フィッシング対策協議会(Council of Anti-Phishing Japan)は2022年7月14日、「サービス事業者の皆様へ|なりすまし送信メール対策について」において、サービス事業者向けになりすまし送信メール対策を強化するように呼びかけた。なりすまし送信メールは、実際に存在するメールアドレス (ドメイン) を使用して差出人を偽装したフィッシングメールのことで、メールソフトで確認しても判断がつかないことから、正規のメールであると誤認して詐欺の被害に遭うケースが増加している。

同協議会に報告されるフィッシングメールの中でも、特になりすまし送信メールは2020年以降で顕著に急増しており、現在では全フィッシングメールの半分以上の割合を占めているという。その多くは実際にあるサービスの正規ドメインを偽っており、通常のメールソフト上での表示では正規のメールと見分けられないという問題がある。

そこで有効なのが「送信ドメイン認証」だ。送信ドメイン認証は、受信したメールが正規の送信元から送られてきたものかどうかを検証できる技術のことである。現在広く使われている送信ドメイン認証には、SPF、DKIM、DMARCの3種類があり、それぞれ次のような特徴を持っている。

  • SPF(Sender Policy Framework): 正規のサーバ (IP アドレス)から送信されたかどうかを検証する手法。送信側ではSPFレコードをDNSに登録するだけで利用できるが、単体では独自ドメインを使用することで検証を回避する手段がある。
  • DKIM(DomainKeys Identified Mail): 電子署名でメールを検証する手法。送信側は各メールにDKIM署名を付加するシステムが必要だが、転送などをされても検証が可能という強みがある。一方、署名に使うドメインを指定できることから、単体では検証を回避する手段がある。
  • DMARC(Domain-based Message Authentication, Reporting, and Conformance): SPFとDKIMの検証結果を使って検証する手法。SPFとDKIMの片方だけでも良い。すでにSPFやDKIMが導入されていれば、DMARCをDNSに登録するだけで利用できる。SPFやDKIM単体では検証をすりぬけられるでも、DMARCを組み合わせることで検証が可能になる。
  • DMARCの概要図(引用: フィッシング対策協議会)

    DMARCの概要図 引用:フィッシング対策協議会

送信側のメールサーバがこれらの送信ドメイン認証をサポートしていれば、受信側では、メールソフトによってなりすまし送信メールを容易に検出し、アイコンや警告ダイアログなどによってユーザに知らせることができるようになる。フィッシング対策協議会では、フィッシング被害を減らすために、サービス事業者に対してDMARCを導入することを強く推奨している。