セキュリティの決まり文句は、ユーザーが最も弱いリンクであるというものだ。もしそうでないとしたら?アカウント乗っ取りやマルウェアとの戦いの最後の1マイルであるユーザーが、警戒心を持ち、詐欺に対してますます抵抗力を増しているとしたらどうだろう?
アカウント乗っ取り詐欺は、eコマース・ビジネスやリテール・バンクにとって莫大な損失の原因となっている。Javelin Strategy & Researchの2022年ID詐欺調査によると、アカウント乗っ取りによる損失は総額114億ドルで、前年比90%増となっている。この種の攻撃に対抗するため、大手小売業者や銀行はドメイン・ベースのメッセージ認証報告およびコンプライアンス(DMARC)を導入し、サイバー犯罪者が自社ブランドになりすますことを難しくしている。
しかし、DMARCはユーザーには見えないため、ユーザーはメール送信者が本物かどうかを知ることが難しい。ユーザーは、最初の印象に基づいて、電子メールを信頼するか削除するかを瞬時に判断することがよくあります。このような認証プロトコルが目に見えない場合、受信者はフィッシングやスパムと正当なメールを区別するのに必要な安心感をすぐに得ることができず、ビジネスチャンスを逃したり、セキュリティを脅かす可能性が出てきます。
受信者が本物の送信者となりすましの送信者を区別できるように、GmailやAppleなどのメールボックス・プロバイダは、メールがさまざまな認証チェックを通過した場合、受信者のメールボックスにメール送信者のロゴを表示する機能を実装している。これはBIMI(Brand Indicators for Message Identification)と呼ばれるもので、ユーザーに電子メールの真偽に関する視覚的な手がかりを即座に提供するものである。その結果、ユーザーが悪意のあるリンクをクリックしたり、悪意のある添付ファイルを開いたり、あるいは悪質な行為者に関与したりする可能性が低くなる。ユーザーは、より迅速に、より適切なセキュリティ上の判断を下すことができる。
DMARCとブランドインジケータがアカウント乗っ取り対策にどのように役立つのか、2つのメールを検証してみましょう。
2通のメールの物語
どちらのメールも私の迷惑メールフォルダーに届いたが、一方は悪意があり、一方はそうではない。前述したように、本物のメールとなりすましのメールを即座に見分けるための視覚的な指標はない。実際、私は最初アマゾンのメールを詐欺だと思った。なぜなら、予想もしていなかったし、メールのドメインが奇妙に見えたからだ。フェイスブックのメールは、フェイスブックのアカウントを持っていないので詐欺だとわかった。
合否認証テスト
受信サーバーが行った送信者認証テストの結果を見るには、メールヘッダーを分析する必要があった。電子メールのヘッダーは、荷物の詳細な追跡情報に似ている。ヘッダーには、メール送信者に関する情報、メールがどのようにルーティングされたか、途中の認証チェックの結果などが含まれている。
上記なし
DMARCに関連する電子メール認証チェックは、合格または不合格と考えられているが、合格、不合格、またはなしである。
以下は、偽Facebookメールのメールヘッダの関連部分である。
- 送信者IPは89[.]144[.]9[.]88
- smtp.mailfrom=inlkrqa.co.uk。
- inlkrqa.co.ukは許可された送信者ホストを指定していません。
- dkim=none(メッセージが署名されていない)
Facebookの偽メールの場合、メッセージは存在しないドメインから送信されており、ドメイン所有者が許可された送信者を指定していない理由を説明している。ドメインがないということは、メールボックス・プロバイダが送信者を確認するための認証レコードがないということだ。先に述べたように、これらの情報はいずれも受信者が容易に閲覧できるものではない。
簡単なことなど何もない
以下は、一見正当なアマゾンの電子メールのヘッダーの関連部分である。
- 送信者IPは13[.]110[.]209[.]206です。
- smtp.mailfrom=bounce.email.pharmacy.amazon.com
- bounce.email.pharmacy.amazon.comは13.110.209.206を許可された送信者として指定します。
- dkim=pass(署名が確認されました)
