「なりすましメール」の危険性と「DMARC」の可能性

印刷

一般財団法人日本データ通信協会
迷惑メール相談センター次長 西松 薫

 欧米で被害が拡がっていた「ビジネスメール詐欺」(BEC:Business E-mail Compromise)が日本にも上陸してきた。国内では、2016年3月には大手旅行代理店から約678万人分の個人情報が流出し、また、2017年9月には大手航空会社が3億数千万円もだまし取られたと報道されている。被害に遭ったどの企業も情報セキュリティ対策に注力しているのに、何故、被害にあってしまったのだろうか? 報道によると、欧米で多く見られている、企業の経営層になりすまして相手をだます、いわゆるCEO詐欺とは異なり、これらはいずれも取引先企業の「なりすましメール」による被害で、2つの事例に共通しているのは、攻撃者による入念な準備と絶妙なタイミングの攻撃メール送信があった点にあると言われている。攻撃者は、①まず、被害企業に入り込むため「なりすましメール」を送信し、②被害企業の機器をウイルスに感染させて被害企業に入り込む。③その後メールのやり取りをモニターして業務の流れを把握し、④どのタイミングでどのような内容のメールを出せば騙すことが可能か充分に調査したうえで、⑤絶妙なタイミングで被害企業のターゲットとなるメールアドレス宛に「なりすましメール」を送信して被害企業に金銭の振込みを行わせたり、重要な情報にアクセスするためにウイルス感染へと導いたりするのである。もし、「なりすましメール」を完全にブロックすることができていれば、これらの被害は未然に防ぐことができたのかもしれない。 それでは、どのような対応を行なえば「なりすましメール」をブロックすることが可能になるのだろうか?
 技術的な観点から送信者ドメインの詐称やメール本文の改ざんを行う「なりすましメール」の検出に対して有効な技術がアメリカを中心に広まってきている。それは「DMARC」(Domain-based Message Authentication, Reporting & Conformance)と呼ばれ、国際的な電子メール不正利用対策技術検討グループであるM3AAWG(The Messaging, Malware and Mobile Anti-Abuse Working Group)が推奨している。日本でも日本データ通信協会の迷惑メール相談センターが運営事務を担当する「迷惑メール対策推進協議会」(座長:新美育文 明治大学法学部教授)がその普及・啓発活動を行なっている。もちろん、この技術を導入したとしても現在拡大しつつあるBECを無くすことはできないが、少なくとも過去に発生した被害事例のいくつかは防止することができたはずだ。また、攻撃側から見ると、ターゲットとなる企業への侵入難易度や金銭・情報の取得難易度が高まることで攻撃者にとっての手数・コストが増加し、最終的に攻撃意欲の減少につながる。

 欧米では大手のメールサービス事業者やメール配信事業者の多くがDMARCを導入しているが、日本ではまだわずかなので、今後、DMARCの日本国内での普及によって『なりすましメール』の被害拡大が抑制されることが期待されている。

 迷惑メール対策推進協議会の事務局である迷惑メール相談センターでは、このDMARCの普及に向けてリーフレットを作成し各企業の関係者に配布すると共に、ホームページ上に各メールサービス提供事業者の対応状況を示し、その普及状況を皆様にお伝えしているので、ぜひご覧頂きたい。 メールサービスを提供している事業者のDMARC利用状況については、迷惑メール相談センター当該ページhttps://www.dekyo.or.jp/soudan/contents/auth/index.htmlを参照頂きたい。