セキュリティの
学び場

今回の解説ニュース

警察庁からDMARCの利用について呼びかけられています。メールのセキュリティ対策であるDMARCの概要と、DMARCが普及しない背景について説明します。

今回の発表は、DMARCでフィッシングメールを受信者に届けない[「ejectの設定」と迷惑メールとして取り扱う「quarantineの設定」について取り上げられています。同資料では、DMARCのポリシーをquarantineに設定した場合の動作について、正規メールとなりすましメールの場合をぞれぞれ図入りで説明しています。

DMARCとは？

例えば、みなさんが手紙を私宛に送ったとします。みなさんが、はがきに私の住所を書いて郵便ポストに投函すると、そのはがきは私の家に届きます。ここで、みなさんは自分の名前と住所をはがきに書くこともできるのですが、住所を書かなくても、みなさんが違う人の住所を書いたとしても、はがきは私の家に届くわけです。

メールのシステムも同様に、何ら対策をしていない場合は、宛先が正しく設定されていれば、送信者の情報は任意で設定することができます。この状態だと、簡単に他人へなりすますことができてしまいますので、DMARCなどのセキュリティ対策が必要になります。

DMARCとは、電子メールの送信ドメインを認証して、フィッシングメールなどからドメインを保護するための仕組みです。DMARCはSPFとDKIMの技術をベースにしており、送信者がDNSでポリシーを公開することで、認証に失敗したメールの処理方法を受信者に伝えることができます。

メールという仕組み自体が、インターネット上で各ドメインが相互につながる形で運用されていますので、一種のサプライチェーンのように全員参加のセキュリティ対策が求められるため、DMARCの利用が広く求められていると考えられます。

DMARCの導入率が上がらない背景

日本でDMARCが普及しない理由として、正しいメールも届かなくなる懸念が、DMARCの利用で期待できるセキュリティの効果を上回っていることが考えられます。

例えば、みなさんが、ひざの痛みによく効く薬を紹介されたとします。その薬を試してみたいと思う反面、その薬に少しでも副作用があるとすると、仮によく効く薬だとしても、使用することを躊躇してしまうかもしれません。

DMARCやその他のセキュリティ対策も同様に、何らかの問題が発生する可能性があると、特に保守的な考え方を持つ傾向にある日本企業においては、その実施に対して躊躇したり、実施に至るまで時間を要する可能性があります。これ自体は、リスクの観点から、必ずしも間違った判断とは言えないのですが、弊害としてDMARCの普及に至らない結果を招いていることが考えられます。

＼ 記事をシェアする ／