「メールを使ったサイバー攻撃を防ぐには送受信者の協力が不可欠」――JPAAWGが議論の場を提供する理由：メールセキュリティ対策の現状――フィッシング、なりすましメールの最新動向を追う

フィッシングやなりすましメールなどを使ったサイバー攻撃による被害が毎日のように報告されている昨今、メールセキュリティ対策は急務となりつつある。そんな中、2023年11月、セキュリティの最新技術情報や、日々セキュリティ課題に取り組む技術者同士の情報・意見交換の場を提供する「JPAAWG 6th General Meeting」が開催される。JPAAWG主宰者に、メールセキュリティの重要性とイベントの詳細について話を聞いた。

[PR／＠IT]

PR

フィッシングやなりすましメールは増加傾向、不正送金被害額は2023年上半期で30億円

　企業や個人を問わず、不特定多数が狙われるサイバー攻撃。データを暗号化して身代金を脅迫するランサムウェア攻撃や、IDやパスワードを窃取されECサイトのアカウントに不正アクセスされる被害が、毎日のように報告されている。こうした中で、サイバー攻撃の起点となるフィッシングメールやなりすましメールへの対策は急務となりつつある。

フィッシング対策協議会事務局の平塚伸世氏

　フィッシング対策協議会 事務局 平塚伸世氏（一般社団法人JPCERTコーディネーションセンター）はこう話す。

　「私も先日、著名なECサイトになりすましたメールを受け取りました。『ご注文の確認』という文言で、キャンセルするにはIDとパスワードを入力して確認するよう促されました。普段利用しているITサービスだと、うっかり入力しそうになります。また、最近はITサービス側もログイン通知や注文確認、請求金額の通知など、さまざまなメールを送っています。サイバー攻撃者はそれらの正規メールの文面をコピーして、なりすましで攻撃をしかけてくるため、見分けがつきにくいという特徴があります」（平塚氏）

　フィッシングメール自体も増加傾向にある。インターネットイニシアティブの今村侑輔氏（ネットワーク本部 アプリケーションサービス部 運用技術課）はこう話す。

インターネットイニシアティブの今村侑輔氏

　「警察庁やフィッシング対策協議会が公開している各種資料を見ても全体的な傾向としてはフィッシングメールが増えていると分かります。メール事業者や企業も、メールシステムの機能追加や乗り換えなど、対策に乗り出しつつあります」（今村氏）

　2023年8月8日には警察庁が「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増」と題した注意喚起を公表している。2023年上半期における被害件数は、過去最多の2322件、被害額は約30億円に達していた。

フィッシング報告件数の推移（2023年8月時点）（提供：フィッシング対策協議会）

　「金融機関を装ったフィッシングサイトへ誘導するメールが多数確認されており、メールやSMSに記載されたリンクからアクセスした偽サイトに、IDやワンタイムパスワード、乱数表などのパスワードを入力しないよう訴えています。大手銀行だけでなく、地方銀行やカード会社なども、なりすましメールの偽装対象にとなっているとみられます」（櫻庭氏）

脅威の可視化、メールセキュリティ対策に役立つ「DMARC」　適用率は米国8割、jpドメインで1割

ソフトバンクの北崎恵凡氏

　フィッシングやなりすましが増加する背景にはさまざまな要因がある。フィッシングメールは2023年6月までに増加し、7〜8月には落ち着いた。平塚氏によると、8月に海外で犯罪グループが逮捕されて以降、日本向けのフィッシングメールの配信が少なくなったことが可能性として挙げられるという。

　「フィッシング対策の理想は、犯行グループを警察に逮捕してもらうことです。ただ、現在は捜査から逮捕までには時間がかかるのと、一部の実行犯が逮捕されても、犯罪者側は分業化して残存している部分もあるので、完全に断ち切るのは困難です」（平塚氏）

　また日本ではフィッシングの対象としてレガシーなモバイルSMSが狙われた時期もあったが、近年はメールに戻りつつあるという。

　ソフトバンクの北崎恵凡氏（ネットワーク運用本部 プラットフォーム運用統括部 アプリケーションプラットフォーム部 プラットフォーム運用課)はこう語る。

JPAAWGの櫻庭秀次氏（JPAAWG 会長、インターネットイニシアティブ 技術研究所 技術連携室 シニアリサーチエンジニア 博士〈工学〉）

　「SMSが狙われたことを受け、SMSのフィルター機能の実装など対策は進みました。しかし、対策が充実してくると、攻撃者はより簡単に悪用できる手段を探すようになります。その結果、日本ではフィッシングメールが目立つようになったと考えています。攻撃が目立つ部分だけでなく、全方位的に対策を講じる必要があると感じています」（北崎氏）

　メールセキュリティ対策という意味では、そもそもの遅れを指摘する声も少なくない。JPAAWG（Japan Anti-Abuse Working Group） 会長 櫻庭秀次氏は、こう話す。

　「JPAAWGは、グローバル組織のM3AAWG（Messaging, Malware and Mobile Anti-Abuse Working Group）と連携しながら、フィッシングメールやスパムメール、なりすましメールなどについて議論や情報共有をしています。M3AAWGで交わされる議論に参加すると、日本のユーザー企業のメールセキュリティ対策には全体的に遅れがあると言わざるを得ません。ドメイン認証技術の1つであるDMARC（Domain-based Message Authentication, Reporting, and Conformance）の設定率は、米国の政府系では8割を超えます。一方、jpドメインについては、政府系のgo.jpドメインも含めて1割程度とかなり低い状況です。JPAAWGに参加している企業を中心に、DMARCの認知、理解は進んできてはいます。しかし、グローバルで比較すると遅れてしまっています」（櫻庭氏）

