~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~
HOME > サービス事業者の皆様へ > なりすまし送信メール対策について
なりすまし送信メール対策について
月次報告でも報告させていただいている通り、非常に多くのフィッシングメールが報告されています。その中でもメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし送信メール」が 2020 年以降急増し、現在もフィッシングメールの半分以上の割合を占めています。メールソフト(アプリ)で差出人を確認しても、本物と同じドメインのメールアドレスのため、正規のメールであると誤認して、フィッシング詐欺にあうケースが増加していると考えられます。
なりすまし送信メールとは
- 実在するドメインのメールアドレスをかたり送信されたメールのことです。
- その多くは、サービスの正規ドメインのメールアドレスをかたっています。
- メールソフトで確認しても判断がつきません。
送信ドメイン認証とは
「送信ドメイン認証」とは、受信したメールが正規の送信元から送られてきたかを検証できる技術のことで、現在 SPF、DKIM、DMARC の3種類があります。なりすまし送信メールは SPF や DKIM 単体では検証をすりぬけることがありますが、DMARC を使用することで検出できます。
| SPF | Sender Policy Framework |
|---|---|
| 検証方法 | 正規のサーバー (IP アドレス)から送信されたかを検証 |
| 検証対象 | メールソフトで表示されないほうのメールアドレス(エンベロープ From ) |
| 導入 | 送信側の設定は SPF レコードを DNS へ登録するだけで容易 |
| 利点 | 受信時に検証を行っている事業者が多い(しかし多くは fail しても素通し) |
| 欠点 | 単体ではエンベロープ From に独自ドメインを使用して、SPF の検証を pass (回避) するなりすまし送信は検出できない |
| DKIM | DomainKeys Identified Mail |
|---|---|
| 検証方法 | 電子署名でメールを検証。S/MIME はメール本文のみが署名対象だが、DKIM はメール配信時につけられるヘッダー情報やメール本文も署名対象にできる |
| 検証対象 | 署名対象の情報(差出人、日付時刻、受信者などのヘッダー情報およびメール本文) |
| 導入 | S/MIME と同様に、送信側は各メールへ DKIM 署名するためのシステムが必要 |
| 利点 | メールを転送されても検証可能 |
| 欠点 | 署名に使うドメインを指定できるため、単体では検証を回避可能 |
| DMARC | Domain-based Message Authentication, Reporting, and Conformance |
|---|---|
| 検証方法 | SPF と DKIM の検証結果を使って検証。SPF+DMARC など、片方だけでも可 |
| 検証対象 | メールソフトで表示されるほうのメールアドレスで検証 (SPF/DKIM の検証ドメインと一致しているか比較) |
| 導入 | すでに SPF または DKIM が設定されていれば、送信側の設定は DMARC レコードを DNS へ登録するだけで容易。 |
| 利点 | SPF のみでは正規メールとして誤判定される なりすまし送信を検出できる |
| ドメイン管理者側が、検証失敗したメールの扱いを指定できる (迷惑メールフォルダーへ配信、拒否等のポリシーを宣言) |
|
| 迷惑メールフィルターも送信ドメイン認証結果を利用するため、組み合わせることで、より効果が高くなる | |
| 受信側から送られる DMARC レポートで、検証結果や効果を確認できる。 正規メールの検証成功数、なりすまし送信の検知、配信規模の把握など。 | |
| 欠点 | 大手のメールサービスは対応しているが、日本国内の事業者や ISP は対応が遅れている |
事業者:ドメイン管理者がすべきこと
送信ドメイン認証をサポートしているメールサービス(受信側)が検証するために、以下のような情報を DNS で公開しておく必要があります。
- SPF:送信側メールサーバーの IP アドレス
- DKIM:メールに付加された電子署名を検証するための公開鍵
- DMARC:受信者が認証に失敗した場合のポリシー(メールの取り扱い)、その検証結果をドメイン管理者へレポートしてもらうためのメールアドレス
まずは、DMARC レポートを取得し、正規メールとなりすまし送信メールの配信状況を確認することから始め、ポリシーを調整していきます。(SPF / DMARC レコードの登録のみでも可能)
技術的詳細等は、「送信ドメイン認証技術関連リンク」を参照してください。
図 1 DMARC の概要図
送信ドメイン認証に対応するメリット
- メール受信側で正規メールか、なりすまし送信メールかを検証することができます。(送信ドメイン認証DMARCに対応している場合)
- 正規メールであることをユーザーが視認できる BIMI(Brand Indicators for Message Identification)、Yahoo! JAPAN ブランドアイコン表示、ドコモメール公式アカウント表示を利用することができます。
図 2 送信ドメイン認証をパスした正規メールの表示例
表示例画像は楽天グループ株式会社様から提供
https://corp.rakuten.co.jp/security/anti-fraud/
Apple メールの BIMI サポートについて
https://support.apple.com/ja-jp/HT213155
※Apple メールは一覧表示画面ではなく詳細画面にてアイコンが表示されます。
送信ドメイン認証技術関連リンク
◇なりすまし対策ポータル「ナリタイ」
https://www.naritai.jp/
◇迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル第3版」
https://www.dekyo.or.jp/soudan/data/anti_spam/meiwakumanual3/manual_3rd_edition.pdf
◇総務省「送信ドメイン認証技術等の導入に関する法的解釈について」
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html
◇内閣府消費者委員会「フィッシング問題への取組に関する意見」2020年12月3日
https://www.cao.go.jp/consumer/iinkaikouhyou/2020/1203_iken.html
データ(対応状況等)
◇統計情報(日本DNSオペレーターズグループ)
https://dnsops.jp/stats/
◇総務省: 迷惑メール対策: 統計データ
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html#toukei
◇迷惑メール相談センター: 4-2-1 送信ドメイン認証実施状況
https://www.dekyo.or.jp/soudan/contents/auth/index.html
講演資料
◇第4回フィッシング対策勉強会(フィッシング対策協議会)
https://www.antiphishing.jp/news/event/antiphishing_4th_studygroup.html
題目:フィッシング報告から見るなりすましメールの現状
講演者:フィッシング対策協議会事務局(一般社団法人JPCERTコーディネーションセンター)平塚 伸世 氏
題目:DMARCによるなりすましメール対策
講演者:JPAAWG / 株式会社インターネットイニシアティブ 櫻庭 秀次 氏
題目:DMARCレポートの活用事例
講演者:株式会社TwoFive 加瀬 正樹 氏