実在する企業や組織をかたってフィッシングサイトへ誘導し、ID/パスワードなどのクレデンシャル情報やクレジットカード情報を盗み取ろうとしたり、取引先担当者になりすまして、ターゲットに金銭を送金させようとしたりする「なりすましメール」の脅威が増加し、甚大な被害が生じています。
そんな中、なりすましメールの被害を食い止め、安心してインターネットを利用できる環境を作るために、「DMARC(Domain-based Message Authentication Reporting and Conformance)」という技術が注目を集めています。 DMARCとは、なりすましメールなどを防ぐ送信ドメイン認証技術です。DMARCを導入することにより自社ドメインのなりすましメールから受信者を保護し、自社ブランドを保護することができます。
さまざまなお客様の課題解決を支援してきたNRIセキュアテクノロジーズ(以下、NRIセキュア)の遠藤良二、下山洋一と、メールセキュリティ対策に精通した日本プルーフポイント株式会社(以下、プルーフポイント)の増田幸美 氏、佐藤剛 氏が、DMARC等の具体的な対策例を挙げつつ、日本企業が抱える課題と取り組むべき対策のポイントについて深掘りします。
増田:プルーフポイントでは全世界のメールトラフィックの約4分の1をチェックし、メールに関する脅威データを収集してきました。それによると、2022年の一年間でメールの脅威が爆発的に増加し、2021年に比べて3倍、2020年比では4倍となっています。
しかも、昔はメールの添付ファイルをクリックするとマルウェアが実行され、感染するパターンが多数を占めていましたが、今はほとんどが「クレデンシャルフィッシング」となっています。本文中のリンクをクリックさせ、いつもアクセスしている本物にそっくりな偽のサイトに誘導し、そこでIDとパスワードを入力させる手口です。非常にローテクですが、だからこそハイテクなソリューションでは検知できない攻撃が増えているように見えます。
遠藤:メールフィルタリング技術が高度化し、添付ファイル型の脅威についてはある程度検知・遮断されるようになった結果、別の手法へシフトしているのでしょうか。
佐藤:おっしゃるとおりだと思います。URL型のクレデンシャルフィッシングの場合、偽サイトのドメイン取得やサイト作成も簡単にでき、攻撃のROI(費用対効果)が高いと考えられます。添付ファイル型からURL型への移行は我々のデータからもよく見えており、概ね添付ファイル型の2〜3倍がURL型で占められています。
遠藤:過去には大規模なビジネスメール詐欺(BEC)が日本でも発生しましたが、各社対策をとっている認識はあるものの、一向になくなる気配がありません。どういった背景があるのでしょうか。
佐藤:メールでは「SMTP」という、昔からあるプロトコルが使われていますが、策定された当時は悪用されることを想定しておらず、セキュリティがまったく考慮されていない状況でした。このため、メーラーで見える情報が誰でも簡単に改ざんでき、手軽な攻撃インフラとして使えるものとなったのです。
増田:攻撃者にとってなりすましメールの投資対効果は想像以上に高くなっています。FBIの統計によれば、BECによる損失は一年間で27億ドルに上っており、ランサムウェアの約80倍になっています。
日本の場合は、日本語がおかしかったり、変わったフォントが使われていたりして、気付きやすいと言われてきましたが、最近は自然な日本語が使われるようになり、今や「ChatGPT」が使われるケースもあります。ですので、言語バリアに守られていた時代はもう終わったと思います。
また、地下市場でサイバー犯罪手法が取引され、今や500ドル程度支払えば誰でも使える商業ツールとして流通しています。この辺りの動きも要注意でしょう。
遠藤:企業はさまざまな多層防御を講じてきましたが、フィッシング攻撃への打ち手はあるでしょうか?
