ヨーロッパの高等教育分野での DMARC 導入に関する調査に続き、アジア太平洋 (APAC) 地域の学校が電子メール セキュリティをどのように実施しているかを調査しています。
本調査では、オーストラリア、ニュージーランド、そしてアジア太平洋地域におけるトップクラスの大学を、教職員数に基づいて調査しました。調査にあたり、各大学の親ドメインを取得し、DNSで公開されているDMARC、SPF、DKIM にアクセスするためのツールを用いて精査しました。
大学は、個人を特定できる情報(PII)、財務データ、研究記録、知的財産などの膨大な情報を保有しているため、主要な標的となります。分散化されたインフラストラクチャ、広範囲にわたるネットワークアクセス、シャドーIT、学習管理システムといった要素が、メールというインターフェースの共通性によって、巨大な攻撃対象領域を生み出しています。
フィッシングやソーシャルエンジニアリングは、特にキャンパスコミュニティが絶えず変化し、一貫したサイバーセキュリティトレーニングを受けられない場合が多い環境では、こうした攻撃が蔓延しています。IT部門はセキュリティ意識の向上に努めていますが、専門知識と予算の不足により、強固なセキュリティ体制を維持することは困難です。
アジア太平洋地域の高等教育機関を狙ったフィッシング詐欺
6万人の学生を擁する高評価の公立大学であるディーキン大学は、2022年に二度にわたるフィッシング・スミッシング攻撃を受けました。まず、大学のサードパーティSMSサービスプロバイダーの職員のログイン情報がフィッシング攻撃のエクスプロイトによって盗まれ、その結果、数千件の学生の記録が漏洩しました。そして、攻撃者は学生の電話番号を使ってスミッシング攻撃を開始しました。フィッシングは、ネットワークやシステムへの最初のアクセスを取得し、その後、エクスプロイトを実行するためによく使用されます。
アジア太平洋地域の高等教育機関トップ500のDMARCステータス
他の地域と同様に、アジア太平洋地域もメール不正利用の脅威に見慣れています。高等教育機関のドメイン上位500件のうち77%に不正なレコードが存在するか、フィッシングの餌となるドメインへの不正アクセスから保護されていないことが判明しました。一方で、ドメインの約4分の1では、p=quarantineまたはp=rejectのDMARCポリシーが適用されていました。
内訳は次のとおりです。
- 38% には DMARC レコードがまったくなく、フィッシング攻撃の危険にさらされています。
- 23%はp=none監視フェーズの記録があり、このフェーズでは、失敗したメールに対しては何もアクションは取られませんが、メールの送信元に関する可視性は提供されます。これらのフェーズは、エクスプロイトに対して非常に脆弱です。
- 16% では DNS レコードに間違いがあり、ドメインが公開されたり、表示されなくなったりしています。
- 13%はDMARCポリシーp=quarantineを採用しています。このポリシーは、メールがスパムフォルダに配信されるもので、最適なp=rejectポリシーの前段階となります。
- 10% はp=rejectで、不正な電子メールが受信トレイに配信されないドメインの安全な避難場所になります。
DMARC、SPF、DKIMレコードの問題
本調査の発表時点で、アジア太平洋地域の高等教育機関向けドメイン上位500件において、問題のあるDNSレコードのほとんどがSPFに関連していることがわかりました。DNSルックアップの上限である10件を超えるものもあれば、構文エラー、複数のSPFレコード、あるいはレコードが存在しないものもありました。私たちはDKIMファースト認証を推奨していますが、SPFレコードがないと配信に問題が発生し、なりすましのリスクが高まり、IPアドレス認証が不足することでドメインのセキュリティが低下する可能性があります。
認証、セキュリティ、配信性の向上につながる正確で調整された SPF レコードを作成するには、構文ガイドを確認してください。
DMARCステータス:オーストラリアの高等教育機関トップ50
オーストラリアには、学生データのプライバシー保護を含む一般的なデータ保護法があります。1988年プライバシー法(通称プライバシー法)は、「個人に関する個人情報の取り扱いを保護するオーストラリアの主要な法律です。これには、連邦政府機関および民間部門における個人情報の収集、利用、保管、開示が含まれます。」
オーストラリアのプライバシー法のような法律では、DMARC は機密情報を保護し、ドメインのなりすましや直接ドメインのフィッシングを防止し、可視性を実現し、規制コンプライアンスを満たす基礎的な業界標準です。
