なりすましメールを防ぐDMARCってなに? 専門家に聞いた今すぐ導入すべきセキュリティ対策
詐欺メールやなりすましメールへの対策として、注目を集めている「DMARC」。なぜ今、「DMARC」が必要なのか。「DMARC」を導入するメリットはどこにあるのか。メールリレーサービスのプロダクトマネージャー・菱沼憲司が、今後必須となるメールセキュリティ対策「DMARC」のいろはを、日本プルーフポイントのチーフエバンジェリスト増田幸美さんにお聞きしました。
1.なりすましを防ぐDMARCってなに?
菱沼 私はリンクが提供している「ベアメール」というメール到達率を改善するサービスの担当をしています。ここ数年メールセキュリティの強化が進み、普通のメールも迷惑メールと誤検知されてしまいメールが届かないケースが増えています。私たちはエラーメッセージやお客さまのサーバー環境などをチェックして、メールがちゃんと届くようにサポートをさせていただいています。
メールを確実に届けるために、以前は送信元の信頼性を高めるドメイン認証技術であるSPFの設定を行っていれば問題なかったのですが、今はSPFに加えてDKIMも対応しなさいと言われるようになってきました。それに加えて、2022年頃からDMARCのニュースを目にする機会も増えてきました。私としてはDMARCが実際に普及するのはまだ先だなという感覚でいたのですが、ここに来てDMARCの導入を進める企業が増えているという話もよく耳にするようになりました。
メールリレーサービスを運営する立場として、メールセキュリティの観点だけではなく、必要なメールを届けるためにも、今後はお客さまにDMARC導入の推進をしていかなくてはいけないのかなと考えています。
そこでDMARCが具体的にどういうものなのか、実際にどのように導入を進めるのかといった点について、世界でDMARC導入を推進しているProofpoint(プルーフポイント)さんにお話をうかがいたいと思って、増田さんにお時間をいただきました。今日はどうぞよろしくお願いします。
メールを確実に届けるために、以前は送信元の信頼性を高めるドメイン認証技術であるSPFの設定を行っていれば問題なかったのですが、今はSPFに加えてDKIMも対応しなさいと言われるようになってきました。それに加えて、2022年頃からDMARCのニュースを目にする機会も増えてきました。私としてはDMARCが実際に普及するのはまだ先だなという感覚でいたのですが、ここに来てDMARCの導入を進める企業が増えているという話もよく耳にするようになりました。
メールリレーサービスを運営する立場として、メールセキュリティの観点だけではなく、必要なメールを届けるためにも、今後はお客さまにDMARC導入の推進をしていかなくてはいけないのかなと考えています。
そこでDMARCが具体的にどういうものなのか、実際にどのように導入を進めるのかといった点について、世界でDMARC導入を推進しているProofpoint(プルーフポイント)さんにお話をうかがいたいと思って、増田さんにお時間をいただきました。今日はどうぞよろしくお願いします。
菱沼 DMARCについてニュースで目にするようになりましたが、メールセキュリティの新しい規格ということは何となく知っていても、その詳しい内容までは理解している方はまだまだ少ないと思います。最初にDMARCがどういうものなのかを教えてください。
増田 DMARCはDomain-based Message Authentication, Reporting, and Conformanceの頭文字を取ったもので、プルーフポイントの事業会社であるReturnPath社とGoogle社、Meta社などが集まって作ったインターネット標準のプロトコルになります。なぜこのDMARCが作られたのかというと、なりすましメールによる詐欺、いわゆるフィッシング被害を防ぐためです。
なりすましメールには大きく3つの手口があります。
1つ目はごく単純な手口ですが、メールの表示名だけを変えた「表示名詐欺」です。表示名はいつもやり取りをしている山田太郎さんなのに、メールアドレスをよく見ると全く別の差出人になっているパターンです。
