なりすまし対策技術「DMARC」を本気で活用するために：有識者は「ビジネスでメールを使い続けるなら導入必須」と指摘

サイバー攻撃はすっかり身近になってしまった。企業にとって特に厄介なのがさまざまな攻撃の起点となる「なりすましメール」だ。もはや人の目で「本物かどうか」を判定できないこの攻撃にどのように対処すればいいのか。

[PR／＠IT]

PR

メールに対するセキュリティ対策は喫緊の課題

　情報処理推進機構（IPA）が2023年1月に公開した「情報セキュリティ10大脅威 2023」では、個人の脅威の1位が「フィッシングによる個人情報等の詐取」、会社など組織の脅威の7位が「ビジネスメール詐欺による金銭被害」だった。これらは、どちらも「電子メール（以下、メール）が悪用されることが多い」という共通項がある。

　個人レベルでは、コミュニケーションツールとしてのメールを使う機会は減り、SNSやメッセージングサービスを利用することが増えている。だが、企業での利用についてはまだまだメールが中心だ。

TwoFiveの加瀬正樹氏

　TwoFiveの加瀬正樹氏（開発マネージャー）は、「企業と個人（B2C）、企業と企業（B2B）のコミュニケーションにおいては、依然としてメールの利用が多い。B2C、B2Bのメール環境では、『フィッシングメール』や『なりすましメール』などから利用者を守るセキュリティ対策が不可欠だ」と指摘している。

　メールのセキュリティ対策として有用な幾つかの技術がある。メールを送信するときの認証技術「SMTP認証」（SMTP-AUTH）、メールの秘匿性を確保する「S/MIME」（Secure / Multipurpose Internet Mail Extensions）の他、送信元ドメイン認証に関連する「SPF」（Sender Policy Framework）、「DKIM」（DomainKeys Identified Mail）、「DMARC」（Domain-based Message Authentication, Reporting, and Conformance）などだ。

　さまざまな技術の中で、加瀬氏が薦めるのがDMARCだ。

SPFとDKIMで送信ドメイン認証をチェックし、「送信元メールアドレスがなりすましされている」と判断した場合に、ポリシーによって「拒否する」「隔離する」「何もしない」のいずれかを設定できる

　「DMARCは、基本的なメールセキュリティ対策として採用すべき技術だ。欧米の政府機関では『DMARCの採用を必須にする』と発表しており、日本でも2023年2月に総務省、経済産業省、警察庁が連名でクレジットカード会社などに対して『DMARCによるフィッシング対策の強化』を要請しているなどその有用性が注目されている」（加瀬氏）

　日本国内では「Yahoo！メール」や「ドコモメール」などでDMARC対応が進んでおり、海外では「Google Workspace」「Microsoft 365」などのメール機能が対応しているという。「こうした傾向は、メールを送信する側の企業がDMARCに対応するモチベーションにつながっている」と加瀬氏は話す。

偽装を見破るだけでなく、「野良サーバ」の把握も容易に

　DMARCが注目されている理由の一つに、「人の目では、なりすましメールかどうかを見極められなくなってきた」ことが挙げられる。なりすましメールの事例はメディアなどで見る機会も多いが、より巧妙な偽装メールが登場しており、人間による判断が困難になっているという。「こうした背景もあり、DMARCのように機械的にメールのドメイン情報を認証、分析して『本物か、なりすましか』を判断する技術の必要性が高まっている」と加瀬氏は指摘している。

巧妙化する、なりすましメール

　DMARCは要するに「なりすましを自動的に見極めるための技術」だ。“認証”と“分析”という技術的な2つの側面がある。認証技術は、「正しいメールか、なりすましメールか」を判定する技術のこと。分析技術は、メールサーバでメッセージを受信したときの認証結果を一定期間蓄積し、送信側のドメインに対してフィードバックする技術を指す。

　認証技術の視点でいえば、自社のなりすましが起きたときに、DMARCで設定した「拒否」「隔離」などのポリシーに従って、その偽メールの送信を止めたり偽メールの送信者にペナルティーを与えたりすることができる。「つまり、認証に失敗したメールを受信者のメールボックスに届けないようにできる」と加瀬氏は説明している。

　分析技術の視点では「自分たちの送信環境が適切な設定なのかどうか」「自分たちが知らないところでなりすまされたメールが送信されていないかどうか」を確認できるというメリットもある。なりすましメール対策以外にも「シャドーIT」「野良サーバ」などの実態把握にも有用だという。

　「IT部門の承諾なしにクラウドのメールサービス（シャドーIT）を使ったり、旧世代のメールシステムや独自のメールサーバ（野良サーバ）を利用していたりする事業部門がある。DMARCを活用すればそれらの実態を把握できる」（加瀬氏）

　DMARCを利用するには「送信側」と「受信側」の双方での作業が必要だ。送信側の作業は比較的簡単で、DNSに所定の記述をしたレコードを設定すればよい。一方受信側は、認証のための機能をメールサーバに実装する必要がある。「多くの場合、アプリケーションのインストールや新たな設備の導入などをしなければならない」と加瀬氏は説明している。

