Proofpointブログ
近年電子メールに関連したリスクは巧妙化・多様化
しており、
ネットワーク管理者の悩みは尽きることが
ありません。
メッセージングセキュリティソリューション「Proofpoint」
は高い検知率と柔軟なポリシー設定、管理の容易さで、
企業インフラを防御します。
1.サプライチェーンを狙った攻撃の増加
昨今、サプライチェーンを狙ったメール攻撃が急増しています。 サプライチェーンを狙った攻撃とは、攻撃先の関連企業や取引先を経由して、或いはそれらになりすまして攻撃をしかけてくる手法です。 例えば、通常のメールをやり取りしている返信の中で、攻撃に転じる可能性もあります。いつもやり取りしている相手から言語等の不自然さを含まない内容のメールが来たら、果たしてあなたはその攻撃を見抜くことができるでしょうか。2.なりすましを防ぐには...
なりすましを防ぐにはどうしたら良いでしょうか。 下記に、一般的な例を挙げてみます。 ①送信ドメイン認証技術による精査 SPF、DKIM、DMARCなどの「送信ドメイン認証」技術による認証が必要です。各技術については後述しますが、メール送信元ドメインについての正当性を精査する技術です。 ②高度なコンテンツの精査が必要 なりすましやBECメールは、メール本文内にURLリンクや添付ファイルなどを含まず、テキストだけのメールが送られるケースがあります。そういったメールは通常のアンチスパムやアンチウィルス製品では、「正常なメール」と診断されることがほとんどのため、検知することができませんので、下記のような機能がある高度なフィルタ製品が必要となります。 ・送信元・送信先の学習機能がある(通常とは異なる送信元の検知) ・メール内容の高度な精査が可能(ヘッダ・ボディ情報などからなりすましやBECのリスクを検出、かつメルマガやマーケティングメールなどとは混同しない) ③受信者の「メールを読み解く」レベル上げが必要 どれほど技術的な防御を重ねても、やはり攻撃メールを受信してしまう可能性があります。その場合、最終防衛ラインは、「人」になります。 不審なメールを受けた場合に、些細な違和感を見逃さない訓練を行う必要があります。また、手続き変更や振り込み要求などが合った場合には、すぐに行動に移さず、必ず誰かに相談すること、或いは相手にメール以外の手段で確認することなどを受信ユーザに教育することで被害の回避率を上げることが可能です。3.送信ドメイン認証技術ーSPF、DKIM、DMARCとは
2-①の送信ドメイン認証技術について詳しく見てみましょう。 まずはSPF認証です。こちらの技術は導入されている企業も多いのではないでしょうか。 SPF認証は、送信元ドメインのSPFレコードに定義されているIPアドレスリストの中に、送信元メールサーバのIPアドレスが含まれているかどうかを確認します。
注意点としては、SPFレコードは送信元ドメインのIPアドレスの正当性を確認するもので、SPFを有効化しても類似ドメインなどによるなりすましメールを検知することはできないという点です。
例えば攻撃者がlook⇒1ook(アルファベット小文字lを数字1に変更)などのように、本来の取引先などとよく似たドメインを取得した上で、その送信元メールサーバのSPFレコードを登録した場合、SPFレコードによる認証自体は正しい送信元と判定されます。
昨今の攻撃では、SPFレコードがきちんと登録されているケースも多いため、SPFの有効化だけで安心しないようにしてください。
次にDKIM認証です。
メッセージ送信時に挿入された電子署名を、受信側で受信時に送信元ドメインのDNSサーバで公開鍵を確認し、検証します。
配送先がなく戻ってきしまうエラーメールを装ったバウンス攻撃への対策や、パートナー同士でDKIMを利用することで、サプライチェーン間のなりすましを防止することができる有効な手段ですが、送信元で電子署名の設定が必要など、導入のためには送信サーバ側の手間がかかります。
最後に、DMARC認証です。
DMARCは、SPFまたはDKIM、あるいは両方を有効化した上でその認証結果を認証するものです。
送信元ドメインのSPF・DKIMの認証結果よりアライメント認証を行い、送信元ドメインのDNSサーバのDMARCレコードを確認します。DMARCレコードに記述された処理方法を参照後、メッセージの処理やDMARCレポートを指定のアドレスに送信します。
特徴的な点は、DMARC上でp=rejectもしくはp=quarantineの指定をすることで、送信側が受信サーバのメッセージの拒否・隔離を決めることが可能となる点です。SPF、DKIMではメッセージの受信可否は受信側に委ねられますが、DMARCでは送信側が指定することが可能になります。
また、DMARCはメッセージ内のFromアドレス(ヘッダFrom)が、SPF・DKIMの送信ドメイン一致しているかどうかチェックを行います。そのため、なりすましの検出に最も役立つ技術と言えます。
4.DMARC導入のハードルと支援ツール
DMARCの策定は2012年、それから10年が経過しておりますが、日本企業においてのDMARC導入はあまり順調とは言えません。
<『日経225企業におけるDMARC導入状況調査』
出典:日本プルーフポイント
https://www.proofpoint.com/jp/newsroom/press-releases/nikkei225-companies-lag-far-behind-the-rest-of-the-world-in-measures-against-spoofing-email-scams>
DMARC導入にはSPFまたはDKIM、或いはその両方の有効化が必須ですが、SPFについては導入されている企業も多いうえ、3で記述した通り、なりすましの被害を考えればぜひとも導入すべき技術のはずです。しかし、それでもDMARC導入がなかなか進まない原因は運用面が理由と言えるでしょう。
DMARCレポートはDMARCレコードを登録することで誰でも利用することができるようになりますが、DMARCレポートはXML形式のレポートになりますので、そのままの運用は困難です。
さらに、このレポートは毎日大量に発生しますので、何のツールも利用せずにデータを解析するということは難しいでしょう。
次に、DMARCレコードの運用です。通常は受信サーバ側で何もしない「p=none」から開始されますが、こちらを、メッセージを受信側サーバで拒否できる「p=reject」、もしくは迷惑メールフォルダへと隔離できる「p=quarantine」まで持っていく判断が難しいと考えられます。
rejectやquarantineに変更しても問題ないと判断するためには、DMARCの運用状況が可視化できる環境が必要です。
逆に、上記運用面さえクリアすることで、懸念となる課題の大半は払しょくされますので、DMARC導入は進むのではないでしょうか。
Proofpoint EFDなら...
送信ドメイン認証状況の可視化に加え、サプライヤーのドメイン、脆弱性、およびそのドメインを使用して組織に送信された脅威についても可視化可能ですので、サプライチェーンリスクを把握することができます。また、自社・サプライヤーの類似ドメインの検知も可能です。DMARC導入および「p=reject」実施までの道のりを支援しつつ、インテリジェンス情報により、脅威となる不正なドメインから、組織ブランドや利用者を保護します。▼Proofpointのなりすましメール対策
