世界的な傾向と同様に、アジア太平洋(APAC)地域のフィッシング攻撃は執拗であり、パンデミック以降急激に増加しています。このような状況を踏まえ、APAC地域の小売業者上位500社、およびニュージーランドとオーストラリアの小売業者上位100社におけるDMARCの導入状況を、推定売上高に基づいてご紹介します。
前回のDMARC 導入調査で説明したように、小売業者はサイバー攻撃から保護されているわけではなく、むしろ犯罪者の標的になりやすいのです。
オーストラリア通信信号局は、2023~24年度の年次サイバー脅威報告書で、「詐欺のほとんどは、フィッシングなどのサイバー犯罪に関連しており、フィッシングは全被害の55%、全報告の74%を占めている。報告は合計で15万件を超え、損失額は3,300万ドル以上であった。」と報告しています。
組織はフィッシング攻撃による経済的損失、ブランドのダメージ、信頼の失墜の被害を受け続けているため、メールエコシステムの大手企業は自主規制に乗り出しています。2024年2月、GoogleとYahooは、 2023年10月に発表された一括送信者に対するDMARC要件の施行を開始し、大量送信者のDMARC導入の急増を後押ししました。
アジア太平洋地域の小売業者上位 500 社の DMARC導入状況
Dmarcianのドメイン調査により、APAC の上位 500 ドメインのうち 46% が、ドメインを悪用から保護するための第一歩となるベストプラクティスに準拠した DMARC レコードを公開していることが明らかになりました。
24% が DMARC ポリシーを p=quarantine または p=reject の適用レベルまで引き上げています。また、調査した APAC の小売ドメインの 76% は、DMARCレコードがない・DMARCレコードに問題がある・p=none ポリシー (DMARC 監視フェーズ、ドメインから誰がメールを送信しているかを確認できるが、保護は提供されない) のいずれかであるため、フィッシングやソーシャル エンジニアリングの侵入を受けやすい状態でした。
小売業者は、電子メールマーケティングに大きく依存しています。スパムスコアに関連して「評判」という言葉をよく目にしますが、「ブランド」の評判という文脈ではそうではありません。フィッシングは、スパムの観点から見て評判に影響を及ぼしますが、同様に重要なのは、一般の人々に対する評判にも影響を与える可能性があることです。あなたの組織からの電子メールは信頼できるでしょうか?
dmarcian APAC事業部ディレクター、Tass Kalfoglou
RUA報告アドレスの欠如
アジア太平洋地域のトップ 500 の小売ドメインの 19% にエラーがあるか、メールセキュリティ業界の標準に準拠していないことが判明しました。これらの問題の大部分 (12%) は、DMARC レポートの送信先となるメールアドレスを決定する RUA レポートアドレスが不足していることが原因でした。RUA アドレスを含めることはベストプラクティスです。RUA アドレスがなければ、メールセキュリティ戦略を維持する方法はありません。
RUA (集計) レポートは、SPF、DKIM、DMARC の認証ステータスを含むドメインのトラフィックを表示します。電子メール レポーターは、人間にとって読みにくい XML 形式で RUA および RUF レポートを発行します。DMARC レコードに RUA アドレスがないと、ドメイン所有者は DMARC のコア機能の 1 つであるドメインの使用状況の可視性を活用できず、事実上、手探りで作業していることになります。
RUA アドレスを持たないドメインが多数あることは、今年初めに Google と Yahoo が設定した
電子メール認証要件を満たすために、小売業者が最低限の DMARC レコードを実装する傾向を示している可能性があります。
セキュリティポリシーが p=none であることと、RUA報告アドレスの欠如の組み合わせは、DMARC レコードがまったくないのと変わりません。レポート (RUA) アドレスを追加することによりDMARC の重要なポイントである、ドメインがどのように使用されているか (良い目的か悪い目的か) に関するインターネットからのフィードバックが利用できるようになります。このフィードバックには、これらの電子メールがどのように認証されたかに関する情報が含まれています。これは、電子メールが正しく構成されていることを確認するための重要な情報であり、自信を持ってセキュリティポリシーを強化するために使用できます。
Dmarcianの調査では、一般的なベストプラクティスに準拠していないドメインが多数あることも判明しました。SPFルックアップが多すぎる、外部 DMARC 検証エラー、SPF レコードの過剰承認などの問題があります。これらはすべて、修正しないと、攻撃対象領域や配信の問題という形でリスクを増大させます。DmarcianのDMARC 管理プラットフォームは、メール認証と DNS プラクティスを総合的に調査し、問題を解決するためのガイダンスを提供します。
オーストラリアの小売業者トップ 100 社の DMARC導入状況
APAC のトップ 500 ドメインと比較すると、オーストラリアのトップ 100 小売ドメインの多くは、 p=quarantine または p=reject の DMARC ポリシーを強制した DMARC レコードを導入しており、
ドメイン保護なしで放置されているドメインは少なくなっています。
ただし、このグループのドメインの 68% は DMARC によって完全に保護されていません。13% には DMARC レコードがなく、31% には p=none ポリシーがあります。さらに 24% には技術的なエラーがあるか、ベストプラクティスに従っていません。
送信インフラを分離する: 個別メールやトランザクションメールに使用しているシステムと同じシステムからマーケティングメールを送信することは避けましょう。
