攻撃の糸口となるなりすましメールを見破る有効な対策「DMARC」と「BIMI」

そもそもメールは、いくつかの手口で送信者のなりすましが可能な仕組みです。メールソフト上に示される「表示名」の偽装に始まり、「o」と「0」など見た目の似た文字列を用いた類似ドメインを使う「タイプスクワッティング」、見た目は正しいメールアドレスに見せかけて返信先を偽装する「Reply-to偽装」、そして正規のメールアドレスに見せながら裏側では異なるアドレスから送信する「ドメインのなりすまし」などが代表的な手法です。

  • なりすましメールの手口

こうした複数の手法があるため、何か一つの対策を導入すればなりすましメールを見破ることができるという性質のものではありません。ユーザーのリテラシー向上のために継続的にトレーニングを実施したり、自社のドメインに似た類似ドメインを検索し、悪用される前に先んじてテイクダウンを行ったりと、さまざまな方面から取り組む必要があります。

中でも、ドメインのなりすましに対して有効な対策が、「DMARC」(Domain based Message Authentication Reporting and Conformance)と、それをベースにしてメールソフト・受信画面上にロゴを表示して正規のメールを判別しやすくする「BIMI」(Brand Indicators for Message Identification)です。

前述の通りメールでは、受信者が目にするメールアドレスは簡単に書き換えることができてしまいます。そこで、送信元のIPアドレスやドメイン名を宣言して検証する、SPFやDKIMといった「送信ドメイン認証」という技術によって、まったく別のメールシステムから送信されていることを確認できる仕組みが提唱され、特にSPFは広く普及してきました。ですが、攻撃者は、自らSPFやDKIMに対応することで、この仕組みをかいくぐるようになってきたのです。

DMARCはそれを克服するために提案された技術です。DMARCでは、SPFで認証しているドメイン(Envelope-From)と、メールのアプリ上で見えている送信元のドメイン(ヘッダー上の「From」)、あるいはDKIMで宣言されているドメインとが一致しているかどうかを確認します。この「アライメント」を取ることによって、なりすましメールかどうかを判断していきます。

さらに、本来のドメイン所有者が、「もし、私のところになりすましたメールを受け取ったらこうしてほしい」と宣言したポリシーに沿って、モニタリングしつつ配送したり、当該メールを隔離・削除したりといった対処を行います。

DMARCが提唱された当初は、「導入すると、正規のメールまで届かなくなるのではないか」といった懸念がありました。しかし実際には、設定によって、モニタリングしてDMARCレポートを届けるだけでメール配送に影響を及ぼさない形からスタートできます。また、DKIMの導入は敷居が高いという理由でDMARC対応をあきらめるケースも見られるが、実際にはSPFだけでも導入が可能です。

そして、この結果が得られるDMARCレポートを読み込むことで、「自社ではどんなシステムがどんなメールを送っているのか」を可視化し、情報システム部の管理下にないシャドーシステムを減らし、ガバナンスを効かせていくことが可能になります。

こうしてDMARCに対応し、レコードを宣言することによって、攻撃者に「ここはきちんとDMARCに対応しており、手強い、攻撃しにくい企業だ」と思わせることができます。いくらなりすましメールを送ってもターゲットに届かないのでは、攻撃者にとっても手間がかかるだけで無駄であり、モチベーションにつながりません。実際に、自社のドメインをかたったなりすましメールを、1カ月で3000万通と大幅に減らすことに成功した企業も出てきています。

逆に、DMARCを導入していない組織は、より狙われやすくなるということでもあります。現に、ロシアを拠点とするサイバー犯罪集団「Cosmic Lynx」は、なりすましが容易であることから、DMARCを実装していない組織をターゲットにしてメールアカウント乗っ取り詐欺を働き、多額の金銭を手に入れていました。

DMARCに対応し、なりすましメールを「排除する」という段階にまで達すると、今度はBIMIの活用も可能になります。BIMIは、DMARC認証をパスしたメールに、あらかじめ登録した企業やサービスのロゴを表示させることで、受信者が一目で正しいメールを見分けられるようにする仕組みです。

正しい送信元から送られたメールであることを証明することにより、開封率やブランド認知度に好影響が期待できると同時に、ロゴが付いていないメールは「なりすましである」と一目で判断でき、メール詐欺をより簡単に見分けられるようになります。

  • 認証されたメールにロゴを表示するBIMI

自社に、あるいは取引先になりすまして従業員を狙うメール詐欺を裁ち切り、サプライチェーン全体を守るという意味で、非常に効果の高い対策といえるでしょう。

自社につながる取引先全体を守るため、DMARCやBIMIの検討を

チャットやSNSなど多様な手段が登場した今でもなお、メールはビジネスに不可欠なコミュニケーションツールであり続けています。だからこそサイバー攻撃者もそれを悪用し、本丸がだめならば搦め手から、という具合に、企業につながるサプライチェーン全体の中で足がかりとなるところを求め、なりすましメールを用いて侵害を試みたり、多額の金銭をだまし取ったりしようとしています。

サプライチェーン対策というと、「取引先にチェックリストを送って対策を求める」といったアプローチが思い浮かぶかもしれません。しかし実はDMARC、そしてBIMIに対応することで、攻撃の最初の一歩であるなりすましメールをそもそも受信者の手元に届かないようにしたり、簡単に見破ったりする手段が提供できます。

すでに欧米では、法規制などで導入が義務化されていることもあって、多くの企業がDMARCを導入しています。日本では、2023年に日本政府がDMARCを政府統一基準の要件に加えたことや、一部企業がサプライチェーンリスク対策の基本として取引先企業にDMARC導入を求めたことにより、日本においてDMARCの導入が急速に進んでいます。

昨年は18カ国中、日本のDMARC導入率は最下位でしたが、最劣等生の座から脱却することができました。日経225企業におけるDMARC導入率は60%に増加したものの、いまだ欧米諸国に後れをとっているのが実情です。

自社を被害から守るだけでなく、自社のブランドも守り、ひいては自社につながる取引先や顧客を攻撃から守る手段として、DMARCやBIMIへの対応を検討してみてはいかがでしょうか。

増田 幸美

増田 幸美

そうた ゆきみ

日本プルーフポイント株式会社 チーフ エバンジェリスト。
早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023受賞。

この著者の記事一覧はこちら