インタビュー

あなたの会社のドメインが偽装されて顧客が狙われる…
増える「なりすましメール」と戦う「DMARC」とは?

「ドメイン偽装」はビジネスメール詐欺にも発展、多額の損害も……

増える「ドメイン偽装メール」

(左から)株式会社TwoFiveの末政延浩氏(代表取締役)と加瀬正樹氏(開発マネージャー)

 さまざまなビジネスシーンにおいて、メールを媒介する犯罪が世界中で多発している。その手口の大半は、ドメインを詐称した「なりすましメール」だ。

 例えば、大手通販カード会社のドメインが偽装された事件では、顧客の個人情報が盗まれたり、ウィルスが拡散された。そして、その詐欺メールは、どんどん進化して巧妙化。その会社からのメールの信用性は失墜し、会社は対応に追われるなどの事例があるという。その一方、不審な業者が取引先になりすまし、偽の送金指示や振込先の変更依頼などをメールで行う「ビジネスメール詐欺」(BEC、Business Email Compromise)も増加、日本を代表する大手企業でさえも騙されている。こうした事件は大手企業や有名企業に限ったことではなく、すべての企業が、この「なりすまされる」 被害にさらされている。

 こうした問題の対策を提案するのが、電子メールに特化したスペシャリスト集団である株式会社TwoFiveだ。

 同社では早急に「DMARC(Domain Message Authentication Reporting & Conformance)」を導入すべきだと警告する。同社では、「DMARCはなりすまし対策の切り札となる業界標準技術であり、既存システムの改変不要で、追加コストなしでも導入できる」と説明、DMARCを導入した企業は確実な成果を上げているという。しかし、海外と比較して日本企業の導入率はかなり低いとのこと。

 そこでTwoFiveは、DMARCとは何か、どう導入するのか、また、BEC被害の発生メカニズムと対策を解説する「メールセキュリティ必須対策セミナー」(参加無料)を来る2月5日に開催する。

 そこで今回、なりすまし被害の実態やDMARCの有効性について、TwoFive代表取締役の末政延浩氏と開発マネージャーの加瀬正樹氏に話をお伺いした。

あなたの会社になりすまして信頼を損なう危険性……楽天カードかたるウイルスメールでは正規のドメインに偽装する事例も

楽天カードかたるウイルスメールの例、送信元ドメインも偽装されていた。詳細は2017年12月14日付記事『楽天カードかたるウイルスメールが拡散中、本物そっくりの見た目&ドメイン偽装でより巧妙に』参照

―― なりすましメール対策が必要になる背景を教えてください。

加瀬氏:
 最近ではメッセージツールやビジネスチャットなどが使われるようになりましたが、最初のコンタクトポイントとしては今でも電子メールが使われています。このように電子メールの使われ方が変わるのに伴い、電子メールから起きる問題も変わってきています。そこで、セキュリティを含めて電子メールの規格の改良もなされています。

 その一つとして、DMARCがあります。なりすまし対策のための技術ですが、まだなじみが少ないため、セミナーなどを通じて啓発に取り組んでいます。

―― メールを通じた脅威は今も多いのでしょうか。

加瀬氏:
 IPAが毎年「情報セキュリティ10大脅威」を発表しています。その中で、メールというキーワードは変わらず入っています。特に脅威の入口はメールが多く、95%がメールというIPAの調査結果もありました。メールの利用率が減ったとはいえ、感染の普及率は高く、攻撃者にとっていいツールになってしまっています。脅威のタイプとしては、現在は標的型攻撃や、メールアカウントの乗っ取りが多いですね。

 さらに最近問題になっているのが、ビジネスメール詐欺(BEC)です。国内の事例としては、JALが約3億8000万円の被害を受けたことが報道されました。また、ドルチェ&ガッバーナの日本法人では、約3億円の被害を受け、日本でも大きなニュースとして取り上げられました。