残りの 32% は、SPF および/または DKIM 認証に失敗したメッセージをスパムとして送信する (
p=quarantine ) か、まったく配信しない ( p=reject ) という強制ポリシーが適用されています。p=reject は DMARC 導入の最終的な目標です。
オーストラリア サイバー セキュリティ センター (ACSC) は、電子メールのなりすましを防止する上での DMARC の重要性を認識し、DMARC 実装に関する具体的な推奨事項を含むガイドライン「悪意のある電子メールの軽減戦略と、偽の電子メールに対抗する方法」を発表しました。
DMARC を実装して SPF および/または DKIM を強化する: ドメインベースのメッセージ認証、レポート、および適合 (DMARC) を使用すると、ドメイン所有者は、受信者の電子メール サーバーが Sender Policy Framework (SPF) チェックや Domain Keys Identified Mail (DKIM) チェックに失敗した場合に実行する必要があるアクションを示すポリシーを指定できます。
悪意のあるメールの軽減戦略
ニュージーランドの小売業者トップ 100 社の DMARC導入状況
ニュージーランドの詐欺の現状に関する報告書によると、2023年8月30日から2024年8月30日までの間に、ニュージーランド人はオンライン詐欺で約23億ドルの損失を被り、オンラインショッピング詐欺が個人情報の盗難を抜いて金銭的損失理由のトップになったと報告しています。また、人工知能が犯罪者の生産性を向上させ、手口を巧妙にしているとしています。
同様に、ニュージーランドのeCommerceNewsは、偽のオンライン小売業者の増加について「ホリデーショッピングシーズンが近づく2024年には、約80,000の偽造ウェブサイトが検出された」と報告しています。これらの違法なウェブサイトは、Pandora、Swatch、H&M、Princess Polly、Zaraなどのブランドのふりをして、ニュージーランドの買い物客をターゲットにしており、正規のオンラインショップと同じような外観と振る舞いをし、人々を騙してオンラインショッピングカートに商品を入れさせ、支払いカードデータを入力させます。
ニュージーランドのリテールドメインのトップ100は、APACリテールドメインのトップ500と密接に一致しており、ドメインの72%がDMARCによる完全な保護を受けていません。28%のドメインはp=quarantineまたはp=rejectのDMARCポリシーで保護されていますが、22%は技術的エラーがあるか、ベストプラクティスを遵守していません。
ニュージーランド政府通信セキュリティ局によって作成および更新された 情報セキュリティマニュアル(NZISM) では、セクション 15.2 電子メール インフラストラクチャで DMARC を含むサイバーセキュリティのベスト プラクティスが概説されています。
そこでは、フィッシングやマルウェア配布攻撃から人々を守るために、DKIM、SPF、DMARC を
p=quarantine または p=reject ポリシーで実装することを推奨しています。NZIM は政府ドメインを対象としていますが、「政府機関、地方自治体、民間組織もこのマニュアルを使用することが推奨されています。」
電子メールはコミュニケーションに不可欠なツールであり、サイバー攻撃の標的となることがよくあります。電子メールは歴史的に安全性が低く、ソーシャルエンジニアリングの標的となるため、保護が困難です。電子メール認証は、なりすましやフィッシングなどのなりすまし攻撃から電子メールを保護します。フィッシングやマルウェア配布攻撃は、一般的なインターネットセキュリティの脅威です。機関のドメインが不正に使用されること (スパムやスピアフィッシングなど) を回避するには、送信者ポリシーフレームワーク (SPF)、ドメインキー識別メール (DKIM)、ドメインベースのメッセージ認証、レポート、適合 (DMARC) レコードを実装する必要があります。
NZISM Section 15.2.5.
DMARC ポリシーの適用の比較
APAC 地域における DMARC の採用率は、他の地域と同様に国や業界によって一貫しておらず、DMARC の認知度、規制圧力、リソースの可用性の影響を受けています。
DMARC の採用数が少ないことから、小売業者がまだ DMARC の価値を理解していないと言っても過言ではありません。サイバーセキュリティに費やすお金が毎年増える中、サイバー犯罪は増加し続けており、最大の攻撃ベクトルは電子メール経由です。DMARC は、組織に侵入するドメインを偽装したフィッシング攻撃を軽減するだけでなく、脅威アクターが顧客やサプライチェーン内の人々に対してドメインを使用するのを防ぎます。組織が DMARC を採用したことでサプライチェーンが自らの慣行を修正せざるを得なくなり、エコシステム全体に利益がもたらされたというシナリオに遭遇したことがあります。電子メールエコシステムの大手企業はこれに気づき、電子メールの世界を改善するためにできることを行っていますが、戦いはまだ終わっていません。インターネット上でドメインがどのように使用または悪用されているかを可視化するスケーラブルな電子メール セキュリティポリシーである DMARC の真のメリットを教育し、促進するための取り組みがまだ必要です。
dmarcian APAC事業部ディレクター、Tass Kalfoglou
施行ポリシーによる DMARC の採用率は約 24% ですが、APAC 地域は北米やヨーロッパなどの地域に比べて遅れています。ただし、電子メール業界の規制と、電子メールドメインの使用状況を監視および制限するための主要な制御手段として DMARC がどのように機能するかについての理解が深まったことにより、DMARC の採用は勢いを増しています。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
