メールはサイバー攻撃における最大の侵入経路であることは広く知られています。これは、メールの仕組み自体がセキュリティを念頭に置いて設計されていないことに起因しており、サイバー犯罪者は高度な技術に頼らずとも悪用することができます。
このブログでは、攻撃者がどのように人や実在する企業、ブランドになりすまして「人」の脆弱性を悪用した攻撃をおこなっているか、DMARCが必須要件となっている理由、プルーフポイントがどのようにサポートできるかについて見ていきます。
あなたは本物?信用を得るために本物に見せかける
今日のほとんどのサイバー攻撃は、メール経由で実行されます。その結果、多くのユーザーが、予防策として不明な送信元からのメールをブロックまたは削除するようしています。
サイバー犯罪者はこのことを把握し、知っている送信元になりすまします。信頼できる送信元とやり取りをしていると、受信者に信じ込ませるのが成功率の高い方法であることを学習しているのです。
送信者のなりすましとしてよく用いられている方法はスプーフィングです。これには2種類あります。
- ドメインなりすまし:攻撃者が、メールにおいて送信者のドメインを偽造し、信頼できる送信元からのメールであるかのように見せかけます。
- ヘッダー スプーフィング:こちらの場合では、攻撃者は、「From」、「To」、「Reply-To」などのさまざまなフィールドを含む、メールのヘッダー情報を操作します。これにより、メールは、実際の送信元(攻撃者)とは異なる送信元からのものであるように見えます。
どちらの戦術も、受信者に、信頼できる送信元とやり取りをしており、正規のものであると信じ込ませることを目的としています。 信頼できる人とやり取りをしていると思えば、機密情報を提供したり、認証情報を教えるといった、セキュリティ侵害の行動を起こしやすくなります。
攻撃者があなたの会社になりすまして(スプーフィング)パートナーや顧客を標的にすれば、ブランドの評判に重大な損害を与えかねません。このようなブランドの悪用を防止するために、「ベストプラクティス」としてメール認証技術を実装している企業もいます。しかし、この傾向は、意外と広まっていません。
メール認証技術の概要
ドメインなりすましに対抗するために、SPF (Sender Policy Framework)が導入され、続いてDKIM (Domain Key Identified Mail)が導入されました。SPFはメールが承認された送信IPアドレスから送信されていることを、DKIMはメールが届く前にメッセージが改ざんされていないことを検証することを目的としています。
企業は、組織を代表してメールを送信できる、「承認済み」IPアドレスリストをSPFレコードとして作成できます。これにより、メールを受信するシステムは、メールが承認されたサーバーから送信されているかを判定するために、すぐにチェックを行うことができます。送信IPアドレスがSPFリストになければ認証は失敗します。
DKIMは途中経路でメールが改ざんされることを防ぐために、公開鍵と秘密鍵を使用します。受信システムは、メール内の鍵を比較して、表示されている送信元が本当に表示どおりであるか、メールの送信後に変更されていないかを確認します。
メール認証は必須に
メール認証ツールは、何年も前から登場していたため、すべての企業がすでに実装していると思うかもしれません。しかし、以下のようなさまざまな理由から、乗り遅れている企業もいます。
- リソース上の制限
- 予算上の制限
- 正規のメールがブロックされてしまう懸念
ツールの実装が遅れている原因が何であれ、このような遅れにより、サイバー犯罪者はセキュリティの欠陥を悪用でき、攻撃の侵入を許してしまっています。
そのため、主要なメールプロバイダーは、企業がメール認証を使用せざるを得なくなるような仕組み作りを進めています。 良く知られている例としては、2023年10月に発表された、Gmail、米Yahoo、iCloudのアカウントへの大量送信者に適用される、Google、米Yahoo、Appleのメール認証に関する必須要件(DMARC含む)があります。 これにより、顧客の受信トレイに届く迷惑メールや詐欺メールを大幅に減らすことができます。
クレジットカードを処理する、またはクレジットカード情報を保存する企業も、メール認証対策を導入する必要があります。PCI DSS V4.0基準のフィッシング対策要件に基づいて、これらの企業は、2025年3月の期日までに準拠する必要があります。
その他の例には、HITRUST V11のコミュニケーション セクションのDMARC要件や、米国や英国の政府機関による必須条件があります。
結論:あなたの会社がまだDMARCを完全に導入していないのであれば、今から計画を練り、導入のための予算を確保しましょう。
プルーフポイントができること
プルーフポイントはメール認証における業界リーダーであり、競合他社5社の合計よりも多くのFortune 1000企業がプルーフポイントを使用してDMARCを導入しています。プルーフポイントでは、組織の現況を評価できるツール、リソース、経験を備えており、組織が自身で行うよりも効果的にギャップを埋めることができるようサポートします。
Proofpoint Email Fraud Defenseでは、DMARCの取り組みの各段階において組織をガイドできる熟練のコンサルタントが利用でき、新しい要件に適合し、さらにブランドの全体的な評判を保護することができます。このソリューションにはまた、SPFホスティング、DKIMホスティング、DMARCホスティングが含まれ、管理を簡素化し、導入を効率化することができます。
Proofpoint Secure Email Relay により、(アプリケーション、または組織に代わりサードパーティ パートナーから送信される)トランザクション メールに対応することができます。これらすべてのメールにDKIM署名することができます。また、迅速にDMARCアライメントを行うことができます。
手遅れになる前にDMARCの導入を始めましょう。どのような問題を克服すべきかわからず、かといって重要なメールがブロックされてしまうことを避けたいのは当然です。ぜひプルーフポイントまでお問い合わせください。これらの新しい要件に対応し、全体的なセキュリティ体制を向上させ、攻撃チェーンを断ち切るために、プルーフポイントがお手伝いいたします。
新しいGoogle/Yahooメール認証要件に対応する方法
プルーフポイントのウェビナーで、新しいメール認証要件に対応する方法や、組織が準拠するためにできることをご覧ください。 ギャップを特定するために、メール配信率アセスメントをご希望の方は、このアセスメントを無料でご利用いただけます。