2つ目は「類似ドメイン」と言って、メールのドメインを似せたパターンです。ヤマダ商事さんから来ているメールだと思っていたけど、よく見ると@yamadashojiの「o」が数字の「0」になっている。この2つのなりすましメールは送信者をしっかりとチェックする習慣をつけていれば見抜くことができます。
一番やっかいなのが3つ目の「ドメインのなりすまし」です。メールの表示名もアドレスも普段やり取りをしている山田さんのものに間違いない。ところが開いてみたら詐欺メールだった……。
どうしてこういうことが起こるのかというと、実はメールに表示される差出人の情報であるヘッダfromは、誰でも簡単に書き換えることができるんです。これを利用したのが「ドメインのなりすまし」になります。
なりすましメールには大きく3つの手口があります。
1つ目はごく単純な手口ですが、メールの表示名だけを変えた「表示名詐欺」です。表示名はいつもやり取りをしている山田太郎さんなのに、メールアドレスをよく見ると全く別の差出人になっているパターンです。
2つ目は「類似ドメイン」と言って、メールのドメインを似せたパターンです。ヤマダ商事さんから来ているメールだと思っていたけど、よく見ると@yamadashojiの「o」が数字の「0」になっている。この2つのなりすましメールは送信者をしっかりとチェックする習慣をつけていれば見抜くことができます。
一番やっかいなのが3つ目の「ドメインのなりすまし」です。メールの表示名もアドレスも普段やり取りをしている山田さんのものに間違いない。ところが開いてみたら詐欺メールだった……。
どうしてこういうことが起こるのかというと、実はメールに表示される差出人の情報であるヘッダfromは、誰でも簡単に書き換えることができるんです。これを利用したのが「ドメインのなりすまし」になります。
2. DMARCで変わるメールセキュリティ
増田 これまで迷惑メール対策としては主に「SPF※1」と「DKIM※2」が使われてきました。SPFは送信元のIPアドレスを使って、DKIMは電子署名を使って、そのメールが正当なものかどうかを判断します。ところがどちらもヘッダfromとエンベロープfromが同じかどうかまではチェックしていないので、なりすましメールを完全に見分けることはできません。そこをしっかり見るのがDMARCの役割です。
DMARCはアライメントという、ヘッダfromのドメイン名がSPFやDKIMで認証したドメイン名と一致しているかどうかをチェックする仕組みがあります。そのためDMARCを導入すると「ドメインのなりすまし」を完全に防ぐことができます。
DMARCを導入するには、SPFとDKIMの両方に対応しなければいけないと勘違いしている人が多いのですが、これは誤解でSPFかDKIMのどちらかに対応していればDMARCは導入できます。
DMARCはアライメントという、ヘッダfromのドメイン名がSPFやDKIMで認証したドメイン名と一致しているかどうかをチェックする仕組みがあります。そのためDMARCを導入すると「ドメインのなりすまし」を完全に防ぐことができます。
DMARCを導入するには、SPFとDKIMの両方に対応しなければいけないと勘違いしている人が多いのですが、これは誤解でSPFかDKIMのどちらかに対応していればDMARCは導入できます。
※1:SPF(Sender Policy Frameworkの略)は、送信元IPアドレスを使って正当性を検証する仕組み。受信側はメール受信時に送信側のDNSサーバに登録されたSPFレコードと送信元メールサーバの情報のマッチングを行い、送信元の正当性を判断する。SPFが検知できるのは送信元メールサーバの正当性のみであり、ヘッダ情報(ヘッダFromやReply-Toなど)の改ざんなどは検知でない。
※2: DKIM(Domain Keys Identified Mailの略)は、電子署名を使ってメールの内容がオリジナルから改ざんされていないことを検証する仕組み。送信したメールには送信元のDNSサーバーで電子署名が付与される。受信側は送信元DNSサーバから公開鍵情報を取得し、署名が正しいかどうかをチェックする。エンベロープFromの妥当性だけではなく、SPFでは検知できないヘッダ情報(ヘッダFromやReply-toなど)やメッセージ内容の改変も検知できる。
