電子メールでは送信元のアドレス書き換えが簡単にできるため、送信元を偽装して個人情報などを盗み取ろうとする「なりすましメール」が後を絶ちません。特に、企業を標的にしたフィッシング詐欺は増加傾向にあり、適切な対策が必要です。本記事では、なりすましメールを防ぐ手段の1つ、「DKIM」についてわかりやすく解説します。
拡大するなりすましメールの被害
近年、電子メールやSMSを悪用した詐欺が増加しています。代表的なのが「フィッシング詐欺」と呼ばれるもので、知名度の高い企業に偽装して、不正に個人情報を騙し取る手法です。
例えば、Amazon.co.jpから「あなたのアカウントは更新できませんでした。ログインして確認してください」といった文面でメールが届き、メールに記載のリンクから偽装サイトに誘導され、そこでログインすると情報が抜き取られるといった具合です。
フィッシング対策協議会が公表したデータによると、2020年に発生が確認されたフィッシング詐欺の総件数は22万4,676件でした。2019年が5万5,787件だったのと比較すると、およそ4倍に増加しています。このうち約86%が、Amazon・三井住友カード・楽天・アプラス (新生銀行カード)・MyJCB の5社を騙るものでした。
また、ここ数年では「標的型メール攻撃」と呼ばれる手法も増加しています。これは主に組織をターゲットにしたもので、過去にやり取りをしたことがある相手に偽装し、機密情報などを騙し取る手法です。特に、ここ数年は「Emotet(エモテット)」と呼ばれるマルウェアの被害が増加しており、セキュリティ専門組織などから注意喚起が発されています。
中には、実在する相手の氏名だけでなく、実際に自分が送信したメール文面の一部が流用されている場合もあります。そのため、自分宛のメールだと誤解してメールを開封し、リンクをクリックしたり、添付されているWordファイルを開いたりする被害が続出しているのです。さらに、Emotetに感染したパソコンに保存されているメール文面やメールアドレスを使って、新たに攻撃メールが送信されるという悪循環も生じています。
なりすましメールの種類
「なりすましメール」とは、送信元を偽装したメールの総称です。なりすましメールのバリエーションには、主に以下のようなものがあります。
フィッシング詐欺
実在する有名企業になりすましたメール・SMSを送信して、そこに記載された偽のウェブサイトへ誘導し、個人情報や認証情報を盗み取るものです。最近では、新型コロナウイルスに関連した内容のメールも増えてきています。
ワンクリック詐欺
なりすましメール内に記載されているURLを1回クリックしただけで、会員登録が完了したり料金を請求されたりするような手口を「ワンクリック詐欺」と呼びます。メール内には、何日以内に振り込まないと訴えられるなど、「クリックしないといけない」と不安をあおるような内容が記載されていることもあります。
ビジネスメール詐欺
「ビジネスメール詐欺(Business E-mail Compromise:BEC)」とは、主に組織をターゲットにした手口で、メール受信者を騙して不正に送金させたり、個人情報を盗み取ったりするものです。
なりすましメール対策に有効なDKIMとは?
なりすましメールを防ぐために、メール送信元の真偽をIPアドレスや電子署名などで確認する方法があります。このような仕組みを「送信ドメイン認証」と呼びます。そして、そのうちの1つが「DKIM(DomainKeys Identified Mail)」です。これは、メール送信元の電子署名を受信側が検証する仕組みです。以下では、このDKIMについて詳しく解説します。
DKIMの仕組み
DKIMを平たくいうと、送信元のドメインが正当なものであるかどうかを認証する技術です。公開鍵暗号方式を使った電子署名技術がベースとなっており、電子署名には自分の公開鍵と署名情報、認証局の情報などが含まれます。
送信者は、メール本文をハッシュ関数で圧縮して、署名情報などとともに自分だけが知っている秘密鍵で暗号化し、電子署名を作成します。その後、作成した電子署名をメールのヘッダに付けて相手に送信します。
秘密鍵の暗号を復号できる公開鍵は、認証局ではなく送信元のドメインを管理しているDNSサーバー上で公開しておくのがポイントです。メールを受信したサーバー側では、送信元ドメインを管理しているDNSサーバーから公開鍵を取得し、電子署名を復号します。復号できれば正当なメールであると判断します。
SPFやDMARCとの違い
なりすましを防ぐための技術としては、ほかにも「SPF (Sender Policy Framework)」や「DMARC(Domain-based Message Authentication, Reporting and Conformance)」などが挙げられます。
