フォーム読み込み中
「DMARC」でなりすましを防ぐ ~ 深刻化する詐欺メールへの対策とは?~
ビジネスブログ「 Future Stride」編集チーム
ビジネスブログ「 Future Stride」では、ビジネスの「今」と「未来」を発信します。
DXや業務改革をはじめとしたみなさまのビジネスに「今」すぐ役立つ最新トレンドを伝えるほか、
最先端の技術を用いて「未来」を「今」に引き寄せるさまざまな取り組みにフォーカスを当てることで、すでに到来しつつある新しいビジネスの姿を映し出していきます。
2023年7月20日掲載
もしEメールが使えなかったら。想像すら難しいほどに、Eメールは私たちの業務に欠かせないものになっています。そんな中、Eメールを利用した「詐欺メール」の被害が深刻化しています。最近では、犯罪者が簡単かつ効果的に詐欺行為を働けるように「フィッシング・アズ・ア・サービス(PhaaS)」と呼ばれる新たな言葉まで登場しているのです。
今回は、日本における詐欺メールについて、被害の事例や対策方法を解説していきます。
フィッシング・アズ・ア・サービスの実態
フィッシング(phishing)とは、英語の魚釣り(fishing)と洗練(sophisticated)を合わせた造語と言われています。Eメールを利用した詐欺行為では、犯罪者が企業を装って詐欺メールを送るのが一般的ですが、昨今では偽サイトや偽のメールアドレスの作成から詐欺メールの一括送信までを請け負う専門業者が増加しています。
このような行為を請け負う業者の活動が「フィッシング・アズ・ア・サービス」と呼ばれています。この中には、「なりすまし詐欺メール」や「ビジネスメール詐欺(BEC)」が含まれています。順に解説していきます。
なりすまし詐欺とは その仕組みとその対策
「なりすまし詐欺」とは、読んで字のごとく、本人になり替わって詐欺を働く行為です。例えば「オレオレ詐欺」などが分かりやすい例ですが、ビジネスの世界でもなりすまし詐欺は横行しています。
手口としてはメール送信者として実在する名前が表示されるものの、送信者のメールアドレスとは異なるアドレスからメールが送られるパターンがあります。また、一見すると本物に見えるメールアドレスの一部が、よく見てみると アルファベットで大文字のアイ(I)が、アルファベットで小文字のエル(l)になっていたり、アルファベットで大文字のオー(O)が数字のゼロ(0)になっているなど1文字だけ変えられているパターンもあります。それ以外にも、送信者もメールアドレスも正規のものと見分けがつかないという非常に巧妙なケースも存在しています。
ビジネスメール詐欺(BEC)とは
ビジネスメール詐欺(BEC)とは、Business E-mail Compromiseの略で、組織や企業に偽の電子メールを送り付けて従業員を騙し、攻撃者が用意した口座へ送金させる詐欺の手口です。この市場規模は現在急速に拡大しており、日本でも企業の担当者になりすまして送られた、偽の振込依頼やウイルスが仕込んであるメールを気づかずに開いてしまって被害にあうケースが報告されています。
取引先を装って「振込先の口座を変更した」と嘘のメールを送るケースや、偽の電子メールを組織・企業に送り付け、従業員を騙して攻撃者の用意した口座へ送金させるなど、詐欺の手口は多岐にわたります。
従業員に対するITリテラシー教育を実施するのはもちろん大切です。しかし、先に述べた通り、巧妙ななりすましメールを見破るのは簡単ではありません。
ではどういった対策手段があるのでしょうか?実は今年度より政府統一基準で基本対策事項に盛り込まれた有用な認証技術「DMARC」というものがあります。
詐欺メール被害を防止する「DMARC」とは
DMARC (Domain-based Message Authentication Reporting & Conformance)とは、巧妙ななりすましメールからの被害を防ぐ送信ドメイン認証技術です。SPFとDKIMという以下の2つの認証をベースにして、なりすましメールを検知する仕組みとなっています。まずはSPFとDKIMの2つの認証について説明します。
SPF(Sender Policy Framework)とは
SPFとは、メール送信元のIPアドレスをチェックする技術です。ドメイン(@以降の情報)の管理者は、自身のドメインからメール送信する際に使用するIPアドレスをSPFレコードとよばれる形式でDNSサーバを介してインターネット上に公開します。
受信側では、メール受信の際に相手から宣言された送信元メールアドレスのドメインを元に、DNSサーバへSPFレコードを問い合わせます。送信元IPアドレスがSPFレコードと一致するかを確認することで正規のドメイン運営元から送信されたメールであるか否かを判断することができます。
DKIM (DomainKeys Identified Mail)とは
DKIMは、信頼された送信者であるかどうかのチェックとメール本文の改ざんをチェックする技術です。送信者チェックにはデジタル署名が使用され、改ざんチェックにはハッシュ値が使用されます。
デジタル署名ではまず、送信元のドメイン管理者がデジタル署名に必要な秘密鍵と公開鍵のペアを作成し、DNSサーバを介して公開鍵をインターネット上に公開します。送信サーバでは秘密鍵を使ってメールのヘッダとよばれる情報に対するデジタル署名と、改ざん検知用のハッシュ値を挿入して送信します。受信サーバでは、公開鍵を使ってデジタル署名を検証し、検証が成功すれば信頼された送信者であることを確認するとともに、受信メールの本文に対するハッシュ値を計算し、送信時の値と一致するかを比較して改ざんの有無をチェックします。
ハッシュ値はデータの内容を問わず固定長の値を計算する技術で、データの一部が変更するだけでも値が大きく変化する特徴があることから、DKIM以外にも広く使用されています。
「DMARC」ができること
上記2つの認証技術はもちろん有効な策ではありますが、SPFでもDKIMでも”Header From”(メール上に表示される送信者のメールアドレス)の偽装を判定することはできません。
そこでこれらのデメリットを解決するのが「DMARC」です。DMARCを利用するメリットは、「なりすましメールの受信者」だけでなく「なりすまされる側」、つまり本来の送信者側にもあります。具体的なメリットは以下の2つです。
①認証失敗時のメールの扱い方を設定できる
相手先に送信されたメールが認証に失敗した際のポリシーを、送信者側で制御できます。具体的には、本来のメール送信者(企業)になりかわり、送信認証が失敗した際、メールの受信者が「何もしないで受信する」「隔離させる」、あるいは「拒否する」といった設定が、送信者側で可能です。
②SPFやDKIMによる検証結果を受信できる
SPFやDKIMが認証時に検証した際の情報をレポートとして受け取ることが可能です。
認証の成功、失敗をレポートで受け取ることにより、自社を詐称するメールの状況を知ることが可能となり、また、SPFやDKIMの設定漏れや不備により、正当なメールが届いていないことを知得できるというメリットもあります。
結果、なりすましメールから、顧客や取引先を含むサプライチェーンを保護することとあわせ、正当なメールの不達による機会損失の抑止につながります。
DMARC導入にむけて
前述してきたように、DMARCはなりすましメールの受信者はもちろんのこと、なりすまされる側の企業にも貢献することができる認証技術です。日本においては2023年に公開された「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」で、DMARCが基本対策事項に盛り込まれました。
Proofpoint社のDMARC対策ソリューション「EFD」は、DMARCレポートを可視化し、認証失敗したメールを「Reject(拒否)」するポリシーに移行できるようにするソリューションです。導入に関してのご相談はこちらまでお気軽にお問い合わせください。
関連セミナー・イベント
おすすめの記事
条件に該当するページがございません
