIMに対応していれば、DNSレコードを1行追加するだけなので難しくはないが、運用は大変だ。多数のメール受信サーバーから送られてくる大量の認証結果情報(DMARCレポート)は、すべてXML形式。このままで集計・解析するのは困難なので、解析ツールを独自に開発する必要がある。さらに、メールの仕組みはもとより、DMARCの仕様を理解していなければならない。そこで、メールシステムの専門家集団であるTwoFiveが開発・提供するクラウドサービス「DMARC / 25 Analyze」が威力を発揮する。
「DMARCを普及させるには、レポートを集計・解析して、わかりやすく可視化することが重要だと考えます。DMARC / 25 Analyzeは、まさにそのためのサービスなのです。」(加瀬氏)
「DMARC / 25 Analyze」は、DMARCで提供される膨大な XML 形式のDMARC レポートを集計・解析して可視化し、Webベースのわかりやいレポートとして提供する。このサービスを利用すれば、メールシステムやDMARCに関する特別な専門知識がなくても、自社のメールシステムにおいてなりすまし対策が適切に管理されているかを把握し、自社のドメインが不正利用されていないか確認して迅速に検知できる。 そして、自社のなりすましメールを検知した場合、メールを受信する可能性のある顧客やパートナー企業に警告を通知するなどして被害を抑止できる。
「迷惑メール対策推進協議会メンバーとして、まずはDMARCの普及を広げることがいちばんの目的です。その上で、弊社のサービスが役立てば、なお喜ばしく思います」(加瀬氏)
DMARC / 25 Analyze サービスURL
[PR]提供:TwoFive