SPFは、DNSを利用したなりすまし防止技術です。簡単にいうと、「事前に登録されているIPアドレスとドメインの組み合わせに一致していない」場合、なりすましをしていると判断する仕組みです。
設定方法は、DNSサーバーを設定する際に、ゾーンデータとしてSPFレコードを追加します。これは「Aというドメイン名は、どのIPアドレスに対応しているか」の情報です。具体的には「abc.co.jp. IN TXT "v=spf1 +ip4:192.168.100.0/24 ~all"」のように記載します。
メールを受信したサーバーは、 送信元ドメインのSPFレコードをDNSに問い合わせ、ドメインとIPアドレスをチェックして正当性を確認します。
一方DMARCは、SPFとDKIMの認証結果を補強するために提案された新たな技術で、SPFまたはDKIM(あるいは両方)を事前に導入している必要があります。なりすましだと判別されたメールをどのように扱うのか設定でき、なりすましメールが受信者に届かないようにすることも可能です。設定方法はSPFと同様、DNSサーバー上でDMARCレコードを記述します。
DMARCは大手メールプロバイダーでも順次導入されており、2020年3月からはヤフーメールでも導入が開始しました。フィッシング詐欺の送信元として大半を占めるAmazonでも、SPF・DKIM・DMARCのすべてに対応しており、送信ドメイン認証を設定すれば防ぐことが可能です。
送信ドメイン認証の活用法
前項で紹介したように、送信元を認証する技術としてDKIMとSPF、それに振る舞いを決定するDMARCがあります。
インターネット接続サービスなどを提供するインターネットイニシアティブ(IIJ)が2020年6月に公表した調査結果によると、自社受信メールにおけるSPFの普及率は87.9%、DKIMは48.3%、DMARCは24.6%でした。普及が進むSPFに比べると、DKIMとDMARCの導入は半数以下ですが、DKIMは1年間で10.5%と大きく増加しています。
この調査結果から、先行して普及が進むSPFに加え、より安全性を高める目的でDKIMやDMARCを追加導入する企業が増えつつあることがわかります。セキュリティ効果を最大限に高めるためには、これら3つの技術を組み合わせて活用することが重要です。
堅牢なセキュリティサービスを提供する「HENNGE One」
送信ドメイン認証を設定するためには、メールサーバー側でその技術に対応している必要があります。さらに、自分たちでも電子署名を追加するなど、複雑な認証設定を行うことに負担を感じる方も多いでしょう。
そのような場合には、別途認証機能などを提供するセキュリティサービスを導入するのがおすすめです。安全なメール運用に必要なセキュリティ機能を網羅していることに加え、多くのサービスでは設定もわかりやすく、サポートも充実しています。
例えば、クラウドセキュリティサービスの「HENNGE One」では「HENNGE Email DLP」というメールセキュリティ機能が提供されています。DKIM付与もできるようになっており、管理画面から4ステップで設定可能です。
DKIMなどのセキュリティ設定を行うことで、自社に届くメールのなりすまし対策になるだけでなく、取引先に対しても、セキュリティ対応のしっかりした企業だという印象を与えられるでしょう。
まとめ
情報処理推進機構(IPA)が2021年3月に公表した「情報セキュリティ10大脅威 2021」では、個人の2位が「フィッシングによる個人情報等の詐取」、組織の2位が「標的型攻撃による機密情報の窃取」でした。それだけ攻撃の数も多く、社会的な影響も大きいことがわかります。
特に、ビジネス向けのなりすましメールの手口は、Emotetのように取引先の名称を語るなど年々巧妙になっており、受信者本人が判断して排除することが難しくなってきています。そのため、企業においては機密情報の漏えいやマルウェア感染などの被害を防ぐためにも、メールサーバー側で事前になりすましを防ぐ対策を講じることが重要です。
送信ドメイン認証の1つであるDKIMは、電子署名で送信元の正当性を確認する技術として、SPFに続き利用が広がってきています。単体ではなくSPFやDMARCなどの技術と組み合わせることで、安全性が高まります。メールはビジネスに不可欠なツールであるからこそ、きちんとした対策を行うことが必要です。適切な対応は自社の情報資産を守るだけでなく、取引先からの信頼性にもつながります。「HENNGE One」などのサービス導入も視野に入れ、堅牢なセキュリティ対策を講じましょう。