増田:なりすましメールには、主に4つの手口があります。1つは、単純に表示名(Display-name)を変えるもので、攻撃者のメールアドレスから送られているにもかかわらず、送信者名には実在する知り合いの名前が表示されるというものです。2つ目は、「O」(オー)を「0」(ゼロ)に変えるといった具合に、正規のドメインによく似た類似ドメインを使う方法です。3つ目は、返信先(Reply-to)を改ざんして攻撃者のところに返信させるものです。そして4つ目はドメイン名のなりすましです。この方法ですと、送信ドメイン認証技術であるSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)もパスしてしまいます。
1つ目と2つ目、3つ目の手法については、注意深くメールアドレスやReply-toを確認することで見破ることができ、セキュリティ教育である程度対処できます。
しかし残念ながら、4つ目については目視で見破るのは困難で、受信箱に届いたフィッシングメールのうち6割が、ドメインのなりすましを用いています。ここを見破るのに送信ドメイン認証技術の「DMARC(Domain-based Message Authentication Reporting and Conformance)」が役に立つんですね。そして、これら4つの手口に対して全体的に有効な対策として、「BIMI(Brand Indicators for Message Identification)」という規格もあります。
下山:なりすましメール対策は、システム面と教育の両輪で守っていくことが重要です。そして、根本から解決するためのプロアクティブな対策がDMARCであり、BIMIであるということですね。
遠藤:日本のメール事情を見てみると、DMARCとBIMIへの対応は非常に遅れていますよね。
増田:プルーフポイントが、主要な企業が利用するドメインに対してDMARCが適用されているかどうかを調査したところ、日本は残念ながら18ヶ国中最下位でした。
西欧諸国では軒並み導入率が70%を超えています。一方日本は残念ながら、日経225の企業でも導入率は31%にとどまっています。しかも、対応済みの企業でもとりあえず入れたという段階にとどまっていることが多いです。
遠藤:なぜここまで導入率が低いのでしょうか。
増田:まずDMARCの認知度が低いことが一つでしょう。また、DMARCの導入は、実際にはSPFかDKIM、どちらかに対応していれば実現できるのですが、両方やらなければならないと勘違いされていることも一因ではないでしょうか。政府のセキュリティ統一基準の中でもSPFとDKIM、DMARCが同列に並んで記述されていました。
遠藤:「and」ではなく、「or」で導入できることが認識されていなかったということですね。
増田:はい。また、国として推進されてこなかったことも理由の一つだと思います。イギリスでは2016年にDMARC導入が義務化されました。またアメリカ政府も政府機関や重要インフラ事業者に対し、段階的な導入を指示しています。日本は残念ながら、2023年になってやっとDMARCの必要性が認識され始めてきました。
下山:他にも、DMARCは、自社になりすましたメールを相手方が受け取らないようにする仕組みなので、「自社を守るものではない」という誤解があるのかもしれません。このため、導入に踏み切るインセンティブが少ないことも大きな要因だと思います。
遠藤:日本のDMARC対応率の低さは、グローバル競争の中で取り残されてしまわないか心配ですが、もう一つ気になるのは攻撃者の視点です。
公開されているDNSの設定情報を見れば、その企業がDMARCに対応していないことは一目瞭然です。このため、DMARC対応が遅れている日本企業が、なりすまし対象にされやすくなるのではないかと危惧しているのですが……。
佐藤:おっしゃるとおりです。攻撃者はできるだけ秘密裏に攻撃しようと考えますが、DMARCが提供するレポート送信機能を活用すれば、攻撃者が使っているインフラの情報が露呈してしまいます。それを避けるために、DMARCに対応していない会社になりすまそうとするのは非常に自然なことだと思います。
