検索
ニュース

増える「ビジネスメール詐欺」、添付ファイルもURLもない、なりすましメールを判別できますか?SPF、DKIMだけでは対応は困難

日本でも増加傾向にある「ビジネスメール詐欺」(BEC)。しかし、メールに添付ファイルもURLもないため、サンドボックスやフィルタリングでは対策が難しいのが特徴だ。企業はどうやって対策すべきなのだろうか。

Share
Tweet
LINE
Hatena
日本プルーフポイント セールスエンジニアリング部 部長 高橋哲也氏
日本プルーフポイント セールスエンジニアリング部 部長 高橋哲也氏

 セキュリティ企業の日本プルーフポイントは2017年12月12日、なりすましメール対策技術「DMARC(Domain-based Message Authentication, Reporting & Conformance)」から得られる認証結果情報(DMARCレポート)を解析し、見やすい状態にするクラウドサービス「Proofpoint Email Fraud Defense」(Proofpoint EFD)を国内で提供開始することを発表した。また併せて、ビジネスメール詐欺(BEC)の状況について話した。

 「近年、BECが増え、日本でも被害が確認されている」と話すのは、日本プルーフポイント セールスエンジニアリング部 部長を務める高橋哲也氏だ。BECとは、テキストだけで構成されたなりすましメールでお金や情報をだまし取る手法。添付ファイルやURLがないため、定義ファイルを使ったフィルタリングやサンドボックスでは検出が難しいという。


BECはテキストだけで構成されたメールのためフィルタリングやサンドボックスでの検出が難しい(出典:日本プルーフポイント)

 米国連邦捜査局(FBI)の調査によると2013年10月から2016年5月までに米国インターネット犯罪苦情センターに報告されたBECの被害件数は1万5668件、被害総額は約11億ドルだった。その後、2016年6月14日までの被害件数は大幅に増加し、被害件数は2万2143件、被害総額は約31億ドルになっている。

 「BECは、送信者のドメインや表示名、返信先を偽っているため、見えないところにわながある。また従来使われてきたSender Permitted From(SPF)Domainkeys Identified Mail(DKIM)といったメール認証では、攻撃者によるなりすましメールを検出できないことがある。そこで必要となるのがDMARCのレポートだ」(高橋氏)


DMARCの基本動作(出典:日本プルーフポイント)

 しかしDMARCレポートは、1つ1つXML形式で届くため解析するのに非常に労力がかかる。「そこで今回発表したProofpoint EFDは、XML形式で届くレポートを読み込むと自動で解析、集計し、DMARCの判定結果を見やすい形にする」と高橋氏は話す。

 Proofpoint EFDはDMARCの判定結果だけでなく、SPFとDKIMの認証結果も表示する。ユーザーは、メールのブロック数や認証結果、国別の送信元などを、専用のポータルサイトからリアルタイムおよび定期のレポートで確認が可能だ。そのレポートを基に、なりすましに使われたIPアドレスをファイアウォールのブラックリストに追加したり、DMARC/SPF/DKIMレコードの最適化(パラメータのメンテナンスなど)に活用したり、なりすましメールのリジェクト設定を行ったりできるという。


Proofpoint EFDで分かることと使えること(出典:日本プルーフポイント)

 「Proofpoint EFDの最終ゴールは、なりすましメールのリジェクトだ。だが、むやみにリジェクトしてしまうと、本来届くべき正しいメールが届かなくなる可能性がある。なりすましメールのリジェクトには注意が必要だ。ポータルサイトのレポートを基に、リジェクトのタイミングを見極めることが大切になる」(高橋氏)

 そこで日本プルーフポイントは、マネージドサポートをProofpoint EFDと併せて提供。DMARC/SPF/DKIMレコードの最適化やなりすましメールのリジェクトに関してアドバイスをするという。

 「攻撃者は、攻撃対象の企業がDMARCに対応しているかを確認する。対応していた場合、『他のセキュリティ対策も行っている』と認識し、攻撃対象から外す可能性がある。つまり、DMARCに対応することで攻撃されにくくなるのだ。DMARCに対応することが、取引先や社員を攻撃者から保護する上で重要になるだろう」(高橋氏)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る