※2: DKIM(Domain Keys Identified Mailの略)は、電子署名を使ってメールの内容がオリジナルから改ざんされていないことを検証する仕組み。送信したメールには送信元のDNSサーバーで電子署名が付与される。受信側は送信元DNSサーバから公開鍵情報を取得し、署名が正しいかどうかをチェックする。エンベロープFromの妥当性だけではなく、SPFでは検知できないヘッダ情報(ヘッダFromやReply-toなど)やメッセージ内容の改変も検知できる。
ヘッダfromとエンベロープfromとは
メールには2つのFROMアドレスとしてHeader-From(ヘッダfrom)とEnvelope-From(エンベロープfrom)が存在する。
郵便物に例えると、AさんがBさんにメールを送るとき、Aさんの書いたメールの外側にエンベロープ(封筒)が作成される。エンベロープには実際の送信に必要な情報(エンベロープfrom)が書き込まれており、その情報を基にBさんへ届けられる。Bさんのメールフォルダにメールが届くとエンベロープは破棄されるため、Bさんがメールを開いたときにはヘッダfromだけが表示される。SPFもDKIMもエンベロープに入っているメールの中身まではチェックしないため、「メール本体に書かれた宛先や差出人(ヘッダfrom)」と「エンベロープに書かれた宛先や差出人(エンベロープfrom)」が同一でなくてもメールは届いてしまう。
増田 さらにDMARCにはもう一つ大きなメリットがあります。それがなりすましメールのコントロールです。これまではなりすましメールを受信するのか、拒否するのかといった対応は、受信側の判断に任せられていました。ところがDMARCを導入すると、自社のドメインになりすましたメールをどう処理すべきか、ドメインの所有者が指定できるようになります。
DMARCには3つのポリシーがあって、最初のステップであるNone (ノン)は、監視のみを行うもので、なりすましメールはそのまま配信されます。次の段階となるQuarantine (クアランティン)になると、なりすましメールを迷惑メールフォルダのような別フォルダに隔離でき、もっとも強固なReject(リジェクト)では、メールを配信させず削除できるようになります。つまりRejectまでいくとその会社のドメインになりすましたメールは基本的にどこにも届かなくなる。それくらい強力なものです。
DMARCには3つのポリシーがあって、最初のステップであるNone (ノン)は、監視のみを行うもので、なりすましメールはそのまま配信されます。次の段階となるQuarantine (クアランティン)になると、なりすましメールを迷惑メールフォルダのような別フォルダに隔離でき、もっとも強固なReject(リジェクト)では、メールを配信させず削除できるようになります。つまりRejectまでいくとその会社のドメインになりすましたメールは基本的にどこにも届かなくなる。それくらい強力なものです。
菱沼 なるほど、DMARCは自社を守るためだけではなく、取引先を守るためにも必要なセキュリティということですね。ただDMARCで完全に防げるのは3つの手口のうち「ドメインのなりすまし」だけですよね。残りの2つの手口である「表示名詐欺」や「類似ドメイン」にはどんな対策をすればいいのでしょうか。
増田 DMARCをRejectまで進めると、BIMI(Brand Indicators for Message Identification)を導入できるようになります。これは信頼性が高いと判断されたメールに対して、ブランドロゴを表示するための規格で、GoogleやYahoo!、プルーフポイントなどの企業が共同で開発しました。BIMIでロゴを使用するためには、事前にロゴを商標登録した上でVMC(認証マーク証明書)を取得する必要があります。商標登録やVMCを取得しているということは、それだけで会社の身元がしっかりしているという証明になります。
