省庁間のフィッシング・ガイダンスでDMARCが目立つ

DMARC
この記事は約4分で読めます。

Cybersecurity and Infrastructure Security Agency (CISA)、National Security Agency (NSA)、Federal Bureau of Investigation (FBI)、Multi-State Information Sharing and Analysis Center (MS-ISAC)は、Phishing Guidance-Stopping the Attack Cycle at Phase Oneを発表し、フィッシング詐欺との戦いにおけるガイダンスを提供した。

このガイダンスはすべての組織に関連するものであるが、リソースが限られている組織にとっては課題となるかもしれない。この点に対処するため、本ガイドには、フィッシングの脅威と一貫して戦うための専任のITスタッフのリソースが不足している可能性のある中小企業向けにカスタマイズされた提案のセクションが組み込まれている。

ソフトウェア・メーカーにとっては、セキュア・バイ・デザインとデフォルト戦略の採用に重点が置かれている。このガイダンスは、ソフトウェア会社が一般的なフィッシングの脅威に耐性のあるソフトウェアを作成し、提供することを奨励しており、最終的には顧客のサイバーセキュリティの回復力を高めることになる。

CISA、NSA、FBI、およびMS-ISACは、全組織を対象としたフィッシング対策ガイダンスの中で、DMARCおよびその他の管理策を導入し、ログイン・クレデンシャル・フィッシングの可能性を低減することを推奨している。具体的には、DMARCに関して以下のことを推奨している。

  • 受信メールのDMARCを有効にする。
    1. DMARCは、SPFやDKIMとともに、公開されているルールをチェックすることで、受信したメールの送信サーバーを確認します。チェックに失敗したメールは、なりすましメールアドレスとみなされ、メールシステムは隔離し、悪意のあるメールとして報告します。
    2. DMARCレポート受信のために複数の受信者を定義することができる。
    3. これらのツールは、DMARCポリシーの拒否が有効になっている場合、なりすましのドメインを持つ受信メールを拒否します。
  • 送信メールのDMARCがp=rejectに設定されていることを確認する
    これにより、他のユーザーがドメインになりすましたメールを受信するのを防ぐことができます。
    1. なりすましメールは、配信前にメールサーバーで拒否される。
    2. DMARCレポートは、偽装されたドメインの所有者に、偽装者の出所を含めて通知する仕組みを提供する(そうしなければ受け取れない情報)。
    3. DMARCポリシーを有効にすることで、サイバー脅威者があなたの組織のドメインから来たように見えるメールを作成する可能性を低くすることができます。

ガイダンスのソフトウェア・メーカーを取り上げたセクションにおいて、連邦政府機関は、顧客に対するフィッシング攻撃のリスクを低減するために、ソフトウェア開発にセキュア・バイ・デザインおよびセキュア・バイ・デフォルトの慣行を取り入れることを推奨している。そのひとつがDMARCである:

  • デフォルトで受信メールのDMARCを有効にしたメールソフトを提供する。
  • DMARCがデフォルトで送信メールのp=rejectに設定されたメールソフトウェアを提供する。

ソフトウェアメーカーが製品セキュリティの統合を優先するためのロードマップであるSecure By Designの最近のリリースで、CISAと国際的なパートナーは、既製のソフトウェアの脆弱性がネットワークへの扉を開き、壊滅的なサイバー侵入につながる可能性があることを認識しています。

フィッシング詐欺は誰でも被害に遭う可能性があるため、その危険性を回避する方法を知ることは不可欠です。サイバー脅威者は常にテクニックを進化させ、人工知能を含む新しいテクノロジーを駆使しています。また、ハイブリッドな職場環境に移行し、対面でのやり取りが少なくなった人々を欺くことも容易になってきている。

エリック・チュドウ(NSAサイバーセキュリティ・システム脅威・脆弱性分析サブジェクト・マター・エキスパート

企業、中小企業、ソフトウェアメーカーを問わず、DMARCは電子メールのドメイン使用を監視・制限するための主要なコントロールであり、貴社および貴社の顧客の電子メールを合法化するのに役立ちます。

弊社では、メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットをより信頼できるものにすることを使命として、組織のドメインカタログを評価し、長期にわたってDMARCを実装・管理するお手伝いをいたします。

私たちがお手伝いします

Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。

お気軽にご連絡ください

無料相談開催中!

出典元

DMARC Prominent in Interagency Phishing Guidance

タイトルとURLをコピーしました