第3回：なりすましメール対策の「DMARC」–すぐに実現できる仕組み

今回は「第3回：なりすましメール対策の「DMARC」–すぐに実現できる仕組み」についてご紹介します。

関連ワード （メール詐欺を解剖する、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　多大な金銭的被害の糸口となる「なりすましメール」に対策を講じるには、一人一人がその手口を知り、意識を高めることが重要だ。しかし、それだけに頼るのは、現実的とはいえない。実は、多額の費用を投じなくても、すぐに導入できる技術的対策も大きな役割を果たす。その代表が「DMARC」である。

　この連載で紹介してきた通り、昔から今に至るまでサイバー攻撃者は、常に人の脆弱性を狙ってきた。典型的な手口が、フィッシングメールに代表されるメール詐欺・攻撃だ。なりすましメールを送って偽サイトに誘導し、IDやパスワード情報を盗み取ったり、添付ファイルに仕込んだマルウェアに感染させたりすることで、金銭や重要な情報を盗み取るという目的を果たそうとする。米Verizonがまとめている「DBIR」（2021年度データ漏えい／侵害調査報告書）によれば、データ漏えい・侵害事件のうち85％は人的要因によるもので、しかもフィッシングメールが36％を占め、最も大きな要因になっているという。

　人の心理を狙う攻撃に対する重要な対策は、まずは「人」や「組織」の対策だ。定期的なトレーニングや訓練を通じて、攻撃者がどのような手口を使っているかを知り、万一少しでも「おかしいな」と感じる事態が発生したら、誰に連絡を取り、しかるべき対処を行うか、という手順を確認することが重要だ。

　ただ、対策をそれだけに頼るのは非現実的といえるだろう。人はミスをするからだ。特に、さまざまな問い合わせを受け付けるカスタマーセンターをはじめ、営業、あるいは採用活動を担当する人事など、日々多くのメールを処理すること自体が業務となっている従業員の場合、一通一通にセキュリティの注意を払っていると仕事にならないこともあるだろう。そこを補うのが、なりすましメールを防ぐ対策技術だ。

　メールの技術的なセキュリティ対策というと、フィルタリングによって悪意あるメールをブロックする方法が真っ先に連想される。脅威インテリジェンスを活用して悪意ある送信元からのメールをブロックしたり、人工知能や機械学習を活用して、「正常な状態」と判断する特徴から逸脱しているメールや添付ファイルを警告したりと、さまざまなアプローチが存在するが、実は手軽に導入できるにもかかわらず、「灯台もと暗し」で忘れられがちな対策技術がある。それは、送信ドメイン認証技術の1つである「DMARC」（Domain-based Message Authentication Reporting and Conformance）だ。