実在する組織や個人を騙った「なりすましメール」による被害が拡大の一途を辿っており、世界的に経済社会・問題になっています。2023年12月にGoogleがメール送信者のガイドラインを発表し、DMARC(ディーマーク)によるメール認証が注目されるようになりました。この記事では、DMARCについて、導入の必要性や設定方法について分かりやすく解説します。
目次
なりすましメールによる経済被害が社会問題化
経営者や取引先になりすましたメールで詐欺グループの口座に送金を促す「ビジネスメール詐欺(BEC)」の被害額は約4,050億円に達しています。一般社団法人日本クレジット協会によると、2023年のクレジットカード不正利用額は前年より23.9%多い540.9億円で過去最悪となりました。カード情報などを盗み取るフィッシング詐欺が広がり、生成AIの悪用により手口の巧妙化し不正利用は増加の一途です。
特定の企業や団体を標的としたメールによる標的型攻撃でも「なりすましメール」が攻撃手法として利用されています。
なりすましメール、フィッシングメールやビジネスメール詐欺などのスパムメールは、送受信されるメールの4割に達しています。このような背景から、なりすましメールが経済的にも社会的にも問題になっています。
なりすましメールを送信できてしまう「メールの技術仕様」
「なりすましメール」を送信できる理由は、メールの仕組み(技術仕様)により、メールアプリに表示される名前と実際の送信者名が別名称であっても送付することができるからです。
例えば、ABC株式会社に所属する山田花子さんに「なりすましたメール」の表記は次のようになります。山田花子さんからのなりすましメールの受信者は、メールアプリに表示されるメールアドレスや送信元の表記と、本文を確認します。
メール本文の内容が、実際に山田花子さんから送られてくるであろう内容であれば、「なりすましメール」であることを見破ることはできません。
メールアプリでの表記 | 実際の送信情報 | |
メールアドレス | yamada_hanako@abc.co.jp | yamada_hanako@zyxwv.co.jp |
送信元の表記 | 山田花子(ABC株式会社 ) | yamada, zyxwv |
また、なりすましされた山田花子さんも、自分のメールアドレスや表記が悪意のある第三者に利用され「なりすましメール」の送信に利用されていることを知る由もありません。
封書で送られる紙の手紙では、封書の場合、封筒の差出人と、書面の差出人を別人で記載をすることができます。メールの場合、送信元のメールアドレス(差出人)は「ヘッダーFrom」、メールアプリで表示されるメールアドレスが「エンベロープFrom」になります。
メールアプリでの表示 | 実際の送信情報 | |
メールの仕様 | エンベロープFrom | ヘッダーFrom |
メールアドレス | yamada_hanako@abc.co.jp | yamada_hanako@zyxwv.co.jp |
このような現在のメール技術を悪用し、攻撃者が「なりすましメール」を送ることを防ぐことは、標準的なメールシステムでは防ぎきれません。
そこで、送信された自分の組織から送られたメールなのか認証することで「なりすましメール」か否か「見える化」するメール認証の技術が「DMARC」です。
「なりすましメール」を受信を拒否し、その結果を可視化するDMACR導入のススメ
「なりすましメール」を可視化
DMARCを導入することで、あなたの組織になりすましてメールを送信しているユーザーがいないか、どのメールが認証され、どのメールが認証されなかったのか、またその理由を可視化できます。また、認証されなかったメールの処理方法を受信者に指示できるため、「なりすましメール」が、お客様や取引先に届くことを未然に防ぐことができます。
「なりすましメール」の送信を可視化するDMARCレポート
ドメインの所有者がDMARCポリシーに基づき生成される、メールの認証結果のレポートを確認することで、自身のドメイン名が不正利用されていないかを監視し、必要に応じてセキュリティポリシーを調整できます。
主要なDMARCレポートには、XML形式で定期的に送信される「集計レポート」と、DMARC認証に失敗したここのメールに関する詳細情報を提供する「フォレンジックレポート」があります。
集計レポート(Aggregate Reports)
集計レポートは、自身のドメインから送信されたメールが受信サーバでどのように処理されたかを定期的に集計しXML形式で提供されます。次のような情報が集計されます。
- 送信元IPアドレス: メールを送信したサーバのIPアドレス
- メールの件数: 送信元IPから送信されたメールの件数
- DMARCの評価結果: 各メールがDMARCの認証に成功したか、失敗したか
- 認証結果の処理ポリシー: 無視(何もしない)、隔離(迷惑メールフォルダへ移動)、拒否(受信拒否)
- SPFおよびDKIMの結果: SPF、DKIMの認証結果
フォレンジックレポート(Forensic Reports)
