セキュリティの
学び場

今回の解説ニュース

日本におけるメールのセキュリティ対策が他国と比べて進んでいない状況について発表されています。メールのセキュリティ対策であるDMARCの内容と、日本でDMARCの導入が進まない背景について説明します。

今回の調査では、日経225企業の過半数となる69％がDMARC認証を導入しておらず、自組織のドメインになりすます詐欺メールを可視化できていないことが判明しました。具体的には、DMARCの実績がある企業で、ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは僅か6%にとどまっていたということです。

なお、経済産業省は、今年になってクレジットカード各社にDMARC導入を求める方針を発表しているということです。

詐欺メール対策「DMARC」とは

DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、メール送信者のドメインを認証する仕組みです。認証に失敗した場合の処理はメールに書かれている送信元の管理者が決められます。

とても長い横文字を使ってしまいましたので、メールをはがきに例えてDMARCを説明します。ご存じの通り、はがきは、宛名と差出人を書いてポストに投函すると郵送される仕組みです。宛名が間違っていると目的の相手には届きませんが、差出人が書かれていなくても、仮に間違っていても、宛名の住所には郵送されます。仮にこれを悪用すると、Aさんになりすました僕が、Bさんへはがきを送ることも簡単にできるわけです。

このなりすましを防ぐためには、はがきに書かれた差出人が、はがきを投函した本人であるか確認することが必要です。例えば、消印が押された郵便局と差出人の住所が同じ地域であれば、なりすましではないことが考えられます。ただしこれでも、Bさんがなりすましに気が付くことはできても、Aさん自身が僕の成りすましについて認識することはできません。仮にAさんが気が付くためには、差出人と消印が異なるなど、なりすましと判断されるはがきが投函された際の処理を、Aさんがあらかじめ郵便局へ届け出ることが本来求められるわけです。

少し長くなりましたが、DMARCの仕組みも同様で、SPFやDKIMなどのセキュリティ対策は、なりすましメールの処理は、あくまでも受信者の判断にゆだねられます。DMARCでは、メールに書かれている送信者がその処理を決められるため、受信者をなりすましメールから保護すると同時に、送信者がなりすまされている状況について把握することが可能となります。

日本の詐欺メール対策が遅れていると言われる理由

他国に比べてDMARC導入率が低い理由は、日本の文化が影響していることが考えられます。今回の調査で指摘されている「日本の組織風土」と「攻撃者の視点」の観点から説明します。

仮に有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない状況を、記事では「茹でガエル的企業文化」と指摘しています。新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする日本の組織風土が、セキュリティ対策についても新しい技術を導入に遅れが生じる原因となっており、そのような状況がDMARC導入率にも表れていることが考えられます。

また、攻撃者の視点で考えた場合、DMARC対応をしていることが情報収集や偵察段階で判明すれば「セキュリティ対策を怠らないターゲット」と攻撃者に思われることで、サイバー攻撃の標的になりづらいことが期待できます。このような効果が、メールのなりすまし対策に限らず、セキュリティ対策全般において、攻撃者の視点を持つことが重要視されている理由です。まさに「彼を知り己を知れば百戦殆からず」の言葉の通りですね。

今回は、メールのセキュリティ対策であるDMARCの内容と、日本でDMARCの導入が進まない背景についてお届けしました。後半はメールのなりすまし対策以外にも役に立つ考え方となりますので、リスナーの皆さんにとって、セキュリティ対策のご参考になれば幸いです。