増田:これまでDMARCやBIMIを紹介しても「あまり効果はないのではないか」という反応をいただくことが多くありました。しかし2022年7月以降、DMARCが明白な効果をもたらすことを示す動きが出ています。GoogleやYahoo! JAPAN、Appleといった大手企業がBIMI対応を表明しているのです。こうした企業のメールサービスでBIMIに対応したメールを受信すると、その企業のロゴマークが表示されるようになり、誰でも「このメールはこの会社から届いた正規のメールだ」とわかる状況になりました。
BIMIは業界団体が策定した仕様ですが、プルーフポイントは最初のステップから参画してきました。またDMARCについても、当社がビジネスユニットを買収したReturn Pathが仕様策定時から参加し、仕様について深く理解しています。
遠藤:送信側と受信側がともにDMARC対応することで効果が得られるだけでなく、BIMIによって、単独で対応するだけでも効果が得られるようになり、BtoCでプロモーションを展開する企業にとっても一定の効果がある、ということですね。
増田:おっしゃるとおりです。特に、日本人のクレジットカード情報は地下市場で特に高値で取引されていることもあり、日本に対するフィッシング攻撃は非常に盛んです。それを防ぐと言う意味でも、前述の大手のメールサービスがBIMIに対応したのは非常に重要なことだと思います。
遠藤:あらためて、DMARCとBIMIそれぞれの効果についてお聞かせいただけますか。
下山:まずDMARCですが、送信メールの可視化ができ、統制のスタートラインに立つことができます。また、DMARCに対応していることが攻撃者に見えることで、けん制効果が得られるでしょう。かなり大きな第一歩だと思います。ただ、それだけだと強行突破される恐れもありますから、それらをしっかり止める設定をしておくことが重要ではないかと思います。
佐藤:プルーフポイントでは、メールゲートウェイサービスも提供し、さまざまなドメインについて機械的に評価し、スコアリングしています。DMARCに対応すれば、取引先のレピュテーションも調べることができますので、きちんと対応していれば、「この取引先はしっかりやっているね」と信頼を獲得し、レピュテーションを上げるメリットもあります。
遠藤:一方で、専門的な知識をお持ちでないお客様にとっては、導入のハードルは高いのではないかと思います。どのようなステップで進めていくべきでしょうか。
佐藤:まずは、どのようなレコードを登録するかを確認するのが最初のステップです。プルーフポイントでは、DMARCレコード作成支援ツールをWebサイト上で公開しており、こうしたものを使えばほんの1〜2分で確認できると思います。次はDNSサーバでの作業です。DNSサーバにテキストレコードを一行追加し、設定を反映しますが、これも自社管理しているDNSサーバであれば5〜6分で作業できるでしょう。
最後に、そのレコードが正しく設定されているかどうかを確かめます。この3ステップはトータルで10分から15分かかるかどうか、という程度でしょう。さらに、我々のソリューションを活用すれば、SPFのコード追加も再起動なしに行えます。
遠藤:BIMIの実装については、どのような作業が必要になりますか?
佐藤:BIMIを実装するにはいくつかの条件があります。DMARCには「ポリシー」という概念があり、「何もしない」(none)、「検疫する」(quarantine)、「拒否する」(reject)という3つの宣言形態がありますが、BIMIを実装するにはこのうち厳しい方の2つ、つまり検疫100%もしくは拒否のどちらかを設定しておくことが必要です。
遠藤:この3つのポリシーの選択に際し、運用面ではどんなハードルがあるのでしょうか?
増田:まず、DMARCをnoneで運用するのはすぐに実現できます。XML形式のレポートが送られてくるのでツールを使って可視化し、「どのIPアドレスが自社のドメインを使ってメールを送っているか」を把握していきます。
時間がかかるのは、IPアドレスを元に「これはどのシステムが使っているのか」を把握する部分です。送信メールの中に意図しない送信元が存在していた場合、SPFやDKIMを適用し、検疫や拒否といったポリシーを設定する必要があります。
ここまでできれば、BIMIの設定自体は15分程度で行えます。DMARCはnoneの設定でも効果があり攻撃も減りますが、やはりrejectにして、BIMIを導入するのが重要だと思います。
遠藤:ある一定期間運用を回して、rejectの状態に移行していくわけですね。これはお客様のみで進めるパターンが多いのでしょうか、それともベンダーと手を組んで進めることが多いのでしょうか?