オーストラリアの高等教育機関の上位50ドメインについても、従業員数に基づくと、DMARC導入の見通しは明るいと見ています。42%のドメインでミスが発生したり、ドメイン不正使用に対する保護対策が講じられていないものの、半数以上がp=quarantineまたはp=rejectのDMARC適用ポリシーを導入しています。
オーストラリアの上位 50 の高等教育ドメインに関して喜ばしい点の 1 つは、そのすべてが DMARC レコードを公開していることです。つまり、すべてのドメインが DMARC によってフィッシング攻撃から保護されているか、保護に向けて順調に進んでいます。
要約すると次のようになります。
- 34% にはp=none監視フェーズの記録があります。
- 8% の DNS レコードに間違いがあります。
- 26% はp=quarantineの DMARC ポリシーを採用しています。
- 32% は、DMARC 強制のゴールド スタンダードであるp=rejectです。
DMARCステータス:ニュージーランドの高等教育機関トップ50
オーストラリアと同様に、ニュージーランドの高等教育機関上位50ドメインを調査したところ、DMARC導入の見通しは明るいことが示されました。DMARCレコードを持たないドメインはわずか8%であり、これはDMARCを用いてフィッシング攻撃からドメインを遮断する意識と意欲を示しています。40%が施行ポリシーを公開していますが、60%はフィッシング攻撃への悪用を防ぐための対策を強化する必要があります。
詳細:
- 16% は DMARC ポリシーがp=reject です。
- 8% には DMARC レコードがありません。
- 32% にはp=none監視フェーズの記録があります。
- 20% の DNS レコードに間違いがあります。
- 24% はp=quarantineの DMARC ポリシーを採用しています。
メールはコミュニケーションに不可欠なツールであり、サイバー攻撃の標的となることがよくあります。メールは歴史的に安全性が低く、ソーシャルエンジニアリングの標的になりやすいため、保護が困難です。メール認証は、なりすましやフィッシングなどのなりすまし攻撃からメールを保護します。フィッシングやマルウェア配布攻撃は、インターネットセキュリティにおける一般的な脅威です。機関のドメインが不正に利用される(スパムやスピアフィッシングなど)のを防ぐため、以下の対策を実施する必要があります。
- 送信者ポリシーフレームワーク(SPF)
- ドメインキー識別メール(DKIM)
- ドメインベースのメッセージ認証、レポート、コンプライアンス(DMARC)レコード
DMARCポリシー施行の比較
学生数が数千人規模になることも多く、従業員数も同数になることがよくあるため、高等教育機関はDMARCの導入において、特に複雑な課題に直面しています。高等教育機関は通常、膨大な数のドメインとメール送信サービスを管理しており、その複雑さは一般的な企業をはるかに超えています。
ITチームは、どの部門が特定のメールサービスを利用しているかを把握していないことが多く、DMARCの導入作業を複雑化させています。このような場合、効果的なDMARC管理ソリューションが不可欠です。dmarcianのエキスパートは、豊富な専門知識と豊富な実績に基づき、プロフェッショナルサービスを通じて数多くの教育機関を支援し、これらの複雑な作業を簡素化します。
p=rejectポリシーを採用している機関の数は依然として比較的少ないものの、オーストラリアとニュージーランドの多くの機関が少なくとも基本的なDMARCレコードを導入していることは心強いものです。p =noneポリシーを採用している場合でも、DMARCレポートから得られる知見は貴重な可視性を提供し、正しい方向への重要な一歩となります。
残念ながら、一歩引いてアジア太平洋地域全体を見てみると、多くの国でまだ理解や認識が不足しており、同じことは言えません。
—Tass Kalfoglou, Director of dmarcian APAC Business Unit
dmarcianはオーストラリア、ニュージーランド、その他のアジア太平洋地域の学校を支援するためにここにいます
メールセキュリティの専門家チームと、メールセキュリティを通じてメールとインターネットの信頼性を高めるという使命を掲げるdmarcianとそのパートナーは、学術機関のDMARC適用を支援しています。私たちは、お客様がドメインをフィッシングから保護し、長期的なメールセキュリティ管理を行えるよう支援しています。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
