「なりすまし」による詐欺メールへの警戒を呼びかけるニュースが最近相次いでいる。2023年2月1日には、経済産業省、警察庁、総務省が、なりすましによるフィッシング詐欺の対策強化をクレジットカード会社などに要請した。
サイバーセキュリティー企業各社も、なりすましメールの脅威の高まりを警告する調査結果を発表している。例えばフィンランドのセキュリティー企業WithSecure(ウィズセキュア)は2023年1月、米OpenAIのAI(人工知能)チャットボット「ChatGPT」を悪用し、説得力の高いフィッシング詐欺メールを作成できることを確認したとするリポートを公開した。
一方、日本企業の多くはなりすましメール対策で後手に回り、有力な技術の導入率が3割にとどまるとの調査もある。経産省などの要請は主にクレジットカード会社を対象にしたものだが、なりすましメールの脅威はクレジットカードに限らない。ビジネスメール詐欺(BEC)も年々被害額が増えており、すべての日本企業が対策に本腰を入れる時期に来ている。
経産省などが送信ドメイン認証の導入を要請
なりすましメールが止まらない背景の1つに、メール送信用のプロトコルであるSMTP(シンプル・メール・トランスファー・プロトコル)がある。SMTPは認証機能を持たないため、悪意のある利用者が、正規の利用者になりすましてメールを送りつけられる。
この対策として、経産省などは今回、送信ドメイン認証技術の導入を広く呼びかけた。送信ドメイン認証とは、メールの送信者が送信元ドメインなどを詐称していないか確認する技術。受信側で取れる迷惑メール対策の1つである。
受信したメールのドメイン情報などを手がかりに、メールが送信側のメールサーバーから正しく送られたのかなどを確認する。犯罪者がAIを悪用して違和感のない文面のなりすましメールを送りつけてきたとしても、送信手段から見破れるわけだ。
送信ドメイン認証技術を詳しくみると3種類ある。SPF、DKIM(ディーキム)、そして経産省などが推奨したDMARC(ディーマーク)である。いずれも、なりすましかどうかを確認する手段としてDNS(ドメイン・ネーム・システム)サーバーを使用する。
基本的な仕組みは送信側が自社ドメインの認証用の情報を登録しておき、受信側はメールの受信時に送信側のDNSサーバーに登録された情報を参照して認証するというもの。認証に失敗したときは、「迷惑メールフォルダーに隔離する」「受信を拒否する」「メールソフトなどに認証失敗を表示する」といった対処が可能だ。対処のポリシーは受信側が設定する。「何もしない」というポリシーも設定できる。
SPFは送信側のメールサーバーの正当性をIPアドレスで、DKIMは送信者の正当性を電子署名でそれぞれ調べる。それぞれ有効な技術で、日本企業の間でも比較的導入が進んでいるが、不足する点もある。
メールセキュリティー製品を手掛けるTwoFiveの加瀬正樹開発マネージャーは「受信者の目に留まりやすいヘッダーFromは認証しない」と指摘する。ヘッダーFromとは、メールソフトで「送信者名」などと表示されるメールアドレス。詐欺メールによく見られる、ヘッダーFromを詐称したメールを防ぎ切れない。
そこでDMARCはSPFとDKIMを併用しつつ、新しい仕組みを追加してヘッダーFromの詐称を見抜ける仕組みを設けている。具体的には、SPFやDKIMで認証した送信側のドメインと、ヘッダーFromのドメインを照合して正当性を見定める。
DMARCは認証に成功したかどうかを受信側から送信側に報告する機能も備える。送信側も自社のメールシステムの問題に気づきやすくなる。例えば認証失敗の報告を多数受け取ったときは、自組織をかたるなりすましメールが出回っていると気付ける。
DMARCを導入する日本企業は3割どまり
このような特徴を備えるDMARCについて、TwoFiveの加瀬氏は「なりすましメールの対策に必須の基礎的な技術だ」と話す。だが、日本企業のDMARCの導入は遅れている。
