![なりすましメールを防ぐDMARCってなに? 専門家に聞いた今すぐ導入すべきセキュリティ対策](https://cdn.clipkit.co/tenants/1081/articles/images/000/000/456/large/8d561926-34b2-4b19-902c-4a9cf0ff136f.jpg?1695792874)
なりすましメールを防ぐDMARCってなに? 専門家に聞いた今すぐ導入すべきセキュリティ対策
詐欺メールやなりすましメールへの対策として、注目を集めている「DMARC」。なぜ今、「DMARC」が必要なのか。「DMARC」を導入するメリットはどこにあるのか。メールリレーサービスのプロダクトマネージャー・菱沼憲司が、今後必須となるメールセキュリティ対策「DMARC」のいろはを、日本プルーフポイントのチーフエバンジェリスト増田幸美さんにお聞きしました。
1.なりすましを防ぐDMARCってなに?
メールを確実に届けるために、以前は送信元の信頼性を高めるドメイン認証技術であるSPFの設定を行っていれば問題なかったのですが、今はSPFに加えてDKIMも対応しなさいと言われるようになってきました。それに加えて、2022年頃からDMARCのニュースを目にする機会も増えてきました。私としてはDMARCが実際に普及するのはまだ先だなという感覚でいたのですが、ここに来てDMARCの導入を進める企業が増えているという話もよく耳にするようになりました。
メールリレーサービスを運営する立場として、メールセキュリティの観点だけではなく、必要なメールを届けるためにも、今後はお客さまにDMARC導入の推進をしていかなくてはいけないのかなと考えています。
そこでDMARCが具体的にどういうものなのか、実際にどのように導入を進めるのかといった点について、世界でDMARC導入を推進しているProofpoint(プルーフポイント)さんにお話をうかがいたいと思って、増田さんにお時間をいただきました。今日はどうぞよろしくお願いします。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/033/large/ccbd957f-9754-4721-ad97-2c9c98386490.jpg?1694929875)
なりすましメールには大きく3つの手口があります。
1つ目はごく単純な手口ですが、メールの表示名だけを変えた「表示名詐欺」です。表示名はいつもやり取りをしている山田太郎さんなのに、メールアドレスをよく見ると全く別の差出人になっているパターンです。
2つ目は「類似ドメイン」と言って、メールのドメインを似せたパターンです。ヤマダ商事さんから来ているメールだと思っていたけど、よく見ると@yamadashojiの「o」が数字の「0」になっている。この2つのなりすましメールは送信者をしっかりとチェックする習慣をつけていれば見抜くことができます。
一番やっかいなのが3つ目の「ドメインのなりすまし」です。メールの表示名もアドレスも普段やり取りをしている山田さんのものに間違いない。ところが開いてみたら詐欺メールだった……。
どうしてこういうことが起こるのかというと、実はメールに表示される差出人の情報であるヘッダfromは、誰でも簡単に書き換えることができるんです。これを利用したのが「ドメインのなりすまし」になります。
2. DMARCで変わるメールセキュリティ
DMARCはアライメントという、ヘッダfromのドメイン名がSPFやDKIMで認証したドメイン名と一致しているかどうかをチェックする仕組みがあります。そのためDMARCを導入すると「ドメインのなりすまし」を完全に防ぐことができます。
DMARCを導入するには、SPFとDKIMの両方に対応しなければいけないと勘違いしている人が多いのですが、これは誤解でSPFかDKIMのどちらかに対応していればDMARCは導入できます。
※2: DKIM(Domain Keys Identified Mailの略)は、電子署名を使ってメールの内容がオリジナルから改ざんされていないことを検証する仕組み。送信したメールには送信元のDNSサーバーで電子署名が付与される。受信側は送信元DNSサーバから公開鍵情報を取得し、署名が正しいかどうかをチェックする。エンベロープFromの妥当性だけではなく、SPFでは検知できないヘッダ情報(ヘッダFromやReply-toなど)やメッセージ内容の改変も検知できる。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/097/large/c43c1000-2892-446a-a93d-f6637151642b.png?1695794006)
ヘッダfromとエンベロープfromとは
メールには2つのFROMアドレスとしてHeader-From(ヘッダfrom)とEnvelope-From(エンベロープfrom)が存在する。
郵便物に例えると、AさんがBさんにメールを送るとき、Aさんの書いたメールの外側にエンベロープ(封筒)が作成される。エンベロープには実際の送信に必要な情報(エンベロープfrom)が書き込まれており、その情報を基にBさんへ届けられる。Bさんのメールフォルダにメールが届くとエンベロープは破棄されるため、Bさんがメールを開いたときにはヘッダfromだけが表示される。SPFもDKIMもエンベロープに入っているメールの中身まではチェックしないため、「メール本体に書かれた宛先や差出人(ヘッダfrom)」と「エンベロープに書かれた宛先や差出人(エンベロープfrom)」が同一でなくてもメールは届いてしまう。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/036/large/cf19b82b-e40e-442d-acf6-8787d72c0682.png?1694929878)