これで、Amazonのように見えるメールは、bounce.email.pharmacy.amazon.comの代わりにメッセージを送信するように適切に設定されたメールサーバーから来たことがわかった。このドメイン名は長いし、Punycodeのおかげで、そっくりなドメインを見つけることに関しては自分の目を信じてはいけないことを学んだ。
送信者のIPアドレスを確認したところ、アマゾンではなくセールスフォースが所有していた。AmazonがSalesforceの顧客マーケティングプラットフォームからこのメールを送信したと考えるのが妥当だろう。これが共有IPアドレスかどうかは分からないので、Salesforceは共有プラットフォームであるため、私はまだ疑っていた。最後に、「whois」を使って送信者ドメインの所有者を調べたところ、Amazon Technologies, Inc.であることが判明した。
私はまだリンクをクリックするつもりはない。この電子メールの信頼性に関して最初に抱いた疑念は、持続的な懐疑心を生み出した。そしてこれは、技術的な詳細をすべて掘り下げた後のことだった。私は通常、5秒以内にメールを読むか削除するかを決める。その判断には、内容に興味があるかどうか、行動喚起をクリックするほど信頼できるかどうかを判断する時間も含まれる。
最後の1マイル
明らかに、一般的な顧客は、メールの送信者を信用するかどうかを決めるために、ここまで調査することはないだろう。そのため、リンクをクリックして最善を願うか、メールを削除して次に進むかの2択になります。明らかに、顧客を引き付け、同時に詐欺を回避させようとする企業にとって、どちらも理想的な結果ではありません。BIMIがお手伝いします。
BIMIは、電子メールの信頼性を視覚的に示すことができるため、ユーザーが貴社の電子メールを信頼しやすくなり、犯罪者が貴社ブランドになりすますことが難しくなります。これにより、ユーザーは電子メールを媒介とした攻撃の被害に遭いにくくなるだけでなく、貴社の電子メールに関心を持ちやすくなります。信頼できるものに惹かれるのは人間の性です。
下の2つのメールを見比べてみてください。あなたはどちらを信用しますか?送信者名の隣にあるAmazonのロゴ、チェックマーク、そしてAmazonがドメインとロゴの所有権を証明したと説明するマウスオーバーのテキストに注目してください。
信頼を信じる
BIMIが送り手の信頼を伝えるためのものだとすれば、なぜBIMIを信頼しなければならないのか。
BIMIは、DMARCとベリファイド・マーク証明書(VMC)の組み合わせによって実現される。DMARCは、ドメインの所有者が、受信電子メールサーバーがドメインに対して認証できないメッセージをどのように処理すべきかについてのポリシー(拒否、隔離、またはなし)を公表することを可能にする。メールボックス・プロバイダは、ドメインの所有者がDMARCの実施(拒否または隔離)を有効にすることを望んでいる。それは、プロバイダが認証チェックに失敗したインバウンドメッセージを拒否することで、「クリーンなパイプ」を持つことができるからである。
VMCは、DigiCertから入手可能なパブリック・トラスト証明書である。ドメイン所有者がVMCを取得するには、ドメインと商標の所有権の検証を含むバリデーション・プロセスに合格しなければならない。
もちろん、サイバー犯罪者がビジネス・エンティティを作成し、ドメインを購入し、そのドメインのSPF/DKIM/DMARCレコードを適切に設定し、商標を登録し、VMCを受け取るための検証プロセスを経ることは可能である。犯罪者は自分の
身元を明かすことなく、手っ取り早く儲けたいので、そのようなことは起こりそうにない。また、VMCを取得するための検証プロセスにより、ブランドになりすますことは極めて難しくなります。
顧客をエンゲージする
アカウント乗っ取り詐欺は、小売銀行やオンライン小売業者にとって最大の懸念事項である。その多くは、なりすまし攻撃からブランドを守るためにDMARCを導入している。しかし、消費者は依然として、認証情報を流出させるフィッシングやマルウェア攻撃の被害に遭っている。BIMIとVMCは、消費者が信頼できるメール送信者からのメッセージを視覚的に確認できるようにすることで、企業が顧客を保護する方法を提供します。これは、経済的利益と社会的責任という二重のボトムラインを持つ行動である。BIMIをまだ有効にしていない、またはプロセスを開始していない組織は、今こそ動き出す時です。詳しくはFAQをご覧ください。