フォレンジックレポートは、DMARC認証に失敗した個々のメールの詳細情報をリアルタイムで報告します。以下のような情報が含まれることが多いです。
- 失敗したメールの内容: ヘッダー情報を含む、失敗したメールの詳細な内容
- 失敗した具体的な理由: DMARC認証の結果何が問題だったか
- 送信時刻および送信元情報: メールが送信された時刻と地理的な位置情報
DMARC認証が失敗した「なりすましメール」の受信を拒否する
ドメインの所有者は、自身のドメインになりすましたメールが届き、DMACの認証に失敗したい場合、そのメールを、 無視(何もしない、受信トレイに届ける)、隔離(迷惑メールフォルダへ移動)、拒否(受信拒否)のいずれかから指定できます。
DMARCのメール認証を導入することで、自身のドメインに「なりすましたメール」の認証が失敗した際には、メールの受信の「拒否」に設定することで、自身のドメインになりすましたメールの受信を防ぐことができます。
悪意のあるメールを防御
現在のメール技術では、メールの送信元を偽装できるため、受信したメールが正規の送信者か悪意のある送信者かを区別できません。しかし、DMARCを導入することで、正規の送信者からのメールであることを区別できるため、お客様への信頼性の向上や従業員をフィッシング詐欺やビジネスメール詐欺、メール標的型攻撃から保護できます。
DMARCとは
DMARCは、メールに表示された本来の送信元の「ヘッダーFrom」ドメインから正規に送信されたメールであるかどうかを認証する、送信ドメイン認証の技術です。具体的には、SPF(エス・ピー・エフ)、DKIM(ディーキム) において、メールが適切に認証されていることを確認し、組織のドメインを騙る詐欺メールを受信トレ イに到達する前にそのまま受信する、隔離する、ブロックのいずれかの処理をポリシーとして定めます。
SPF(Sender Policy Framework)
SPFは、 組織のドメインから E メー ルの送信 を許可する送信者のIPアドレスをDNSレコードに記載します。メールを送信するIPアドレスがそのSPFレコードに記載さ れていない場合、そのメールはSPF 認証に失敗します。受信したメールがSPF認証に失敗してもメールをブロックすることはできません。
DKIM(DomainKeys Identified Mail)
DKIMは、メールの送信者がそのメッセージが認証された送信ドメインから来たことを公開鍵と秘密鍵による電子署名で確認し、メッセージが途中で改ざんされていないことを検証するメール認証方法です。しかし、メール送信されたあと、受信する前に何者かがメールを署名されていない部分を改ざんしたり、鍵の強度が弱いことで鍵を偽造できるリスクがあるため、メールが改ざんされていないことを証明する技術ではありません。
DMARCによるメール認証の仕組み
DMARCは、受信したメールをSPFとDKIMで認証しその結果の処理を、「特に何もしない」、「認証に失敗したら不審なメールとして扱う」、「認証に失敗したらメール拒否」といったポリシーで定めます。
DMARCは、SPFによるドメイン所有者のメールサーバーのIPアドレスから送信されたメールなのか、電子署名によってメールの改ざんを防ぐ仕組みのDKIMによりメールを認証します。
ドメイン所有者の対応 | メール受信サーバーの対応 | |
SPF(エス・ピー・エフ) | 予め DNS サーバーに組織のメールサーバーが使用するIP アドレスを登録します。 | ヘッダーFromのドメインのIPアドレスが、メール送信サーバーのIPアドレスと一致するかを確認します。 |
DKIM(ディーキム) | 予めDNSサーバーに、公開鍵を登録します。秘密鍵で電子署名を作成しそれを付加してメールを送信します。 | メールの受信サーバーは、送信元のDNSサーバーの公開鍵を使って電子署名を照合し認証します。 |
DMARCのメリット
詐欺被害の防止やリスクを低減
多くの組織がDMARCによるメール認証を導入することにより、なりすましメールをフィルタリングしたり受信を拒否できるため、フィッシング詐欺やビジネスメール詐欺の被害の防止やリスクを低減できます。
ステークホルダーの保護
なりすましメールによる不正送金や情報漏洩などのリスクから、お客様、取引先、従業員を保護できます。これは、経済的な被害や損失の低減のみならず、信頼性の向上にも繋がります。
ブランドの保護
ブランドになりすましたメールの受信を防げるため、ブランド毀損のリスクを低減しブランドを保護できます。DMARCに対応していることを公にすることで、サイバーセキュリティへ毅然と対応しているという姿勢を表明できます。
DMARCの設定方法
DMARCの設定は、契約しているドメイン管理(DNS)管理サービスの管理画面やDNSサーバーで設定します。ドメイン管理サービス各社のWebサイトでは、DMARCの設定方法やポリシーの設定方法について詳しく案内されていますので、それらを参照してください。DMARCについての具体的な設定は、DMARCレコードの設定をご覧ください。