DMARCの普及からなりすましを考える
フィッシング対策協議会は、フィッシング報告状況について月次報告書を公開しています。弊社のブログでも、何度もなりすましやフィッシングについての注意喚起やその対策についてお伝えしておりますが、相変わらずフィッシングの被害は増え続けている状況です。
フィッシング対策協議会の月次報告書(2023年6月)から引用
https://www.antiphishing.jp/report/monthly/202306.html
今回は、こちらの報告書にもあるDMARC(メール詐欺攻撃から防御できる送信ドメイン認証技術のこと)に触れながら、個人認証が必要なサービスを提供する事業者の目線での対応についてお伝えしたいと思います。
1.なりすましとDMARCの関係?
なりすましについては、過去のブログでも詳しく述べていますので、良かったらご確認ください。
情シスが知っておくべき「なりすまし」って何?
https://www.securebrain.co.jp/blog/2022/0824/
巧妙化するフィッシング詐欺:正規ユーザーになりすまし、Webサービスを不正利用する手口
https://www.securebrain.co.jp/blog/2022/0421/
DMARCとの関係性という点では、以前にご紹介したMail Spoofingが該当します。
“【Mail Spoofing】
いわゆる「なりすましメール」です。送信元の表示などを偽装し、実在する取引先名や名前を表示し、メールに添付したウイルスを含むファイルをダウンロードや実行させる。また、メール内の不正URLのリンクをクリックさせるなどし、不正に個人情報を搾取されるなどの被害にあうことがあります。”
こうした「なりすましメール」を防ぐ方法として、SPFレコードの設定(送信元のドメインとIPアドレスを確認する方法)や、DKIMの設定(電子署名を利用してメール送信元が詐称されていないかどうかを確認する方法)があります。そして、昨今設定を推奨されているのが、DMARCです。
DMARCそのものについて詳しいご説明は省略しますが、簡単にお伝えすると、SPFやDKIMの設定を実施し、認証に失敗したメール(送信元を不正に偽装されているメール)を受信した場合に、送信側は受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールを「隔離」「拒否」「受信」させるかを決めておく技術です。SPF、DKIM認証に加えDMARCを利用することで、より効果的ななりすましメール対策を行うことが可能になります。
2.普及率が低いDMARC。なりすましを検知出来る仕組み作りも。
報告書にも記載がありますが、DMARCの運用が出来ていない組織が狙われている傾向があるようです。
“ある調査用メールアドレス宛に 6 月に届いたフィッシングメールのうち、約 79.2 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。送信ドメイン認証技術 DMARC のポリシーが reject または quarantine で、フィルタリング可能ななりすましフィッシングメールは 26.5 %と増加、DMARC ポリシーが none または DMARC 対応していないドメインのなりすましフィッシングメールは 52.7 % で減少傾向となりましたが、前月に引き続き、DMARC 正式運用していない組織が集中的に狙われる傾向が続いています。また独自ドメインが使われるなど、送信ドメイン認証では判別ができないフィッシングメールは約 20.8 % となり、増加傾向となりました。”
なぜ「なりすましメール」に有効な、DMARCの運用が普及していないのか?という点については、色々と議論はあるようですが、メールサーバなどの運用者が「知らない」という点が一番の問題という指摘もあります。今後、DMARCの普及が進むことで「なりすましメール」への対策も進むのではないかと思われます。DMARCを導入されていない場合は、まず理解と導入を進めることで自組織の「なりすましメール」への対策を十分にする必要があります。
しかし、フィッシングメールが全て「なりすましメール」によるものではありません。フィッシングメールは、様々なアドレスから送られています。また、利用者がID・パスワードを流用していた場合、全く関係のないフィッシングサイトなどから流出した認証情報が悪用されるケースにも備える必要があります。そこで、個人認証が必要なサービスを提供する事業者としては、「なりすましログイン」による不正利用についての対策も必要です。
セキュアブレインでは、こちらでも紹介している「SecureBrain Scam Radar BD」というなりすまし・不正ログイン検知サービスを提供しています。
巧妙化するフィッシング詐欺:正規ユーザーになりすまし、Webサービスを不正利用する手口
https://www.securebrain.co.jp/blog/2022/0421/
「SecureBrain Scam Radar BD」は、ネット犯罪を長年研究しているセキュアブレインが、その知見を活かして、顧客の特徴や振舞いを分析。独自ロジックのビッグデータ分析で不正な取引をリアルタイムに検知します。お客様のWebサイトに沿ったカスタマイズを行い、さらに、新手の攻撃手法にも、チューニングにより対応します。チューニングに伴うWebサービス事業者様でのご対応は不要です。このため、Webサービス事業者様の手間・負担なく、新手の攻撃に迅速な対応が可能なサービスです。
「なりすましメール」から不正に流出してしまった個人情報を使って、会員サービスへのログインをされてしまうと、何かしらの対策を講じていないとそのまま不正利用に繋がってしまいます。個人認証が必要なサービスを提供する事業者としては、利用者が意図せずに漏洩させてしまった個人情報の不正利用を防ぐことができれば、顧客満足度も高まると思います。
増え続けるフィッシングに関する事業者側の対策のひとつとして検討してみるのはいかがでしょうか。
セキュアブレインの製品・サービスのお問い合わせは以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html
