○ 詐欺メール撲滅にGoogleとYahooも本腰、導入が求められる「送信ドメイン認証」。
サービス事業者や取引先になりすまし、有害なサイトへアクセスさせるフィッシングメール(詐欺メール)の増加が止まらない。フィッシング対策協議会によると、2023年上期におけるフィッシングメールの報告件数は約53万件。3年前の2020年上期は約6万6000件で、8倍近くにまで膨れ上がった。
特に、EC(電子商取引)サイトや金融機関をかたって決済情報を窃取しようとするフィッシングメールが増えており、社会問題化している。フィッシング対策協議会によると、2023年9月にフィッシングの報告を受けたブランドでは、Amazon(アマゾン)が報告数全体の約40.8%を占めた。ETC利用照会サービス、三井住友カード、Apple(アップル)、マイナポイント事務局などのブランドが続いた。
企業には名前をかたられてブランドイメージを失墜させないためにも、今こそフィッシングメール対策の強化が求められる。
グーグルもヤフーも対策に動く。
フィッシングメール対策を強化する動きが国内外で活発になっている。海外では米Google(グーグル)と米Yahoo(ヤフー)が2023年10月、メールを送信する企業などを対象に、フィッシングメール対策のガイドラインを発表した。
ヤフーは消費者向けのメールブランドなどに対して、2024年第1四半期までにSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication、Reporting、and Conformance)といった送信ドメイン認証の導入を義務付ける。送信ドメイン認証は、正規の送信元が導入することで、受信側がなりすましかどうかを判断できるようにする技術。グーグルも同様にメールサービス「Gmail」で5000件以上メールを送信する企業などに対して、2024年2月までにSPFやDKIMの導入を義務付ける。
国内でも送信ドメイン認証、とりわけDMARC導入を促す動きが活発だ。2023年2月には総務省と警察庁、経済産業省がクレジットカード会社などにフィッシングメール対策強化策としてDMARCの導入と、受信側でなりすましメールの受信を拒否するポリシーでの運用を要請した。2021年以降、au PAYやJCBをかたるフィッシングメールが増加傾向であることを受けての対応とみられる。
ほかにも、内閣サイバーセキュリティセンターが2023年7月に発表した「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」では、DMARCを使ったなりすまし対策を基本対策事項として挙げている。
「DMARCを使えばなりすましを防げる」。
DMARCを導入すれば、なりすましを防げるのか。標準化されたインターネット技術の仕様書RFC(Request for Comments)が公開されている主な送信ドメイン認証には、SPF、DKIM、DMARCの3つがある。SPFはIPアドレスを用いてメールの送信元サーバーが正当なものか確認する技術だ。DKIMは電子署名を用いて送信元からのメールが改ざんされていないかを確認する。ただし、SPFやDKIMで認証に失敗した場合、当該のメールを受信するかどうかの判断は受信側のメール管理者に委ねられる。
一方、DMARCはSPFやDKIMの認証に失敗した場合、メールの送信元ドメインの管理者が受信側で当該メールを拒否(reject)するか、隔離(quarantine)するかを指定できる技術だ。米Proofpoint(プルーフポイント)の日本法人である日本プルーフポイントの増田幸美チーフエバンジェリストは「DMARCを使えばなりすましを防げる」と強調する。送信側が「認証に失敗したら拒否する」と設定し受信側がそのポリシー通り処理すれば、なりすましメールはユーザーの受信ボックスに届かなくなる。
導入率が低くて「集団免疫」を獲得できない。
なりすまし対策として有効なDMARCだが、国内企業の導入率は低い。プルーフポイントの調査によると、2022年12月時点で日経225銘柄に含まれる企業のうち、メインドメインでDMARCを導入している割合は31%と調査対象18カ国の中で最低だった。運用コストや、送信側の実装工数といった負担の大きさが普及が進まない背景にあるとみられる。
このため、受信側はDMARCに対応していないメールを受け取っても、それが正当なメールである可能性があり、拒否したり隔離したりできない。業務に必要なメールが受信者に届かなくなるトラブルを避けるためだ。
フィッシング対策協議会と連携してフィッシング対策の情報を提供するJPCERTコーディネーションセンターの佐々木勇人政策担当部長兼早期警戒グループマネージャー脅威アナリストは、「送信ドメイン認証はワクチンのようなもので、社会全体として導入しないと効果が得られない」と指摘する。もしほとんどの企業がDMARCを導入していて、認証が失敗したときの処理を拒否に指定しておけば、そうした企業のドメインを詐称したメールが受信者に届かなくなる。受信側の企業は、少なくなったDMARCに対応していないメールをどのように処理するかを判断すればよくなる。
ワクチンなどによって一定の割合以上の人が免疫を持つことで、感染拡大を抑える「集団免疫」。国内のDMARCの導入率は低く、集団免疫を獲得できていない状況にある。急速に増え続けるフィッシングメールに対抗するためにも、DMARCの普及が急務になっている。
