DMARC導入とポリシー強化に向けた運用に課題 クレジットカード会社に求められる対応とは!?
クレジットカード不正利用の原因の一つである、フィッシング詐欺の被害は留まるところがありません。2024年2月には総務省、警察庁及び経済産業省警察からクレジットカード会社などに対し、なりすましメールを防ぐDMARCの導入を始めとするフィッシング対策の強化の要請が出されました。PCI DSS v4.0のベストプラクティス要件でもあるDMARCは、なぜ今求められているのか。リンクでPCI DSS準拠を促進するサービスを担当する滝村 享嗣と、メールリレーサービスのプロダクトマネージャー・菱沼憲司の2人が、今後クレジットカード会社がとるべき対策について語りました。
1. クレジットカード会社に対するフィッシング対策強化の要請
――フィッシング詐欺の被害をなくすため、2024 年2月に総務省、警視庁及び経済産業省からクレジットカード会社などに対して、DMARCの導入とポリシー強化を要請したことが話題となりました。この要請が出された理由を教えてください。
●クレジットカード会社等に対するフィッシング対策強化の要請
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000184.html
●クレジットカード会社等に対するフィッシング対策強化の要請
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000184.html
滝村 皆さんのところにも日々フィッシング詐欺を狙う「なりすましメール」が届いていると思います。数ヵ月前には電力会社をかたったなりすましメールがニュースになりましたが、圧倒的に多いのはクレジットカード会社やクレジットカードを利用するECサイトのなりすましメールです。
世に出回るなりすましメールの数が多ければ、当然騙される人も増えてしまいます。実際にフィッシング詐欺被害のデータを見ると、クレジット・信販系が 一番多く約 50.1 %、次がEC 系で 約 14.9 %と、この2つで60%を超えています。 なりすまされることが多いクレジットカード会社やECサイトは、利用者を守るためにも当事者としてしっかり対策をしてくださいという要請だと受け取っています。
●2024/04 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202404.html
世に出回るなりすましメールの数が多ければ、当然騙される人も増えてしまいます。実際にフィッシング詐欺被害のデータを見ると、クレジット・信販系が 一番多く約 50.1 %、次がEC 系で 約 14.9 %と、この2つで60%を超えています。 なりすまされることが多いクレジットカード会社やECサイトは、利用者を守るためにも当事者としてしっかり対策をしてくださいという要請だと受け取っています。
●2024/04 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202404.html
菱沼 なりすましメールは、フィッシング詐欺の入口として送るものです。なりすましメールには偽のサイトに飛ぶURLのリンクが貼ってあります。遷移先の偽サイト(フィッシングサイト)でIDやパスワードを入力すると情報が抜き取られ、アカウントを乗っ取られてお金を奪われたり、ECサイトで勝手に買い物をされたりといった被害に遭うという仕組みです。
なりすましメールを使ったフィッシング詐欺は昔からあるものですが、その手法がどんどん巧妙化しているという面があります。例えば、完全に無差別になりすましメールを配信するのではなく、その人が普段利用しているサービスやクレジットカード会社、ECサイトなど、ある程度ターゲットを絞ったなりすましメールが届くようになってきました。自分が契約しているサービスやクレジットカードからのメールとなると、疑いのレベルが下がりますよね。そこで何の疑問も持たずにURLをクリックしてしまう人は、IDやパスワード、さらには住所や電話番号といった個人情報まで入力してしまうケースが増えています。
なりすましメールを使ったフィッシング詐欺は昔からあるものですが、その手法がどんどん巧妙化しているという面があります。例えば、完全に無差別になりすましメールを配信するのではなく、その人が普段利用しているサービスやクレジットカード会社、ECサイトなど、ある程度ターゲットを絞ったなりすましメールが届くようになってきました。自分が契約しているサービスやクレジットカードからのメールとなると、疑いのレベルが下がりますよね。そこで何の疑問も持たずにURLをクリックしてしまう人は、IDやパスワード、さらには住所や電話番号といった個人情報まで入力してしまうケースが増えています。