つまりBIMIでロゴが表示されているということは、そのメールがなりすましではないことが一目で分かります。逆にいつも付いているはずのロゴがないメールが届いたら、これは「表示名詐欺」や「類似ドメイン」による詐欺メールだと判断できるようになります。
つまりBIMIでロゴが表示されているということは、そのメールがなりすましではないことが一目で分かります。逆にいつも付いているはずのロゴがないメールが届いたら、これは「表示名詐欺」や「類似ドメイン」による詐欺メールだと判断できるようになります。
増田 これまでのセキュリティ対策は、自分の会社が攻撃を受けないようにたくさん壁を作って守るというものでした。ところがDMARCは自社を守るだけではなく、取引先企業やお客さまを守ることもできる。まさにサプライチェーン全体を守るためのセキュリティということができます。
今、大企業を狙った攻撃はサプライチェーンの中でセキュリティが弱いところを見つけ、そこから本丸に仕掛けていくのが主流です。とある世界的に有名な半導体企業は、取引先企業にDMARCの導入をしてほしいと強い要請を出しています。日本企業としても、これまでの自分だけを守るセキュリティから一歩進んで、サプライチェーン全体を守るためにもDMARC導入を進めていくべきだと思います。
今、大企業を狙った攻撃はサプライチェーンの中でセキュリティが弱いところを見つけ、そこから本丸に仕掛けていくのが主流です。とある世界的に有名な半導体企業は、取引先企業にDMARCの導入をしてほしいと強い要請を出しています。日本企業としても、これまでの自分だけを守るセキュリティから一歩進んで、サプライチェーン全体を守るためにもDMARC導入を進めていくべきだと思います。
3.今こそDMARCを導入するべきとき
菱沼 日本ではなかなかDMARCの導入が進まなかったのはどうしてなのでしょうか。
増田 まずは知名度の問題です。私がプルーフポイントに入社した2020年頃は、フィッシング詐欺が横行している日本ではすごく有効な対策なのに全然導入が進んでいませんでした。2022年に18ヵ国を対象にDMARCの導入率を調べたところ、日本は最下位。このままでは日本がメールセキュリティの分野で取り残されてしまうと、内閣サイバーセキュリティセンターや政府統一基準を作成しているグループの方へ向けたロビー活動を続けました。ドメインなりすましを完全に防げる対策であるDMARCを政府の統一基準に入れるべきだと言い続けて、ようやく2023年7月に改訂された「政府機関等の対策基準策定のためのガイドライン」に掲載された。そこでようやくDMARCが一般の方にも認知されるようになってきました。
増田 あとはこれまではDMARCを導入しても正直なところあまり効果がなかったのも大きな理由です。というのは、自分の会社がDMARCを導入したところで、受け取り側がDMARCに対応していないと効果がありません。それが、2022年10月頃からYahoo!メール、GmailなどがDMARCだけでなくBIMIにも対応するようになり、MicrosoftもDMARCに対応しました。
周辺環境が整ったことでまさに今、メールを利用している各企業がDMARCを設定すれば確実にその効果が表れる状況になったと言えます。
周辺環境が整ったことでまさに今、メールを利用している各企業がDMARCを設定すれば確実にその効果が表れる状況になったと言えます。
菱沼 たしかに2022年の秋頃にGmailがセキュリティポリシーを変えましたよね。これまでGmailに問題なくメールが届いていたお客さまも、ポリシーの変更以降届かなくなるケースが増えました。DMARCを導入することで、メールの到達率にも良い影響はあったりするんですか?
増田 そうですね、到達率を改善する効果もあります。受信側のメール判定基準にもDMARCは加味されますから、DMARCを導入しているドメインはより信頼性が高いということで受信者に届きやすくなります。
菱沼 これまでお客さまに「メールを届けるために必ずSPFを設定してください」とか、「DKIMにも対応してください」と案内してきたのですが、それに加えてDMARCの推進もする必要があるということですね。実際にDMARCを導入されている企業というのは増えていますか?
