イベントレポート
JPAAWG 4th General Meeting
NTTドコモではどうする? スマホに対するフィッシングメール対策
公式アカウントマークや「あんしんセキュリティ」の取り組み
2021年12月6日 07:00
メールを中心としたメッセージングセキュリティの対策を検討・実施する国内の業界団体JPAAWG(Japan Anti-Abuse Working Group)は、11月11日・12日に年次カンファレンスイベント「第4回 JPAAWG General Meeting」を開催した。
この記事では、株式会社NTTドコモの正見健一朗氏がドコモメールにおけるスパムやフィッシングのメールへの最近の取り組みについて紹介したセッション「スマホに対するフィッシングメールへの対策について」の模様をレポートする。
ドコモメールのスパムやフィッシングの状況
まず最初に、現状のドコモメール宛のスパムやフィッシングのメールの状況が報告された。
NTTドコモではユーザーからの迷惑メールの情報提供を募っている。そのうち、約96%がスパムで、3%がフィッシングだった。
ドコモメールへのスパムメールの状況や特徴としては、9割以上がSPF(Sender Policy Framework)による送信ドメイン認証をpassしていて、送信ドメイン認証では防げないこと、送信拠点としては上位4社発が6割を占めているため同じ拠点からのものを止める対策が比較的有用なことが語られた。
一方、フイッシングメールは、比率は少ないものの1件あたりの脅威が高いことから、喫緊の問題だという。
ドコモメール宛のフィッシングメールで多いパターンとしては、ドコモを装ったメールのほか、「○○万円当たりました」という当選詐欺のものや、銀行、クレジットカード、ECサイト運送などの業界を騙ったものがあり、特に最後のパターンでは本物かどうか判断が難しい場合もあると説明した。
フィッシングメールの傾向としては、携帯キャリアや銀行などを装うタイプについては、ドメイン名のなりすましを行うケースが多いため、スパムメールと比較するとSPFによるドメイン認証のpassの割合が下がっている。ただし、当選詐欺のタイプについては「本気のなりすましが少ないためドメイン認証がpassする割合が高い」という。
そのほか、携帯キャリアメール宛のフィッシングメールの特徴として、日本国内で認知度の高い企業を騙る場合が多く、日本語ということもあり、グローバルにスパムフイルターにかかりにくい傾向があると語った。
フィッシングメールの現状のまとめとして、スマートフォンでフィッシングの被害に遭わないための考え方として、日本データ通信協会による「不審なメールを開かない」「不審なURLにアクセスしない」「安易にID/パスワードを提供しない」の3箇条を紹介した。
ドコモメールに導入されたフィッシング対策サービス
続いて、そうした状況に対応するためにドコモメールに導入されたフィッシング対策サービスを紹介した。
フィッシングの被害に遭わないための3箇条にあわせて、「不審なメールを開かない」には詐欺・ウイルスメールを拒否するフィルタリング機能を、「不審なURLにアクセスしない」にはセキュリティ対策サービスの「あんしんセキュリティ」の機能拡充を、「安易にID/パスワードを提供しない」にはdアカウントへのパスワードレス機能の導入が説明された。
まずは、不審なメールを開かないためのフィルタリング機能については「URLを見るのがセンシティブなので、フィッシングなどに目的を限定して導入している」という。URLやIPアドレスなどのブラックリストは協力会社からもらい、すり抜けたメールについてはドコモで分析したうえで協力会社などに提供していると説明した。
次に「あんしんセキュリティ」の機能拡充について説明した。同機能の中で、危険なウェブサイトにアクセスしようとしたときに警告を表示する「セーフブラウジング」や、ユーザーの電話番号やクレジットカード番号が流出していないかをモニタリングする「あんしんセキュリティ(プライバシー)」によって対策を行っている。
最後に、安易にID/パスワードを提供しないためのdアカウントのパスワードレス認証の提供開始について説明した。これは、dアカウントの認証方法を、IDとパスワードではなく、指紋のような生体情報やパターンなどにすることで、dアカウントへのログインを騙られてIDとパスワードを入力することをなくすというものだ。技術的にはFIDO認証を用いており、生体認証または画面ロック解除で認証するようになっている。
パスワードレス認証自体には2015年から取り組んでおり、dアカウントのパスワードレス認証はフェーズ3の段階だと正見氏は言う。このフェーズ3ではFIDO2に対応したことによって、生体認証のほか画面ロック解除による認証にも対応した。
公式アカウントマークとDMARC対応予定
最後に、2021年5月に開始したドコモメールの「公式アカウントマーク」を紹介した。ドコモメールで受信したメールが正規の企業や組織から送信されたメールであれば、視覚的に区分けできるようにするものだ。導入した企業や団体としては、5カ月で26団体をドコモのウェブサイトで公開している。
ちなみに、公式アカウントマークの表示方法については、スマートフォンの限られた画面スペースの中で、視認できる場所でかつ攻撃者が触れない場所ということで工夫したというエピソードも紹介した。
このサービスを提供開始した背景としては、ユーザーからフィッシングメールに関する問い合わせが日々発生していたことがある。例えば「ドコモから1千万円当たるというメールが来たんですが本当ですか?」という問い合わせが来ても、確認するやり取りに時間がかかる。そこで、送信側と受信側の双方で判別できる方法があれば、ユーザーは本物のメールだとひと目で分かるし、企業側は本物のメールだと証明できるので、必要な取り組みだったという。
仕組みとしては、送信企業における普及率を考慮して、送信ドメイン認証技術にSPFを採用した。そのため、会社専用のエンベロープfromドメインを使用していることが必須条件となっている。
サービスを開始して見えてきた課題としては、まず、専用のエンベロープfromドメインが条件であることの申し込み障壁がある。例えば、DKIM(DomainKeys Identified Mail)を自社の証明書で導入し、エンベロープfromドメインはメールサービス提供会社のものになっているケースが散見されたという。また、エンベロープfromドメインはグループ内で共通しており、その中の一部サービスだけ対応したいというケースもあったという。
また、マークを付けるだけなので、なりすましたメールもマークが付かないだけで受信してしまうということも課題だ。
こうした課題に対して正見氏は、DMARC(Domain-based Message Authentication, Reporting & Conformance)とDKIMを導入して解決していきたい考えを示した。DMARCはSPFやDKIMで送信者を認証したあとで、ヘッダfromが正しいかどうか認証するものだ。また、認証失敗時の扱いも、正規のドメイン側が指定できる。
このDMARCを導入することで、DMARCの宣言が存在するヘッダfromドメインでも公式アカウントマークを申し込み可能になる。また、正規ドメイン側でDMARCのポリシーを設定することで、ドメインを騙ったメールをドコモメールが受信しないように指定することもできる。
正見氏は、DMARK/DKIMを導入してさらなるセキュリティレベル向上を図ること、それにより公式アカウントの申し込み条件を拡大することを改めて説明し、被フィッシングメールで困っているドメインはDMARCポリシーのrejectの宣言を検討してほしいと語った。