投稿日:2023年5月15日
クレジットカード番号の不正利用の原因となる、フィッシング詐欺が増加しています。
総務省、警察庁、および経済産業省は、クレジットカード会社等に対し、送信ドメイン認証技術 ( DMARC ) の導入を始めとする、フィッシング対策の強化を要請しています。
本コラムでは、なりすましメール対策として、 Gmail への DMARC 導入手順をご紹介します。
フィッシング対策協議会によれば、フィッシング詐欺とは、「実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。」(※1)
また、企業を対象にしたフィッシング詐欺は、 BEC (ベック) と呼ばれています。
独立行政法人情報処理推進機構は、「巧妙な騙しの手口を駆使した、偽の電子メールを組織・企業に送り付け、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口です。」(※2)と説明しています。
※1 フィッシング対策協議会 Council of Anti-Phishing Japan | 消費者の皆様へ | フィッシングとは (antiphishing.jp)
※2 ビジネスメール詐欺(BEC)対策特設ページ:IPA 独立行政法人 情報処理推進機構
フィッシング詐欺は、年々増加しており、経済産業省のHPに掲載されている資料には、以下のように記載されています。
● 報告数は 2022 年 9 月末時点で、2019年 (3 年前) の約 13.5 倍
● URL件数は 2022 年 9 月末時点で、2019 年の約 11.4 倍
さらに、
● 今まで主流だったURLフィルタリングによる対策が効きづらい状況
● 誘導元となるフィッシングメールへの対策を行うことが、ますます重要となる
との記載もあり、従来の対策にプラス アルファの対応が必要であることを示唆しています。
■詳しくはこちら
フィッシング対策協議会 2022年版 フィッシング報告状況と対策
004_02_00.pdf (meti.go.jp)
DMARC (ディーマーク)は、送信ドメイン認証技術のひとつです。
SPF と DKIM と連携し、メールの送信元アドレス(From)のドメインがなりすましていないかを検証し、送信元ドメイン所有者が規定するポリシーに従って、受信されたメールの配信を制御することができる仕組みです。
◆ DMARC が Fail と判断されたときの挙動の一例
受信側のメールサーバーは、メールの送信元ドメインを確認します。
1.受信側のメールサーバーは、送信元ドメインの DMARC レコードを取得します。
2.受信メールサーバーは、送信元ドメインから SPF レコードを取得して、「 SPF レコードに記述(公開)されたIPアドレス」と「実際のメールの送信元IPアドレス」が一致しているかを確認して、なりすましかどうかを判定します。
3.メールの SPF と DKIM が失敗した場合、 DMARC ポリシーに応じて、メールは「quarantine(検疫)」または「reject(拒否)」とマークされます。
このとき、 DMARC ポリシーが「p=reject」と設定されている場合、メールは受信者に届かず、送信者にエラーメッセージが返されます。
また、 DMARC ポリシーが「p=quarantine」と設定されている場合、メールは受信者のスパムフォルダに振り分けられることがあります。
4. DMARC のポリシーが「p=none」と設定されている場合、 DMARC による検証は行われますが、失敗してもメールの配信に影響はありません。
このポリシーは、 DMARC の検証を開始する際に使用されます。
送信元ドメインが DMARC ポリシーを設定していない場合、デフォルトで「p=none」となります。
DMARC の設定自体は簡単に実装できますが、運用には専門的な知識や経験が必要です。
また、一度設定したら終わりではなく、継続的なモニタリングも求められます。
DMARC 運用時の理想的な設定値は、以下の通りです。
v=DMARC1; p=reject; rua=mailto:rua@example.com; pct=100; adkim=s; aspf=s
設定を行うには、以下の手順で設定値を確認していきます。
(ここでは、各タグの詳細な説明は省略しています。)
1.pタグに設定する、認証できないメールの処理方法を決めます。
ポリシーは3つ(none、quarantine、reject)ありますが、初期導入時はnone とすることをお勧めします。
2.rua タグに設定する、レポートを受信するためのメールアドレスを決めます。
rua とはReporting URL for aggregate dataの略です。
DMARC が集計した SPF 、 DKIM の認証結果を rua タグで指定したメールアドレスに送付する、という設定になります。
rua タグは任意の設定となりますので、省略することができます。
3.pctタグに設定する、 DMARC の検証対象とするメールの割合を決めます。
pct に設定できるのは整数のみのため、1 ~ 100 のいずれかの整数を設定します。
pctタグの設定は任意ですが、省略した場合は既定値のpct=100となって運用されます。
4.aspfタグに設定する、アライメントのモードを決めます。
モードは2つあり、strict モード(aspf=s)とrelaxed モード(aspf=r)があります。aspf タグは任意の設定は任意ですが、初期導入時は規定値の r となって運用されます。
5.adkim タグに設定する、アライメントのモードを決めます。モードは2つあり、strict モード(adkim=s)とrelaxed モード(adkim=r)があります。adkim タグは任意の設定は任意ですが、初期導入時は規定値の r となって運用されます。
6.手順1~5 で決めた設定値を DMARC の設定値に落とします。
DMARC の作法として、v タグを先頭に、そのあとに p タグを指定します。
例:v=DMARC1; p=none; rua=mailto:rua@example.com
7.手順6をDNSに設定します。例えば example.com の場合、以下のようになります。
Type:TXT
Host:_dmarc. example.com
Value:v=DMARC1; p=none; rua=mailto:rua@example.com
TTL: 3600
初期導入時は「p=none」となりますが、なりすましメールの撲滅には、「p=reject」となることが理想です。
ただし、安易に「p=reject」とすると、メール配信サービスを利用している場合に不都合が出る場合がありますので、コンサルティングを受けることを推奨いたします。
以上になります。
パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。
執筆者:水口博文