 こうしたBECの過去5年間の被害総額は世界で125億ドルを超えるといった調査結果も2018年に報告されています。

 BEC以外のなりすましメールの事例としては、2017年に楽天カードをかたるウイルスメールが広まったことがありました。カードの利用情報を通知するような内容になっていて、リンクをクリックするとウイルスがダウンロードされるというものです。

 こうした、フィッシングメールなどのなりすましメールも、昔は送信元のドメイン名が違ったりしたものですが、今は本物と同じドメインを名乗って送信されるケースも多いです。

―― なりすましメールは、なりすまされた企業のほうにも被害があるのでしょうか。

末政氏:
 直接的なところでは、なりすまされると、会社のカスタマーサポートに電話が掛かってきたりします。しかも企業からは何でそうなったか分からず、それを調べる労力が掛かります。また、被害にあったお客様への補償なども発生することがあります。長期的には、その企業のメールへの信頼が損われる結果にもなります。

「なりすましメールにドメインが利用されたか」をレポートしてくれるDMARC

―― 電子メールのなりすましは、技術的に防げないのでしょうか。

加瀬氏:
 “銀の弾丸”(一撃で根絶する方法)はありません。電子メールはもともと、なりすましやすい仕組みです。それを防ぐために、自分がなりすましでないことを示すSPF(Sender Policy Framework)やDKIM(Domain Keys Identified Mail)といった送信ドメイン認証が普及してきました。

 ただし、送信ドメイン認証は認証までの機能で、なりすまされたメールを受信側がどうするかが分からないことが課題でした。また、なりすまされた会社のほうではその事実が見えにくかったのも課題でした。

 それを解決するのがDMARCです。「ドメインの持ち主」と「メールを受け取る側」が連携して詐称を検出、被害を最小化するシステムで、送信ドメイン認証に、追加の認証機能とフィードバック機能を加えるものといえます。認証機能では、送信ドメイン認証の結果だけでなく差出人(From:)を比較して詐称を検出します。

 またDMARCでは、そのメールをどうするかのポリシーを、ドメインの持ち主が指定できます。ポリシーには、「そのまま受信」「隔離」「受信拒否」の3種類があります。

 さらにDMARCでは、メール受信側からドメインの持ち主にレポートするメールアドレスを指定できます。これにより、世界中からフィードバックを取得でき、正しい設定がされているか、なりすましメールがあるかを見える化できます。

 ただし、ドメインの持ち主とメールを受け取る側の両方が対応していないといけないというのが前提で、それが普及の難しい要因になっています。実際に、日本国内のプロバイダーやクラウドサービス、オンプレミスのメールサーバーなどへは対応が進んでいませんが、一方でGmailなど海外のサービスはすでに対応しています。

―― ドメインの持ち主側はDMARCにどう対応すればよいのでしょうか。

加瀬氏:
 DNSで、TXTレコードに簡単な設定を追加するだけです。最低3つ、DMARCのバージョンと、ポリシー、レポート先メールアドレスを追加します。

 それが第1フェーズとして、レポートを受け取って改善するのが第2フェーズです。レポートはXML形式で、送信ドメインや使われた鍵(セレクター)、コメントとして理由などが記載されています。これを人間が読むのは現実的でないことも、普及しない理由の一つにあるかと思います。

―― メールの受信側は、DMARCにどう対応することになるのでしょうか。

加瀬氏:
 大きく分けて3つあります。1つ目は送信ドメイン認証です。

 2つ目は、その結果をもとに、隔離や拒否をすることです。これらには商用版のソフトウェアや、MTA(メールサーバー)のmilter(メールフィルター)があります。そして3つ目はその結果を蓄積してフィードバックすることです。

 1つ目は比較的ハードルが低いのですが、2つ目や3つ目はハードルが上がり、普及が進んでいない理由の一つとなっています。特に3つ目は、オープンソースソフトウェアが少なく、商用のソフトウェアやサービスを使うことになります。また、企業では問題ないのですが、日本ではメールを電気通信事業者がなりすましメールを削除することについて法解釈が整っていないという問題もあります。これについては、総務省がSPFやDKIM、DMARCの推進を進めています。なお、DMARCについては、一部ガイドラインが総務省から公開されています。