DMARCには3つのポリシーがあって、最初のステップであるNone (ノン)は、監視のみを行うもので、なりすましメールはそのまま配信されます。次の段階となるQuarantine (クアランティン)になると、なりすましメールを迷惑メールフォルダのような別フォルダに隔離でき、もっとも強固なReject(リジェクト)では、メールを配信させず削除できるようになります。つまりRejectまでいくとその会社のドメインになりすましたメールは基本的にどこにも届かなくなる。それくらい強力なものです。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/037/large/f8f2317d-66e4-418d-a73d-c2bb345d92c5.jpg?1694929878)
つまりBIMIでロゴが表示されているということは、そのメールがなりすましではないことが一目で分かります。逆にいつも付いているはずのロゴがないメールが届いたら、これは「表示名詐欺」や「類似ドメイン」による詐欺メールだと判断できるようになります。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/038/large/db7420d0-5f6e-4e55-befb-0ea7a21d528a.png?1694929879)
今、大企業を狙った攻撃はサプライチェーンの中でセキュリティが弱いところを見つけ、そこから本丸に仕掛けていくのが主流です。とある世界的に有名な半導体企業は、取引先企業にDMARCの導入をしてほしいと強い要請を出しています。日本企業としても、これまでの自分だけを守るセキュリティから一歩進んで、サプライチェーン全体を守るためにもDMARC導入を進めていくべきだと思います。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/039/large/f660e93a-67b6-4498-9d99-323702463b93.jpg?1694929880)
3.今こそDMARCを導入するべきとき
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/040/large/3f624283-b694-44d0-820c-8bebb98fff76.jpg?1694929881)
周辺環境が整ったことでまさに今、メールを利用している各企業がDMARCを設定すれば確実にその効果が表れる状況になったと言えます。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/041/large/8c1be7a0-15d8-437c-b936-25fcd520ba62.jpg?1694929882)
4. DMARCを導入するためには何をすればいいの?
「This record is empty」だった場合、「DMARC作成ツール」にドメインを入力して送信すればDMARCレコードを自動で作ってくれます。あとはそのレコードをコピーしてDNSサーバに追加し、リロードするだけです。これでDMARCの最初の段階「none」がスタートします。
noneはなりすましを見つけても排除や、隔離することはできません。ただし、なりすましメールがどこのIPから送られているのかというレポートが届くようになります。それだけでも攻撃者は意外と嫌がるので、なりすましの対象として狙われにくくなります。まずはnoneから入れていただき、なるべく早くRejectに、さらにBIMIまで進められればなりすましメール対策は万全と言えます。
DMARCはドメインなりすましに関しては完全に封じ込めることができる、最終兵器と言えます。世界的に見てもフィッシングメール超大国、被害超大国である日本でDMARCは、これから絶対にやらなければならない基本中の基本の対策になっていってほしいです。そのためにもまずはみなさんにDMARCについて知ってもらえればと思います。
![](https://cdn.clipkit.co/tenants/1081/item_images/images/000/002/042/large/1b8ab5ed-61a7-401f-b7c2-dc7d001690cf.jpg?1694929883)
![日本プルーフポイント株式会社<br>
チーフ エバンジェリスト<br>
増田 幸美](https://cdn.clipkit.co/tenants/1081/item_field_assets/assets/000/000/128/medium/a023e80f-bff2-4be7-a835-03b4f869d69f.jpg?1694931833)
日本プルーフポイント株式会社
チーフ エバンジェリスト
増田 幸美
早稲田大学首席卒業。日本オラクル(株)において、システムコンサルタントとして業務システムの構築を手掛けた後、ファイア・アイ(株)において、脅威インテリジェンスのスペシャリストとして従事。サイバーリーズン(株)ではエバンジェリストとして活動。2018年、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを拝命。現在、日本プルーフポイント(株)においてサイバーセキュリティの啓発活動をおこなっている。2022年度2023年度、警察大学校講師を拝命する。
プルーフポイントhttps://www.proofpoint.com/jp
![株式会社リンク <br>
クラウド・ホスティング事業部 サービス企画部 部長<br>
菱沼 憲司](https://cdn.clipkit.co/tenants/1081/item_field_assets/assets/000/000/129/medium/e7473441-1243-4b7c-9f38-1ed8fe01028b.jpg?1694931884)
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。