日本プルーフポイント株式会社は5月25日、日本の主要銀行におけるEメールの安全性に関して現状と課題、考察をまとめ発表した。(記事はこちら)
なりすましメールの対策状況について公表されています。世界と比べて日本の銀行は対策に遅れが生じているということです。なりすましメールの対策について説明します。
2021年4月に日本の主要銀行18行を対象とした調査結果が報告されています。なりすましメールの対策としてDMARC認証を導入している銀行は28%で、最も厳しいレベルの「Reject」ポリシーを導入しているのはわずか1行のみであったということです。DMARCとはDomain-based Message Authentication, Reporting, and Conformanceの略で、メール送信者のドメインを認証する仕組みです。認証に失敗した場合、どのような処理をするかは送信者が決められる特徴を持っています。
一方、Forbes Global 2000の調査によると、DMARC認証を導入している世界の銀行は47%で「Reject」ポリシーの導入は17%と、日本と比べて世界の銀行はなりすましメールの対策が進んでいるとされています。なお、日本のDMARC認証が遅れている理由として「認知不足」「縦割り組織」が挙げられています。DMARC認証はDNSに1レコードを追加するだけで始められますが「Reject」した時の運用などを考えると一歩踏み出せない組織が多いようです。
なりすましメールの対策自体は徐々に広まりつつあると考えています。DMARC認証の詳細とその他のなりすましメール対策について説明します。
まず、メールの受信者が送信者を確かめる方法は、送信者のメールアドレスであるFromを確認する方法しかありません。しかし、メールの技術的な仕様で、Fromは簡単に偽装できてしまいます。メールは、はがき程度のセキュリティレベルしかない、つまり、簡単になりすましができてしまうということです。
そこで、送信者であるFromのドメインを認証する仕組みが開発されました。そのひとつがDMARCです。実はDMARC以外にもSPFやDKIMと呼ばれる送信元ドメインを認証する仕組みは存在していますが、この2つは認証に失敗してなりすましと判断されたメールの処理は受信者側にゆだねられます。つまり、受信者側のメールサーバの設定次第では、なりすましメールもそのまま届いてしまうことになります。
そこで、詐欺目的などのなりすましメールから受信者を能動的に保護するため、認証に失敗した場合の処理を送信者側で決められる仕組みがDMARCです。DMARCでは、なりすましメールに対して、そのまま受信させる「None」と隔離させる「Quarantine」と受信を拒否する「Reject」の、3つのポリシーから選択することができます。送信者で処理を決められることから、なりすましの詐欺が発生しやすい金融サービスでより対応が求められているということです。
その他にも、DMARCにはメールの送信者が受信者からドメイン認証の結果を受け取られる機能や、第三者の署名を許容しないなどの機能もあります。
メールサーバになりすましメールの対策があった上でも、人の目で送信者のFromを確かめることは必要です。その理由について説明します。
DMARCやSPF、DKIMなどが正しく設定されていれば、なりすましメールは発生しません。しかし、なりすましメールのドメイン自体が本物に似せた名前を使っていた場合、最後は受信者が目視で確認する必要があります。例えば、小文字の「l」を「1」に変えたものや、.jpを.xyzに変えたものが挙げられます。また、アルファベットに似た別の文字に置き換えることもあり、目視で確認する場合は注意が必要です。
また、DMARCなどがDNSの技術を応用して実装される仕組みであることから、ドメイン自体が乗っ取られてしまった場合は、送信元ドメインを認証する仕組みも正しく機能しません。DNSを攻撃する手法の一例として「DNSキャッシュポイズニング」があり、脆弱性が放置されているDNSサーバは注意が必要です。
ドメイン自体が乗っ取られてしまうと、なりすまし以外にもフィッシングやファーミングなど、様々なサイバー攻撃に利用されてしまいますので、皆さんでドメインをお持ちの方は、ドメインの更新を忘れないように注意しましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