滝村 クレジットカードを持つ方の年齢層が上がってきているというのもフィッシング詐欺被害が増えている要因だと考えられます。よくよく考えるとクレジットカード会社がメールで暗証番号を聞いてくることなんて絶対にありませんよね。でも、これまであまりパソコンなどに触れてこなかった方もスマートフォンでメールを利用するようになり、そういうものかと思ってつい入力してしまうので、被害に遭いやすいんです。
菱沼 結局、フィッシング詐欺を防ぐためには、その入口であるなりすましメールを撲滅するしかありません。とは言っても、これまでは技術的に防ぐ手段がなかったので、事業者側としても「自社の名前をかたったなりすましメールに気をつけてください」とお客さまに注意喚起を促すくらいしかできませんでした。事業者側もなりすましメールを送られている被害者だったわけです。
ところがDMARCの登場によって、ドメイン所有者側でなりすましメールを排除することが可能になったことで「うちも被害者で困っているんです」とは言っていられなくなってきた。これからは、「なりすましメールが送られてくる会社=しっかりとしたなりすまし対策を取っていない会社」と見られてもおかしくない時代になっていくと思います。
ところがDMARCの登場によって、ドメイン所有者側でなりすましメールを排除することが可能になったことで「うちも被害者で困っているんです」とは言っていられなくなってきた。これからは、「なりすましメールが送られてくる会社=しっかりとしたなりすまし対策を取っていない会社」と見られてもおかしくない時代になっていくと思います。
2.DMARC導入と運用 。早急な対応が必要なクレジットカード業界
――なりすましメール対策としてはDMARCが一番効果があるということですか。
菱沼 これまでも、なりすましメールを防ぐために「SPF」や「DKIM」などの技術が使われてきました。SPFは送信元のIPアドレスを使って、DKIMは電子署名を使って、そのメールの送信者が正当かどうかを判断します。でもこの2つの認証方法はメールに表示される送信元アドレスを認証するわけではないので、悪意を持った第三者がSPF・DKIMを合格させた上でなりすましメールを送信するのを防ぐことはできませんでした。
そこでDMARCは、メールソフト上で表示される送信元ドメイン(=ヘッダFrom)を基準にメールの認証を行います。メールを送る企業やサービスは、基本的に差出人のところに自社のドメインを使って送っていますよね。第三者がヘッダFromをなりすましても、DMARCを導入していれば「SPF」や「DKIM」で認証したドメイン名とヘッダFromが一致しているか検証するので、なりすましメールだと判断できるわけです。
さらに、DMARCは送信元ドメインのなりすましを防ぐことに加えて、自社のドメインになりすましたメールをどう処理するかを、ドメインの所有者が指定できるようになります。DMARCには3段階のポリシーがあります。最初のステップである“none (ノン)”は、監視のみを行うもので、認証に失敗したなりすましメールもそのまま配信されます。次の段階となる“quarantine (クアランティン)”になると、なりすましメールを迷惑メールフォルダに隔離でき、もっとも強固な“reject(リジェクト)”では、メールを配信させず削除できるようになります。DMARCを導入すれば、なりすましメールによる攻撃というのは限りなくゼロにすることができます。
さらに、DMARCは送信元ドメインのなりすましを防ぐことに加えて、自社のドメインになりすましたメールをどう処理するかを、ドメインの所有者が指定できるようになります。DMARCには3段階のポリシーがあります。最初のステップである“none (ノン)”は、監視のみを行うもので、認証に失敗したなりすましメールもそのまま配信されます。次の段階となる“quarantine (クアランティン)”になると、なりすましメールを迷惑メールフォルダに隔離でき、もっとも強固な“reject(リジェクト)”では、メールを配信させず削除できるようになります。DMARCを導入すれば、なりすましメールによる攻撃というのは限りなくゼロにすることができます。
滝村 fjコンサルティングとかっこが共同で取りまとめた「キャッシュレス・セキュリティレポート 2023年10-12月版(2024年4月発行)」によると、イシュア(クレジットカード発行会社)が使用しているドメインのうち、DMARCを設定している割合は約36.2%にとどまっています。しかもポリシーは半分以上が“none”のままで、“reject”まで引き上げているドメインは約26.1%とまだまだ少数です。
これは2023年12月時点のレポートなので、さすがに今はもっと増えているとは思いますが……。実際にすでに“reject”まで対応が進んでいたら、私たちのところになりすましメールが届かないはずですよね。でも今も普通に届いているということは、DMARC対応が遅れている証拠だと言えると思います。