日本では認知度が極端に低い? 海外では実装が義務付けで普及促進

―― DMARCの普及状況はいかがでしょうか。

加瀬氏:
 まず、海外では先に普及しています。その中心は、GoogleやYahoo!などの大手メールプロバイダーです。英国や米国では、政府機関が採用したり、義務として指示したりといった理由で普及しています。この義務化により、政府ドメインで3分の2以上が対応したというニュースを読んだことがあります。

 日本では、総務省がJPドメインについて、SPFやDMARCの設定状況の調査結果を公表しています。例えばgo.jpドメインが582件あるうちDMARC設定数が1件と、非常に少ない普及率でした。

 この状況については、総務省が推進しているほか、NISC(内閣サイバーセキュリティセンター)から政府機関などの情報セキュリティポリシーとしてDMARCに対応しようとガイドラインを出しています。

 ちなみに、楽天カードのなりすましメール事件のあと、楽天カードではDMARCに対応しました。しかも、ポリシーはreject(受信拒否)です。

―― ドメインの持ち主側の設定が普及していない原因には、どのようなものが考えられるでしょうか。

加瀬氏:
 1つ目は、認知度かなと思います。2つ目は、企業ではSIerにDNS管理を任せていて、1つ変えるにも手間と費用が掛かることがあります。

 3つ目として、なりすましが完全になくなるわけではないため、企業がメリットとデメリットをはかりに掛けたときに大きなメリットを感じにくいのかもしれません。

末政氏:
 銀の弾丸ではありませんが、なりすましであるかどうかは早期に判断できるものであることは確かで、我々としては企業にとってメリットのあることだと思っています。

加瀬氏:
 DMARCはシンプルな仕組みですが、すぐに効果が出るものではありません。DMARCのレポートを検討することで、新しい対策を考えてもらう、というものです。

―― DMARCの普及に向けて何か活動されていることがあれば教えてください。

加瀬氏:
 弊社では通信事業者や大規模企業などの技術者が集まる業界団体JPAAWG(Japan Anti-Abuse Working Group)に参加しています。DMARCの普及に向けた活動は、具体的な取り組みはまだ始まっておらず、これからです。

 DMARCは基礎となる機能で、その上にさらにいろいろな機能が乗ってきます。例えば、メールが転送された場合でも正しく認証するARC(Authenticated Received Chain)があります。また、認証されたドメインのロゴをメールクライアントに表示するBIMI(Brand Indicators for Message Identification)もあります。そのほか、暗号化の強化やパフォーマンス向上の技術などにも、DMARCが必要になってきます。そうした技術をJPAAWGで推進していきます。

加瀬氏:
 弊社独自の動きとしては、そのためのソリューションの一つとして「DMARC/25 Analyze」というサービスを提供しています。DMARCのレポートを受け取り、蓄積し、可視化するクラウドサービスです。さきほども(人間が読むのは現実的でないと)説明したように、DMARCを有効に使うにはレポートが問題になります。

 基本機能としては、まずXML形式のレポートからグラフにして表示します。実際にはDMARCの情報だけでなく、なりすましが技術的に失敗しているのか、といった独自の判断基準を加えています。

 ここで、DMARCでnone以外のポリシーに設定したときに、相手が受け取ったのか、拒否したのかといった処理結果が集約して分かります。どれぐらい正しく拒否されているかの効果が分かります。ただし、none以外のポリシーに設定するのはハードルが高いので、ポリシーシミュレーターも提供してポリシーを変える判断材料とできるようにしています。

 時系列でグラフに可視化する機能もあります。DMARCの普及が進むにしたがってレポートの数が増えますが、なりすましがあるとスパイク(瞬間的な上昇)があることが分かります。また、鍵の交換間違いなどで減ることも分かります。

