巧妙化するメール詐欺に要注意! 急速に普及が進むDMARC、効果を最大化するポイントとは?

• (左) 日商エレクトロニクス株式会社 エンタープライズ事業本部 ビジネス推進部 ビジネス推進一課 藤森 正嗣氏
  (中) 日商エレクトロニクス株式会社 プラットフォーム本部 第二プラットフォーム部 インテグレーション2課 田中 香折氏
  (右) 日商エレクトロニクス株式会社 エンタープライズ事業本部 営業部 コンサルティング課 伊東 鉄真氏
  

近年、日本のビジネスにおいてメール詐欺の手口は巧妙化・多様化しており、さまざまな大手企業がなりすましメールへの注意喚起を行っていたのも記憶に新しい。こうした背景を受けて、送信ドメイン認証技術「DMARC」の登録を日本政府が推奨しており、外資系を中心とした多くの企業が取引の前提としてDMARCの登録を必須とする傾向が強くなっている。メール詐欺を防ぎ、取引を継続させるために、企業にとってDMARCの登録は急務となっている。本稿では、DMARCの登録・運用サポートサービスを提供する日商エレクトロニクス株式会社にビジネスメール詐欺のトレンドやDMARC導入の必要性について話を伺った。

変化するビジネスメール詐欺の様相

ビジネスにおいても“メール”は重要なコミュニケーションチャネルであり、海外では以前よりメール詐欺による被害が深刻な問題となっており、対策が進められてきた。一方で日本の場合、従来のフィッシングメールは日本語が不自然なことが多く、詐欺であることに気づきやすいため被害が生じ難かった。いわば“日本語”が自然と攻撃を防いでくれていたわけだ。しかしながら、昨今ではAI等の技術進化により流ちょうな日本語への翻訳が可能になってしまい、国内においてもビジネスメール詐欺による被害が生じやすい状況になっている。 さらにメール詐欺の手口は巧妙化するだけではなく、多様化も進んでいるという。日商エレクトロニクス エンタープライズ事業本部 ビジネス推進部 ビジネス推進一課の藤森 正嗣氏は次のように説明する。

「攻撃者は、ドメインのなりすましや類似ドメインなどのさまざまな手法を用いて被害者を騙して送金させようとします。なかでもサプライヤーになりすました請求詐欺は成功率が高く、最も被害額が大きくなっています。また、以前であれば、添付ファイルをダウンロードさせてマルウェアに感染させるという攻撃手法が主流でしたが、昨今では、相手のIDやパスワードを窃取する手口が増加傾向にあります」（藤森氏）

• 日商エレクトロニクス株式会社 エンタープライズ事業本部 ビジネス推進部 ビジネス推進一課 藤森 正嗣氏

海外では主流のビジネスメール詐欺の対抗策「DMARC」とは

こうしたメール詐欺の脅威を受けて、日本企業の間で近年注目を集めているが「DMARC(Domain-based Message Authentication Reporting and Conformance）」だ。

DMARCとは、電子メールに関わる主要な組織によって策定され、2012年2月に発表された送信ドメイン認証技術である。標準技術として普及しているSPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)を活用し、メールに表示される送信元アドレス「Header-from」ドメインがなりすまされていないか、信頼できるものかどうかを判断できる最初の標準技術であるとともに、現時点で広く運用されている唯一の技術となっている。なりすましされているかどうかは、受信側組織から自社ドメイン管理者へメールで通知することが可能である。 海外では以前よりDMARCは広く普及していたが、前述したとおり日本企業では言語が壁となり攻撃を防げていた為、2022年の時点でDMARC導入企業は30％ほどと、世界的に見ても低い水準だった。

2023年に入ってからは、技術進化による攻撃の高度化を背景に、経済産業省・警察庁及び総務省（連携）からクレジット会社に対するDMARC設定の要請が行われるとともに、7月に政府統一基準改定によりDMARCが明記されるようになった。DMARC登録がない企業との取引は制限するなどの動きもあり、くわえて2023年10月にGoogleが1日に5,000通以上のメールを送信する送信者に対して、2024年初めまでにDMARCを義務化することを発表。Yahoo、Microsoftも同様の対策をとっている。このように、DMARCの導入は待ったなしの状況で、この1年で国内企業の普及率は60％まで上がっているという。

しかしここで注意したいのが、DMARCは単に導入するだけでは十分な効果を発揮できないという点だ。たとえばDMARCには、認証に失敗したメールをそのまま配信する「None(無し)」、隔離フォルダにメールが移動される「Quarantine (隔離）」、そして配信を拒否する「Reject(拒否)」の3つのポリシーがあるが、「Quarantine (隔離）」または「Reject(拒否)」を設定することで、初めて自組織のなりすましドメインメールをブロックすることができるようになる。 しかし、「Quarantine (隔離）」または「Reject(拒否)」を設定する場合、自組織の送信ドメインを十分に精査してからポリシーを設定しないと、正規メールがブロックされてしまう危険性がある。

