TwoFive、自社を偽る“なりすましメール”の検知サービスを提供：DMARCを活用、外部からの通報に頼らずなりすましを把握

さまざまなマルウェアやフィッシングの経路として悪用される電子メール。TwoFiveでは、なりすましによる不正なメールを見分け、フィルターするための技術「DMARC」を活用し、自社ドメインをかたった不正メールの動向を把握できる「DMARC / 25 Analyze」の提供を開始する。

[高橋睦美，＠IT]

　電子メールシステムの設計、構築のコンサルティングなどに特化したTwoFiveは2017年6月21日、なりすましメール対策技術「DMARC（Domain-based Message Authentication, Reporting & Conformance）」を活用し、企業や団体になりすました不正メールの動向を把握し、対策に踏み出せるよう支援する新サービス「DMARC / 25」を発表した。

　標的型攻撃やランサムウェア、不正送金マルウェアの攻撃経路は、かなりの割合で電子メール、それも送信元を偽装し、他人になりすましたメールで占められている。こうした偽装を送信元のIPアドレスを確認したり、電子証明を用いて見破るために開発された技術が「SPF（Sender Policy Framework）」や「DKIM（Domain Keys Identified Mail）」だ。DMARCは、これらの技術を使って、SPF／DKIM認証に失敗した、つまり「なりすましメールである可能性が高いと判定された」メールをどのように扱うかを定める仕組みだ。当該するメールへ、単に警告マークを付けてユーザーに対処を促すのではなく、管理者側で不正メールとして破棄したり、隔離したりできる。

　サービスの第一弾である「DMARC / 25 Analyze」では、DMARCの認証情報を顧客のメールシステムから収集し、クラウド上で解析する。その結果をグラフなどを用いて可視化することで、自社ドメインになりすまして送信された可能性の高いメールを把握できる。他に、SPFやDKIMの認証に成功した正規のメールや、転送など何らかの技術的な原因で認証に失敗したメールの割合が把握できる他、なりすましメール送信元ホストのRBL（Realtime Blackhole List：迷惑メールとされる中継・発信元のIPアドレスをまとめたリスト）チェックの結果やWhois情報、地理情報といった詳細も把握できる。

「DMARC / 25 Analyze」では、認証に成功したメールと失敗したなりすましの可能性が高いメールの推移を把握できる。「失敗」にスパイクが生じたら要注意となる

　例えば、「ある日突然、認証に失敗したメールが突発的に急増したら、『誰かが自社の誰かになりすましてメールを送り、攻撃キャンペーンを展開しているのではないか』と推測できる」とTwoFiveの末政延浩氏は述べている。これまで、ユーザーや取引先企業といった外部からの通報や、送信エラーで自社に返ってくるバウンスメールの動向などで間接的にしか把握できなかった自社・自組織へのなりすましメールを把握し、顧客への注意喚起につなげることも可能だ。

　TwoFiveでは2017年12月以降、DMARC / 25 Analyzeのメニューとして「なりすまし検知アクション」も提供していく計画だ。各種のRBLやメールフィルターを提供するセキュリティベンダーと共有する他、公的機関との連携、メールや電話によるテイクダウン依頼といったアクションを実施していく。また、そもそもの前提として自社メールシステムをDMARCに対応させる「DMARC / 25 Sender」や、受信メールをDMARCを用いてフィルタリングする「DMARC / 25 Defender」といったメニューも、サービスプロバイダーと連携して提供していくという。

　なお、米国をはじめとする海外では既に普及しつつあるDMARCだが、日本ではその割合がまだ1割未満にとどまっている。迷惑メール対策推進協議会の櫻庭秀次氏は「送信ドメイン認証などの対策を打たないままでは、自社ドメインが悪用され、受信者に被害を与えるだけでなく、自社のブランドイメージを損なう恐れもある」と指摘し、「迷惑メール、なりすましメールを減らしていくためにDMARCの認知度を向上させ、普及させていきたい」と述べた。

　TwoFiveではこうした背景もあって、なりすましメールの手口とDMARCの効果、使い方などの解説や設定チェックツールを提供するポータルサイト「ナリタイ」もオープンしている。

なりすましメールの手口とDMARCの効果、使い方などを解説するポータルサイト「ナリタイ」