 レポートからは、DKIMセレクターの管理・分析などもできます。マルチテナントでは鍵の管理が大変なので、助けになると思います。

 そのほか、忙しい担当者のために、週に1回サマリーを送るといった機能にも対応しています。

末政氏:
 例えば企業がキャンペーンメールを一斉に送信する場合に、業者に依頼するだけで、メールサーバーがどう運用されているか分からないことも多いと思います。SPFやDKIMがきちんと設定されているかどうかなども不明です。そうしたこともDMARC/25 Analyzeで解析できます。

加瀬氏:
 業態によって見るべき情報も変わってきます。そこで、コンサルティングを含めて提供しています。

―― DMARC/25 Analyze以外に、DMARCの分析ツールはどのようなものがあるでしょうか。

末政氏:
 海外ではDMARCが普及しているので、英語ベースのシステムがいくつかありますが、日本国内で開発しているサービスでは我々のサービスだけではないかと思っています。オープンソースのツールはありますが、きれいに可視化してグラフにするものはなく、自分たちで開発する必要があります。

加瀬氏:
 いろいろなお客様のメールやサーバーを見ていて、情報を集約しているのもメリットです。分かりやすいところでは、サーバーがブラックリストに登録されているかどうか、評価はどうか、などの情報があります。また、統計情報を元にして、転送サーバーなのかどうかという情報も蓄積しています。

―― 海外のサービスと比べて、DMARC/25 Analyzeの特徴とは。

加瀬氏:
 解析するだけなら横並びですが、日本のお客さんと近いところで状況や要望を知って、それを反映して改良しているのが特徴だと思います。

末政氏:
 GUIが日本語な点もあります。また、国内でサービスを運用していることで、海外のサービスにデータを預けたくないお客様に選ばれることもあります。

 そのほか、DMARCに限らずメールのインフラを熟知しているので、それによるコンサルティングもできます。

なりすまされる危険性、対策やDMARCの基礎を学ぼう

―― 2月5日に開催される「メールセキュリティ必須対策セミナー」では、メールの不正送信などの”なりすましの手口、BEC対策やDMARCについて解説されますが、見どころを教えてください。

加瀬氏:
 4つのプログラムからなり、2つはDMARCやBECの座学、もう2つは我々の製品の紹介です。座学については、細かく解説したいと思います。製品については、Q&Aや個別コンタクトをいただいてご採用につなげたいと思っています。

メールセキュリティ必須対策セミナー “なんとなく知っている”…ではもはや済まされない! 会社を護る重要技術「DMARC」の基本と「BEC(ビジネスメール詐欺)」対策を3時間で習得」タイムテーブル
開催場所は東京・八重洲(フクラシア八重洲)で、開催日時は2019年2月5日(火) 14:00~17:00 、定員は30名。参加は無料で、事前登録制。詳細情報や申し込みはこちら

―― どのような人に来て欲しいですか。

加瀬氏:
 IT企業の情シスやマーケティング担当者などへ参加していただきたいです。「DMARCの名前を聞いたことはあるが内容が分からない」という方には、すぐに設定してもらえるようにします。そして、細かい対応をしたいという方には、TwoFiveやその他の製品を紹介できます。

―― 最後に、読者にメッセージをお願いします。

末政氏:
 強調したいのは、マルウェアなどの脅威は、95%はメールから入ってきているということです。最近はセキュリティというと出口対策が注目されますが、入口にも注目する必要があります。

加瀬氏:
 多層防御の一つとして入口対策も注目してほしい。自分たちが加害者になるのを防ぐためにも、メールに対策をとってほしいと思います。

末政氏:
 これまでインターネットに関係なかった企業でも、どんどんインターネットを使うようになります。そこで、包括的な対策がより必須になってくると思います。対策方法を把握するために、セミナーにぜひご参加いただければと思います。

(協力:株式会社TwoFive)