佐藤:実際に手を動かす部分はお客様に行っていただきますが、メール送信の最適化には多岐にわたる部署が関わってきます。IT管理者一人で進めるのではなく、全社横断的なプロジェクトとして進めるケースが多いですね。その際、骨の折れる部分もありますので、ベンダーと組んで一緒に進めることをお勧めしています。
遠藤:DMARCやBIMIに対応すると、どのような未来が待っているでしょうか。
増田:DMARCをrejectやquarantineの設定で運用するだけで、日本全体のメールセキュリティが向上します。ある日本企業のお客様ではDMARCを導入し、reject設定で運用することにより、その企業になりすましたメールを一ヶ月で2000万通もブロックできました。
一つの企業がDMARCに対応するだけで、これだけの数の攻撃が取引先やお客様に届かなくなるという大きな効果が得られます。DMARCを自分の組織を守るためのものとしてだけでなく、取引先を含むサプライチェーンやお客様を守るためのもの、と考えていただきたいと思います。
さらにBIMIに対応し、正規のメールに送信元のロゴマークが表示されるようになると、一般の方がそれを目にし、なりすましメールかどうかを判断できるようになります。なりすましメールの見抜き方を、一般の方に非常にわかりやすい形で提供できることは、社会的意義も非常に大きいことだと思います。
加えて、ロゴマークが毎回表示されるためブランド力が向上し、お客様のロイヤリティ向上につながる効果も期待できると思います。結果として、送信するメールの到達率も高まるでしょう。セキュリティとブランド力の両面で効果があると思います。
下山:他にも、お客様から送信元のコールセンターへ「このメールは本物か」と問い合わせが寄せられることがあります。コールセンターに連絡する時点で、お客様には何らかの疑念が生じてしまいます。DMARCやBIMIを導入していればこういった問い合わせも減るため、コールセンターの負担軽減になったケースもあります。
ブランドの信頼感が増加することで、メールマーケティングのプロモーション効果の向上も期待できると考えています。
佐藤:マーケティング効果の件は、事実、メールの到達率が18%向上したというお客様もあります。
遠藤:こうした効果のあるDMARCとBIMIですが、日本企業への普及に向けて我々はどんなお手伝いができるでしょうか。
下山:NRIセキュアとしてはお客様に寄り添い、DMARCの対応方針をアドバイスするなどして、安心してDMARC導入が進められるようご支援していきたいと思います。その結果、個々の企業のブランドだけでなく、一般の利用者様を含めた日本全体のメールセキュリティ環境の向上に寄与できればうれしいですね。
佐藤:私たちも日本全体のセキュリティを向上させたいと考えています。詳しい知識がない方でも安心して利用できるインターネットの世界を実現するために製品やソリューションを提供していますが、DMARCは手軽に実行できる対策の第一歩だと捉えています。これからも粘り強くDMARCを推進し、その先のセキュリティ向上につなげていきたいと思います。
増田:DMARCやBIMIが普及すれば、なりすましがやりにくくなります。すると攻撃者は、他の手段を講じるようになるでしょう。つまり、攻撃者にとって攻撃のハードルが高くなり、攻撃がより難しくなると考えられます。
また、DMARCやBIMIが浸透していくと、対応の有無が企業の評価基準の一つになるでしょう。DMARCやBIMIに未対応のメールはレピュテーションが低下し、受け取らない設定にすることも考えられます。つまり、DMARCやBIMIによるホワイトリストのようなイメージです。その結果、ますますメールのセキュリティは向上し、安心してインターネットを使えるようになると思います。
遠藤:これから日本企業がグローバルでブランド力や競争力を向上させていくためにも、DMARCやBIMIの対応をプルーフポイントと一緒に支援していきたいと思います。本日はありがとうございました。