なりすましメールの到達を阻止するために必要なことは? フィッシング対策協議会のイベントで「DMARCレポートの活用事例」を紹介 

INTERNET Watch

 フィッシング対策協議会は2月15日に「第4回フィッシング対策勉強会」をオンラインで開催した。ここでは株式会社TwoFiveの加瀬正樹氏が行った「講演4:DMARCレポートの活用事例」の内容を紹介する。

 加瀬氏は、なりすましメール対策としてのDMARC(Domain Message Authentication Reporting & Conformance)対応のポイントとして、DMARCレポートの活用を挙げた。DNSサーバーにDMARCの宣言を行うことで、指定したメールアドレスに受信メールサーバー側からXML形式のレポートが届く。このレポートを分析・解析してメール配信設定の改善を行い、最終的にポリシーを強化すると、DMARCチェックに通らないなりすましメールの到達を阻止できる。

 しかし、正当な自組織のメールでもDMARCチェックで認証失敗(fail)となった場合、なりすましメールと同等の扱いを受ける。このため、ポリシー変更前に自組織の全てのメールに影響しないことを入念に確認しなければならない。

DMARCはメール受信サーバーから到達するレポートの継続的な評価が欠かせない。受信メールサーバーからは画像のようなXML形式のレポートが到達する

 このDMARCレポートを分析・可視化するツールがDMARC運用では不可欠で、その一つがTwoFiveで提供している「DMARC/25 Analyze」になる。管理しているドメインに対してどれだけの正規/なりすましのメールが届き、DMARCでどのように評価されたかを分析・可視化する。

 加瀬氏はDMARC/25 Analyzeの効果として、1)実際のなりすましメールの流通が分かる、2)正規メールサーバーが可視化される、3)設定不備が分かる、などを挙げた

TwoFiveがクラウドで提供するのがDMARCレポートを代行して受信解析し、可視化するDMARC/25 Analyze」だ

送信元からは分からないなりすましメールの流通が一目で把握できる

認証結果を集計すると送信元メールサーバーの一覧が分かるため、把握していないシャドウITのメールサーバーを見つけることができる

利用サーバーの把握ミスや設定ミスでDMARCの運用にトラブルが発生する。可視化によって問題点を洗い出すことができる

 解析結果を評価することで組織の迷惑メール対策がどの程度のステータスなのかを客観的に把握し、改善ポイントの整理・実施が行える。そのうえで受信メールサーバー側により厳しい対応にするポリシー変更とフォローアップを容易にする。

DMARCはポリシーを上げるActionによって、エンドユーザーへのなりすましメールを阻止できる

 加瀬氏は「DMARC/25 Analyzeは1カ月のトライアルと一回の無料コンサルティングを用意しているため、まずモニタリングから開始して欲しい」とアピールした。

DMARCへの取り組みは経営層の判断が大きく左右

 講演終了後の質疑応答では、組織のDMARC設定の状況に関して、加瀬氏は「DMARCの設定を厳しくすることに二の足を踏むケースもある一方、実際になりすましメールの被害に遭っている企業の経営層が『ポリシーを変えましょう』というところも出てきている」と説明。とはいうものの、設定を厳しくするとミス=不達となることもあるため、業界別では金融機関はモニタリングから先のステップに進んでいるが、そのほかの業界では、まだモニタリングに留まっていることが多いという。

 また、DMARCレポートを発信してくれる会社として、海外を含めると1500組織ほどあると回答した。最近では、Google以外にMicrosoftやニフティが提供しているほか、セキュリティベンダーのメールゲートウェイ(クラウドサービス/アプライアンス)もレポートを提供しているそうだ。

 DMARCの効果として、国内ではまだDMARC対応のドメイン率は少ないものの、フィッシングメールを受けている会社がDMARC対応を始めているので流量レベルでは大きいという。

 補足として、フィッシング対策協議会事務局の平塚伸世氏は「DMARCを導入したあるブランドでは、Gmailが月間1425万通のなりすましメールを利用者の受信トレイではなく迷惑メールに(ポリシーに従って)振り分けた。これは数として大きい」と実用的な効果があると回答していた。

Source