日商エレクトロニクス エンタープライズ事業本部 営業部 コンサルティング課の伊東 鉄真氏はこう説明する。

「DMARC自体はDNSの登録サービスで、導入のハードルは高くありません。ただし、DMARCレポートはXML形式で出力されるため、人の目で解析することが難しいうえ、十分な解析を行わなければ、肝心のDMARCポリシーの設定も行えません。このため、自社でDMARCに登録はしたものの、『None』のままで運用している日本企業が多いのが現実なのです」（伊東氏）

• 日商エレクトロニクス株式会社 エンタープライズ事業本部 営業部 コンサルティング課 伊東 鉄真氏

世界トップシェアの統合型メールセキュリティソリューションが、DMARCの効果を最大化

日商エレクトロニクスは、”Your Best Partner”をスローガンに掲げ、かねてよりネットワークやコンピューティングの二軸で日本市場に海外の先進的な技術を提供してきた。昨今ではクラウドへと移行しつつハイブリッドクラウドの環境を意識した提案を積極的に行っている。セキュリティ分野においては、グローバルリーディングカンパニーであるProofpointの製品を2007年から長年に渡り取り扱っており、最近ではDMARCソリューションに特に注力しているという。

DMARCに関わる課題を解決し、効果的な活用を実現するのが、世界トップシェアの統合型メールセキュリティソリューション「Proofpoint なりすましメール対策（EFD：Email Fraud Defense）」だ。日商エレクトロニクスは2023年10月27日に独自のコンサルティング、導入支援サービスを統合した「『Proofpoint EFD』導入・運用支援サービス」の提供を開始し、DMARCの効率的な実装とビジネスメール詐欺の可視化を実現することで、企業のブランドを保護する。

日商エレクトロニクス プラットフォーム本部 第二プラットフォーム部 インテグレーション2課の田中 香折氏はサービスの特長について、次のように語る。

「DMARCを活用してなりすましメールを確実に識別し配信を阻止することにより、リスクを大幅に低減します。また、DMARCレポートの解析結果をダッシュボード上に可視化し、アナリストによる解析結果の内容や次のアクションへのアドバイスなどを月1回レポートとして提供します。このため、スキルを持ち合わせていなくても運用負荷をかけることなく、DMARCの効果を最大化できるサービスとなっています」（田中氏）

• 日商エレクトロニクス株式会社 プラットフォーム本部 第二プラットフォーム部 インテグレーション2課 田中 香折氏

くわえて、類似ドメインの検出を行うことができるのも大きな特長の1つだ。なりすまし攻撃ではその企業のドメインに文字列を似せた類似ドメインが使われる。毎日約20万のドメインが登録され、アクティブなドメインは約4億にのぼるなか、常に監視して自社の類似ドメインを発見するのは難しい。また、ドメイン登録がされてからすぐに攻撃に利用されるとは限らない。Proofpoint EFDであれば、インテリジェンス機能により自社ドメインと類似のドメインの発生や配信状況を検知できる。 さらに、類似ドメインが発生した際には、「Takedown（ドメイン使用不可）」を申請する機能もオプションとして用意されている。これにより、類似ドメインの永久的に無効し、なりすましメールのリスクをさらに低減することが可能となる。

急務となったDMARCの登録。日商エレクトロニクスが導入をサポート

Proofpoint EFDはさまざまな国内企業で導入が進められている。とあるグローバル半導体メーカでは、今後の取引にはDMARCの登録が必須となることを通達。このメーカのサプライヤーは、DMARCの登録を急がれることとなった。中にはDMARCについての知見が一切ない企業もおり、何から始めたら良いのかわからず日商エレクトロニクスに問合せを行い、DMARCへの対応を速やかに実現することができたのだった。業種業態・企業規模を問わず、サプライチェーン全体でDMARC登録することが重要で、これによりなりすましメールのリスクを最小限にできる。
そして最後に田中氏は、これからDMARCの導入を検討しようとしているすべての企業に向けて次のように呼びかけた。

「古くからのメール運用者にはDMARCを登録することがそれほどメリットに感じられないこともあるかもしれませんし、何から始めていいかわからないという困惑もきっとあることでしょう。当社では、何もわからないという状況でのDMARC導入から、DMARCポリシーの適切な設定まで、責任をもって支援します。また、我々のソリューションは30日間の無料アセスメントを行っており、手軽にDMARC登録を実施できますので、ぜひお試しください」（田中氏）

[PR]提供：日商エレクトロニクス