ニュース
なりすましメール対策にドメイン認証技術「DMARC」導入を、日本では85%が未導入
ウイルス添付の迷惑メールを防ぐ工夫をIIJが解説
2016年10月18日 06:00
株式会社インターネットイニシアティブ(IIJ)が17日、メールセキュリティの最新動向についての報道関係者向け説明会を開催。主に、なりすましメールに対応する送信元認証技術の「DMARC(Domain Message Authentication Reporting & Conformance)」や、IIJセキュアMXサービスでウイルスに対応するためのサンドボックス防御およびウェブメールの工夫を解説した。
新しいドメイン認証技術「DMARC」
なりすましメールへの対策技術については、櫻庭秀次氏(ネットワーク本部アプリケーションサービス部シニアエンジニア)が解説した。
迷惑メールの検知数は2010年以降は減少傾向にあったが、2016年3月から上昇し、ウイルス添付メールがバースト的に増加しているという。6月には、国内大手旅行代理店が、取引先になりすましたメールにより情報漏えいを起こしたことも報道されている。
送信者のなりすまし防止についてはSPFやDKIMといったドメイン認証が使われてきているが、それで防げないものとして櫻庭氏は、メールヘッダーのFrom:行の問題を取り上げた。
問題点は主に2つ。1つは表示名(フルネームなどが入る部分)の問題で、メールクライアント、特にウェブメールでは受信側でメールアドレスのかわりに表示名が画面に表示されることが多い。一般に表示名は送信側が比較的自由に記述できるため、例えば表示名として偽のメールアドレスを記述すれば、受信側にはそのメールアドレスから届いたものであるかのように見えてしまう。これについては、メールクライアント側で表示名ではなくアドレス帳に登録されている名前を表示するなどの対策がなされつつあるという。
もう1つは、SPFやDKIMでは、通信プロトコルでの送信者(エンベロープfrom)や専用ヘッダーは検証するが、メールヘッダーのFrom:行は対象外である問題だ。その対策として策定された新しいドメイン認証技術「DMARC」を櫻庭氏は解説し、「これを普及すべく活動している」と語った。
DMARCは、SPFやDKIMの延長にある技術で、SPFやDKIMで認証したドメインとメールヘッダーのFrom:行が一致しているかどうかを確認する。さらに、受信側がSPF・DKIM・DMARCで認証できなかったときにレポートする先や、そのメールをどうしてほしいかのポリシー(破棄するか、隔離するか、レポートだけするかなど)を、送信に使われたドメイン側が指定できるのも特徴だ。
DMARCは、SPFやDKIMを導入してあれば比較的導入が容易だという。送信に使われるドメイン側は、レポート先メールアドレスを用意し、「_dmarc」というサブドメインのTXTレコードに情報を記述する。受信側はその情報をもとにメールを処理する。
DMARCは仕様策定段階から大手サービス事業者が先行して実装に取り組んできたため、すでにGmail/G SuiteやYahoo!、Hotmail.com/Live.com/Office 365、FacebookなどがDMARCを導入している。英国やオーストラリアなどでは政府機関が推奨しているという。
ただし、日本では受信側で85%程度が未導入という調査結果を櫻庭氏は示し、普及を進めたいと語った。
IIJのサンドボックス防御やウェブメールを紹介
IIJのサービスにおける、なりすましメールとウイルスへの対策については、三木庸彰氏(サービスプロダクト事業部第二営業部長兼セキュリティ営業課長 )が解説した。
三木氏まず、IIJのクラウド型企業向けメールセキュリティサービス「IIJセキュアMXサービス」を紹介した。2006年にサービスインしたサービスで、2016年6月時点で160万アカウントが利用中、毎月数億通のメールを検査しているという。
なりすましメールについては、巧妙になってきていて見た目では見分けるのが難しくなっていると説明。典型的なものとして、銀行や配送業者を装う例や、実際の取引先を装う例、メールサーバーの管理者を装う例などが挙げられた。三木氏は「大企業だけではなく、あえて中小企業を狙い、そこから取引先を狙うケースもある。あまねくみなさんが対応する必要がある」と述べた。
対策としては、前述した送信ドメイン認証などがある。三木氏は、送信ドメイン認証を身分証明書にたとえ、「日本の企業はぜひみな対応してほしい」と呼び掛けた。特に、必ず取引する相手との間で、送信ドメイン認証をしようと決めるだけで大きな効果があると三木氏は言う。
また、IIJセキュアMXサービスで提供しているウェブメール「MailTAP」での工夫も紹介された。送信ドメイン認証の結果からなりすましの可能性を通知するほか、送信元IPアドレスから国情報を表示して送信者と食い違っていないか注意を促す機能、無料メールアドレスからのメールであればその旨を表示する機能などが紹介された。
最近の傾向としては、「この夏ごろから特に、『標的型メールの訓練をしたい』と相談をいただくことが増えた」と三木氏は説明。「ただし、訓練しても事故は起きる。クリックしないようにする訓練よりも、クリックしてしまったときに即座に報告するよう習慣づける訓練が重要だ」と語った。
一方、ウイルスのすり抜けについては、ウイルス対策製品の持つ情報を指名手配書にたとえ、すり抜けはウイルス対策製品が指名手配書を持っていない状態だと三木氏は説明した。
ウイルス対策製品以前の対策としては、攻撃によく使われ、業務に不要なファイル形式の拡張子を見てメールサーバーでブロックする方法が紹介された。警察庁によると、2016年1~6月に確認された標的型メール攻撃1951件のうち、.exeが1439件、.jsが472件だったという。
これらの方法を含め、複数の対策を併用する「多層防御」について三木氏は述べた。1社のウイルス対策製品だけでは止められるウイルスが限られ、前述のたとえでいうと指名手配書が対応していない「未知」が、メーカーによって異なることがあるという。
さらに異なる手法として、IIJセキュアMXサービスでも2015年からオプション提供しているサンドボックス技術について解説した。サンドボックス技術は、添付ファイルを実行して振る舞いを観測してウイルスを検知するもの。未知の亜種・変種などにも対応できる可能性がある。一連のたとえとして、三木氏は「監視カメラのようなもの」と表現した。
ただし、サンドボックスを逃れるウイルスに対応する更新や、誤検知が一定数発生する手間などから、製品ではなくサービスで使いたいという声があるとして、IIJなどのサービスを利用するメリットを主張した。
サンドボックス技術には、メールはユーザーに届けつつ添付ファイルをコピーして検出する「TAP方式」と、検知が済むまでメールをユーザーに届けるのを待つ「インライン方式」の2つがあるという。TAP方式ではユーザーにはメールが早く届くが検知されたら後から対応しなくれはならない問題があり、インライン方式では検査されたメールだけが届くがその分遅れる問題があるとして、「どちらをとるか選んで導入する必要がある」と三木氏は説明した。なお、IIJのサンドボックスオプションではインライン方式を採用しているという。
IIJのサンドボックスオプションの導入実績としては、金融・保険が23%と多く、続いて情報通信業(SIerやメディア)が20%、以下、製造業やサービス業が続くという。
三木氏は最後に、Office 365やG Suite(Google Apps)とIIJセキュアMXサービスを組み合わせて使うケースが増えていると紹介した。これらのサービスにも同様の機能があるが、すり抜けを避けるために、多層防御として採用されていると氏は説明した。