増田 確実に増えていますね。なりすましメール対策が必須となっている金融機関やクレジットカード会社を皮切りに、政府統一基準に載ったことで省庁さんも導入を考え始めています。あとはB to C企業がブランドアウェアネスを高めるためにロゴを表示したいと、BIMIまで進めようという動きもあります。それと製造業でも、取引先企業からサプライチェーンリスク対策の一環としてDMARC導入が求められるなど、いろいろな企業がまさに動き始めています。
4. DMARCを導入するためには何をすればいいの?
菱沼 これから必須のセキュリティになっていくDMARCを導入するには何をすればいいのでしょうか。
増田 実はDMARCを始めるのは、すごく簡単なんです。まずはプルーフポイントのホームページ内にある「DMARCレコード生成、チェックツール」で自社のドメインにDMARCが入っているのかどうかをチェックしてください。DMARCを導入していない場合は「This record is empty」と表示されます。
「This record is empty」だった場合、「DMARC作成ツール」にドメインを入力して送信すればDMARCレコードを自動で作ってくれます。あとはそのレコードをコピーしてDNSサーバに追加し、リロードするだけです。これでDMARCの最初の段階「none」がスタートします。
noneはなりすましを見つけても排除や、隔離することはできません。ただし、なりすましメールがどこのIPから送られているのかというレポートが届くようになります。それだけでも攻撃者は意外と嫌がるので、なりすましの対象として狙われにくくなります。まずはnoneから入れていただき、なるべく早くRejectに、さらにBIMIまで進められればなりすましメール対策は万全と言えます。
「This record is empty」だった場合、「DMARC作成ツール」にドメインを入力して送信すればDMARCレコードを自動で作ってくれます。あとはそのレコードをコピーしてDNSサーバに追加し、リロードするだけです。これでDMARCの最初の段階「none」がスタートします。
noneはなりすましを見つけても排除や、隔離することはできません。ただし、なりすましメールがどこのIPから送られているのかというレポートが届くようになります。それだけでも攻撃者は意外と嫌がるので、なりすましの対象として狙われにくくなります。まずはnoneから入れていただき、なるべく早くRejectに、さらにBIMIまで進められればなりすましメール対策は万全と言えます。
このように、DMARCの導入はnoneまでは簡単なのですが、Rejectまで進めることが実は非常に難しく、専門の知識が必要になってきます。レポートがXMLで送られてくるから読みづらいとか、認証に失敗しているメールが自社の送信しているものなのかわからないとか、DKIMの鍵の管理が面倒くさいとか、あとDNSの再起動中に何かあったらどうしようとか、いろいろな問題が出てきます。プルーフポイントはFortune1000社のうち393社でDMARCの導入支援をするなど、DMARC導入シェアNo.1の実績を誇っています。DMARC導入を考えている企業はぜひ、気軽に相談してほしいですね。
DMARCはドメインなりすましに関しては完全に封じ込めることができる、最終兵器と言えます。世界的に見てもフィッシングメール超大国、被害超大国である日本でDMARCは、これから絶対にやらなければならない基本中の基本の対策になっていってほしいです。そのためにもまずはみなさんにDMARCについて知ってもらえればと思います。
DMARCはドメインなりすましに関しては完全に封じ込めることができる、最終兵器と言えます。世界的に見てもフィッシングメール超大国、被害超大国である日本でDMARCは、これから絶対にやらなければならない基本中の基本の対策になっていってほしいです。そのためにもまずはみなさんにDMARCについて知ってもらえればと思います。
菱沼 今日はDMARCについて色々とお話をうかがえて、非常に勉強になりました。これまではSPFやDKIM導入のサポートをしてきましたが、我々としてもこれからはDMARCの推進もしていかなければいけないと改めて感じました。本当にありがとうございました。
日本プルーフポイント株式会社
チーフ エバンジェリスト
増田 幸美
早稲田大学首席卒業。日本オラクル(株)において、システムコンサルタントとして業務システムの構築を手掛けた後、ファイア・アイ(株)において、脅威インテリジェンスのスペシャリストとして従事。サイバーリーズン(株)ではエバンジェリストとして活動。2018年、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを拝命。現在、日本プルーフポイント(株)においてサイバーセキュリティの啓発活動をおこなっている。2022年度2023年度、警察大学校講師を拝命する。
プルーフポイントhttps://www.proofpoint.com/jp
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。