日立ソリューションズの和田智洋氏

　オープンソースソフトウェアの仕組みもあるが、サポートの有無や運用の負荷などに懸念を覚える企業はある。そこでTwoFiveは、送信側としてクラウド型DMARC解析サービスの「DMARC/25 Analyze」、受信側としてDMARCレポート送信プラットフォーム「DMARC/25 Reporter」を提供している。さらに、同社はこれらにDMARC導入前のメール環境のコンサルティングサービス「DMARC/25コンサルティング」を加え、日立ソリューションズと協力して多くの顧客に展開している。TwoFiveが「DMARC観点での改善点の洗い出し」を担当し、日立ソリューションズは「メールサーバ対応の作業支援」を担当するといった役割分担になっている。

　日立ソリューションズの和田智洋氏（インフォメーションシェアリングソリューション部　第1グループ　ユニットリーダ）は、「企業ブランドに大きな影響が出るため、なりすましメールの“被害に遭う前の対策”が重要だ」と指摘している。

　「日立ソリューションズは、ゲートウェイを使って怪しいメールをブロックするクラウドサービス『Fortimail Cloud』とオンプレミス製品『Cloudmark Security Platform for Email』を提供している。DMARCと組み合わせることでメールセキュリティをさらに強化できる」（和田氏）

送信側、受信側、コンサルティングの3つで構成されるDMARC/25

　DMARC/25 Analyzeは、送信側に送られる大量のDMARCレポート（フィードバックデータ）をTwoFiveが受信、蓄積して分析から可視化までを実施するサービスだ。

　「自分たちが所有しているドメインにDMARCを設定した後に、フィードバックを受信して、それをTwoFiveのクラウドサービスで受け取り、分析サービスを利用するといったダッシュボード的な使い方が可能だ」と加瀬氏は説明している。同サービスは2017年6月から提供されており、2023年2月現在で1000ドメイン以上の実績がある。蓄積されるデータ量も膨大で、1カ月当たり約50億通のメールに相当する分析データを蓄積しているという。

DMARCレポートの集計、分析、見える化が可能

　DMARC/25 Reporterは、メールを受信するときのDMARCの認証機能や定期的にレポートをフィードバックする機能を利用できるサービスだ。受信するメールサーバにプラグイン「Milterプログラム」を導入して使う。

　加瀬氏はDMARC/25 Analyzeについて次のように説明している。

　「受信サーバからの大量のフィードバックデータを分かりやすい形で可視化してくれる優れたサービスだが、可視化されたデータを誰もが的確に分析できるわけではない。メールシステムの状況を的確に分析するためには、メールに関する知識やノウハウがないと難しい場面もある」

　こうした課題に対応するためTwoFiveは、DMARC導入前だけでなく、導入後の運用コンサルティングサービスも日立ソリューションズと連携して提供している。現状を把握するのはもちろん、隠れた課題を見つけたり最新動向を理解したりするのに役立つ。

　「企業のビジネス形態や企業規模などによってメールに対する需要も変わる。DMARC/25 Analyzeは、さまざまな規模やビジネス形態の企業で利用されているので、状況に応じた分析が可能だ。それに加えてコンサルティングを提供できることが強みだ」（加瀬氏）

　また、DMARC/25の大きな特徴として、日本で開発、運用されている「純国産のクラウドサービス」という点が挙げられる。

　「例えば、データを海外に置くことが許されていない企業は海外ベンダーのクラウドストレージを利用できない。そういった企業でも純国産のクラウドであれば利用できる。その観点でいえばDMARC/25は、制約のある企業を含む、多くの企業に利用してもらえるサービスになっている」（加瀬氏）

　クラウドサービスのため、設備を用意する必要はなく、簡単に利用できる。各種機能は日本のユーザー向けに開発されており、開発会社自らが的確かつ迅速にサポートしてくれるという。

　DMARC/25の導入事例として、クレジットカード会社がある。その企業では既になりすましの被害が発生していた。そこでDMARC/25コンサルティングを使い、現状を分析。対策が必要なメールシステムを特定し、DMARCの導入を決めた。DMARCに最適なポリシーを設定することで、大量に発生していたなりすましメールを受信側で隔離できるようになった。現在はDMARC/25 Analyzeでなりすましメールの状況を常に分析し、日々の運用に役立てているという。

導入前のトライアルが肝心

　DMARC/25 Analyzeの導入について加瀬氏は、次のように話す。

　「DMARC/25 Analyzeは、正式契約前に1カ月無料でトライアルできる。DMARCを導入することでどのようなメリットがあるのかを実際に感じてもらうことで、具体的な導入計画を立てることができる。もちろんトライアルに関しても、TwoFiveと日立ソリューションズがサポートする」

　和田氏は、「既に被害に遭っている企業は喫緊の課題を解決するため。被害に遭っていない企業であれば、現状を把握する手段としてDMARCは有効だ。DMARC/25 Analyzeは導入が簡単でトライアルもできるため、企業には早めに導入を検討してほしい。受信側の支援策も提供できるので、そちらの相談も受け付けている。メールシステムを安心、安全に利用できる環境の構築をTwoFiveとの連携で実現する」と意気込む。

　TwoFiveと日立ソリューションズは「ビジネス形態や企業規模などによって異なるさまざまなメールに対するニーズに合わせてDMARCを最適に運用、活用できるよう支援し、なりすましメールやフィッシングメール撲滅に貢献したい」と述べている。

　DMARCの導入方法が分からない、効果に不安があるから導入に踏み切れない、導入したものの活用できていないといった悩みを抱えている企業やメール配信事業者はTwoFiveと日立ソリューションズに相談してみてはいかがだろうか。