これは2023年12月時点のレポートなので、さすがに今はもっと増えているとは思いますが……。実際にすでに“reject”まで対応が進んでいたら、私たちのところになりすましメールが届かないはずですよね。でも今も普通に届いているということは、DMARC対応が遅れている証拠だと言えると思います。
(引用)キャッシュレス・セキュリティレポート 2023年10-12月版(2024年4月発行) (https://frauddetection.cacco.co.jp/media/data/11204/)
菱沼 2024年2月以降、GoogleがGmail宛に1日5000通以上送る送信者はDMARCの導入を義務づけたことで、確かに導入は進みましたが、とりあえず“none”で設定しただけという会社がほとんどです。“none”はあくまでファーストステップであって、ポリシーを引き上げないとなりすましメールは排除できません。これからが本当の意味でのDMARC運用になってきます。
「我々はDMARCを導入しましたので大丈夫です」という事業者の方も、DMARCレコードの設定を見ると、 “none”を指定していて、DMARC レポートすら受け取らない設定にしているということが本当に多いです。DMARCのポリシーを引き上げるためにはDMARCレポートを分析して、自社ドメインを使用してメールを送信しているサーバーの情報や、送信したメールの認証状況などを把握する必要があります。DMARCレポートを受け取らないというのは、今後ポリシーを上げるつもりはありませんと宣言しているようなものです。ほとんどの人がDMARCレポートの重要性を分かってないというが現状です。
「我々はDMARCを導入しましたので大丈夫です」という事業者の方も、DMARCレコードの設定を見ると、 “none”を指定していて、DMARC レポートすら受け取らない設定にしているということが本当に多いです。DMARCのポリシーを引き上げるためにはDMARCレポートを分析して、自社ドメインを使用してメールを送信しているサーバーの情報や、送信したメールの認証状況などを把握する必要があります。DMARCレポートを受け取らないというのは、今後ポリシーを上げるつもりはありませんと宣言しているようなものです。ほとんどの人がDMARCレポートの重要性を分かってないというが現状です。
滝村 結局、Gmailに送れなくなると困るからDMARCを導入しただけで、フィッシング詐欺対策とは思っていない事業者が多いのでしょうね。クレジットカード業界を見ても、事業者にIT技術者がそんなに多くいるわけではないので、DMARCに対応するのはWebやメールを管理しているベンダーの仕事になります。ベンダー側はDMARCに対応しなければいけないと知ってはいても、結局、依頼を受けない限りは動けない。ところが事業者側はそこまで重要だと思っていないので進まないという状況だと思うんですよね。
菱沼 これはDMARC以前からよくあることですけど、メールは当たり前になりすぎていて、誰が管理するのか明確になっていないことが本当に多いです。メール周りで何か対策を取る必要が出た時に、メール配信を行っている事業部が主導するのか、メールサーバーを管理している情報システム担当が取りまとめるのか、あるいはメールを送る仕組みを作った開発会社がやるのかなど、業務分掌が曖昧になっています。みんな対応しなければいけないんだろうなと薄々思ってはいるけど、自分がやるとは思っていない。メール周り「あるある」です。
滝村 経営者側もメールをあまり重要視していないのか、それが自分たちのお客さまにどういう悪影響を及ぼしているのかまで考えようとしない。なりすましメールで被害が出たら、経営リスクにもなり得ると思うんです。そこまでの認識がないですし、そもそも自分たちのドメインのなりすましが多いかどうかなんて把握していない。DMARCレポートのような手段があることさえ、誰も知らせてくれないというのも、DMARCの導入や運用が進まない原因になっている気がします。
3. DMARCのポリシー強化。必要なのはレポート分析と対策の実行
――DMARCはPCI DSS v4.0の要件にも含まれているそうですね。
滝村 そうですね。PCI DSS v4.0への対応期限は2024年3月末までだったんですけど、ベストプラクティスとして、1年間対応期日が猶予されている要件があります。その中に「フィッシング攻撃を検知し、個人を保護するためのプロセスと自動メカニズムの実装」という要件(番号:5.4.1)が含まれています。同じことが実現できれば別にDMARCでなくてもいいのですが、現実的にはDMARCに対応しなさいということですよね。