金融機関による注意喚起のメールがフィッシングメールと誤解も　その教訓

　メールセキュリティ対策を巡っては、啓発の難しさもある。ある金融機関がフィッシングメールの注意喚起するメールを顧客向けに送信したが、そのメールがフィッシングメールのような文面であり、話題になったことも記憶に新しい。

　「届いたメールの文面を表面的に判断するのではなく、DMARCなどの送信ドメイン認証の結果も表示して見せることで、正規メールであると判断する助けになると思います。メールを作成する企業、メールを配信する企業、メールを受け取る企業それぞれでメールやドメインに関するセキュリティ意識を高め、有効な対策を議論していくことが必要だとあらためて感じた事例です」（平塚氏）

　こうしてみると、フィッシングメールやなりすましメールに対抗していくためには、単にソリューションを導入すれば解決するというわけではなく、当事者間や事業者間で情報を共有しながら、相互に連携して効果的な対策を講じていくことが重要といえる。

　そこでJPAAWGが力を入れているのが、DMARCを始めとする送信ドメイン認証技術の普及や、セキュリティに関してディスカッションし、情報共有できる場の提供だ。

　「DMARCには、DMARCレポートという機能があり、ドメインから送信されたメールの認証状況を知ることができます。自社のなりすましメールが送信されていないかどうかを監視することにも活用できるのです。しかし、実際には利用されていないか、よく知られていないというのが現状です。なぜこうなるかといえば、メールセキュリティの担当者は、目の前のさまざまな仕事に追われており、メールセキュリティ対策に関する情報を得ることが難しいためだと考えています。特に地方でセキュリティを担当している人は、周囲に相談できる企業も人も少なく、モチベーションを保つことが難しい状況に置かれています。こうした現場の人々を支援することが必要だと強く感じています」（櫻庭氏）

　JPAAWGがメールセキュリティに関する議論や情報共有の場として毎年開催しているのが、2023年で6回目の開催となる「JPAAWG General Meeting」だ。2023年11月6〜7日に石川県金沢市で開催される。

　「2022年（第5回）は長崎県長崎市にある出島メッセ長崎とオンラインでのハイブリッド開催でした。現地で直接議論する場を設けながら、オンラインでも開催し、参加登録者は過去最大となる705人となりました。2023年は、開催地を石川県金沢市に移し、現地参加限定のセッションも開催予定です」（櫻庭氏）

11月6〜7日に金沢市で開催される「JPAAWG 6th General Meeting」の見どころは

　JPAAWG 6th General Meetingの見どころの1つは、オープンラウンドテーブル（ORT）だ。

　「決められたテーマに基づいてポジティブな意見交換を行います。日々の業務で得た情報を持ち寄り、共有しながら、セキュリティ対策や啓発活動につなげていきます。日々の苦労をねぎらったり、ネットワーキングに活用してもらったりすることもできます。セキュリティに関しては、直接顔を合わせてお互いの話に耳を傾けることで、公開されないような内容を肌で知る機会になり、モチベーションにもつながります」（櫻庭氏）

　もう1つの見どころとして「DMARC体験コース」セッションがある。DMARCに関するトレーニングセッションを通じて、これからDMARCを導入したり検討したりする担当者向けにトレーニングを提供する。DMARCをどのように利用するのか、メリットは何かなどを伝える形だ。

　話題のテーマに沿った興味深いセッションも数多く用意されている。電子政府推奨暗号の安全性を評価、監視し、暗号技術の適切な実装法、運用法を調査、検討するプロジェクトである「CRYPTREC」に関するセッションがある。また、大きく注目されているセキュリティにおけるAI（人工知能）活用について、フィッシングメールをAIで解析する取り組みや、生成AIなど目覚ましい進化を遂げる技術がセキュリティでどう活用できるかなどを議論するセッションがある。

　企業の具体的な取り組みとしては、LINEやYahoo!メールでの取り組み事例、楽天におけるメールセキュリティの取り組み事例、携帯キャリアによるSMSフィッシング（スミッシング）対策の最新事例などが紹介される。また総務省などの政府系機関が、メールセキュリティ対策にどう乗り出しているのか、担当者から直接紹介するセッションも予定されている。

　「2023年8月には『Microsoft 365』の利用企業で取引先にメールが届かなくなるIPブラックリストサービス上のトラブルもありました。メール配信事業者やISPだけでなく、ITサービス事業者、セキュリティベンダー、ユーザー企業のIT、セキュリティ担当者など、メールにかかわる全ての人が参加して、メールに関するトラブルの情報交換やメールセキュリティ対策の取り組み方法など、さまざまな意見を聞ける貴重な機会です」（今村氏）

　「増え続けるフィッシングメールへの対策にどう取り組んでいくべきなのか、皆さんと議論を進めながら前に進んでいければと思います」（平塚氏）

　「フィッシングメールはなかなかなくなりません。送信ドメイン認証などの対策を充実させても、その仕組みの中で悪用しようとする人も出てきます。メールを安全、安心に利用していくために、さまざまな議論を重ねていくことが重要です」（北崎氏）

　「メールを巡る運用のトラブルや、メールセキュリティ対策の方法など、日々生まれるさまざまな悩みがあれば、JPAAWGのような場を活用することで、情報格差をなくして前向きな気持ちで取り組めるはずです。JPAAWGはメールだけでなく、DNSやWebなど基盤アプリケーションのセキュリティも対象にしています。興味のある人はぜひ参加してください」（櫻庭氏）

JPAAWGのメンバー（左上が今村侑輔氏、右上が櫻庭秀次氏、左下が北崎恵凡氏、右下が平塚伸世氏）