こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
fjコンサルティング株式会社は4月16日、かっこ株式会社と共同でとりまとめている「キャッシュレスセキュリティレポート(2023年10-12月版)」を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】クレジットカード情報流出事件に関する統計データやトレンドなどについて発表されています。メールのセキュリティ対策であるDMARCの概要と、DMARCのポリシーが何もしない状態で運用されている背景について説明します。
今回のレポートは、クレジットカード情報流出事件に関する統計データに加え、直近のカード情報流出事件のトレンドや不正利用のトレンドを解説したものです。内容として、2023年10月から12月のカード情報流出事件7件のうち3件は、コールセンター業務委託先の派遣社員による不正持ち出しでした。また、不正利用被害額は138.6億円で、そのうち番号盗用による被害額は128.1億円と大半を占めていました。なお、不正注文に狙われやすい商材は、1位がチケット、2位がデジタルコンテンツ、3位がホビー・ゲームで、ふるさと納税が9位にランクアップしています。
2023年12月末での国内カード発行会社におけるDMARC対応状況について、調査対象ドメイン392件中、有効なDMARCレコードを設定していたのは142件の36.2%でしたが、85件の59.9%はポリシーを「何もしない(none)」にして運用していたということです。
DMARCとは、メールのセキュリティを強化するための技術です。送信元ドメインを認証することで、フィッシング詐欺やスパムメールなどで送信元ドメインを偽装して送信される、いわゆるなりすましメールを防ぐことを目的としています。
なりすましメールとは、まるで有名企業や知人から送られてきたかのように偽装した悪意のあるメールです。みなさんも、友人になりすましたメールであれば、うっかり開封してしまったり、メールの指示に従ってしまったりするのではないでしょうか。
メールは、何もセキュリティ対策をしていないと、技術的には簡単になりすましができてしまいます。そこで、DMARCなどメールのセキュリティを強化する技術を導入することで、フィッシング詐欺やスパムメールを迷惑メールとしてフィルタできるような環境を構築しています。
DMARCのポリシーが何もしない状態で運用されている背景として、誤検知のリスクや業務への影響を懸念していることが考えられます。
DMARCのポリシーを拒否に設定すると、メール送信者がSPFやDKIMの設定を正しく行っていない場合や、送信元のメールサービスが頻繁に変わる場合などに、一部の正当なメールが誤って拒否される可能性があります。結果として、顧客や取引先からの重要なメールが届かなくなる場合があるため、業務への影響を懸念していることが考えられます。
今回は、メールのセキュリティ対策であるDMARCの概要と、DMARCのポリシーが何もしない状態で運用されている背景についてお届けしました。現在、段階的な導入が進んでいるDMARCですので、メールのセキュリティ対策として、これを機に導入を検討してみてはいかがでしょうか。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