クレジットカードセキュリティのサービスを提供している我々としては、PCI DSS v4.0の準拠という観点からも、業界に向けてDMARCの必要性を啓蒙していくと共に、メールの専門家である菱沼さんたちが提供している「ベアメール」と協力して、クレジットカード業界に特化したDMARC導入・運用を進めるサービスを提供していく予定です。
クレジットカードセキュリティのサービスを提供している我々としては、PCI DSS v4.0の準拠という観点からも、業界に向けてDMARCの必要性を啓蒙していくと共に、メールの専門家である菱沼さんたちが提供している「ベアメール」と協力して、クレジットカード業界に特化したDMARC導入・運用を進めるサービスを提供していく予定です。
菱沼 これまでも何社かDMARCの導入をサポートしていますが、最初に皆さん「2、3ヵ月で“quarantine”まで引き上げたい」とおっしゃるのですが、実際にはその倍以上の期間が必要です。
どうしてそんなに期間が必要なのかというと、みなさん自社のドメインから誰がどんなメールを送っているかをすべて把握できてないからです。
どうしてそんなに期間が必要なのかというと、みなさん自社のドメインから誰がどんなメールを送っているかをすべて把握できてないからです。
菱沼 よくある例としては「自社の送信メール環境をどれくらい把握されていますか」と質問すると大抵、「うちの部署で管理しているのですべて分かっています」という答えが返ってきます。ところがDMARCレポートを見てみると、誰が送っているのか分からないメールがたくさん出てきます。そこで改めて社内で調査すると、別の部署がマーケティングオートメーションのSaaSと契約してメールを送っていましたとか、キャンペーン用のWebサイトを作っていてそこから自動返信メールを大量に送っていましたとか、いろいろ出てきます。もし、この状況を確認せずに“quarantine”に設定してしまったら、必要なメールまでなりすましメールと判断され、お客さまに届かないことになってしまいます。
となると、DMARCレポートを見て、自分たちが把握できていない送信メールが、本当に自社から送っているのか、それともなりすましメールなのかを確認していく必要があります。そしてその上で、すべてのメール配信環境が認証に合格できるようにしないといけません。ブランドごとにドメインがあったり、サブドメインが大量にあるような大規模の会社だと、すべてのドメインでその作業をやらなければならないので、我々がサポートしていても、半年以上はかかると思います。
DMARCレポート自体そのままでは解析するのは難しいですし、解析できてもその後具体的にどういうアクションをとるべきかはやはり専門家に頼ったほうが、手間や時間を短縮できると思います。
となると、DMARCレポートを見て、自分たちが把握できていない送信メールが、本当に自社から送っているのか、それともなりすましメールなのかを確認していく必要があります。そしてその上で、すべてのメール配信環境が認証に合格できるようにしないといけません。ブランドごとにドメインがあったり、サブドメインが大量にあるような大規模の会社だと、すべてのドメインでその作業をやらなければならないので、我々がサポートしていても、半年以上はかかると思います。
DMARCレポート自体そのままでは解析するのは難しいですし、解析できてもその後具体的にどういうアクションをとるべきかはやはり専門家に頼ったほうが、手間や時間を短縮できると思います。
滝村 ベストプラクティス要件は2025 年 3 月までに準拠する必要があります。そう考えるとあまり時間は残されていません。これまではDMARCを導入・運用したいと思っても、誰に相談すればいいのかが分からないというケースが多かったと思うんです。我々としてはサポートできる体制があるので、気軽に相談してほしいですよね。
菱沼 DMARCは「フィッシング詐欺という犯罪をなくす」という大義名分があるので、もはや導入しないという選択肢は残されていないと思います。Gmailの送信者ガイドラインにしても、今はポリシーは“none”でOKとなっていますが、“reject”、“quarantine”に引き上げないことにはなりすましメールはなくならないので、今後段階的に基準を厳しくしていくはずです。またGmailだけではなく他のメールサービスも追随することは間違いありません。そのときになってどこにもメールが送れないという状況に陥らないためにも、今からDMARC導入・運用を進めておくにこしたことはありません。私たちは企業のメール配信環境の改善を支援してきた実績がありますので、安心して頼っていただければと思います。
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。
株式会社リンク
クラウド・ホスティング事業部 サービス企画部 部長
菱沼 憲司
株式会社リンクでエンジニアとしてベアメタルクラウド・ベアメールのサービス企画・開発、販売促進のためのプリセールスを担当する。