世界的なフィッシング詐欺の数が増加し、記録を更新していることは、多くの人にとって驚くことではありません。国際的な非営利団体であるAnti-Phishing Working Group (APWG)は最近、2022年第1四半期フィッシング・アクティビティ・トレンド・レポートを発表した。これはAPWGがこれまで観測したフィッシング活動の中で最悪の四半期であり、四半期ごとの合計が100万件を超えたのは初めてのことである。”
信頼できるEメール
この気の遠くなるような数字を受け、読者の皆様にNIST Special Publication 800-177-Trustworthy Emailを思い出していただく良い機会だと考えています。NISTの出版物は一般的に原則の領域で運営されており、常に具体的な管理方法が含まれているわけではありません。
コア簡易メール転送プロトコル(SMTP)およびドメインネームシステム(DNS)をサポートするために推奨される技術には、送信ドメインを認証するメカニズムが含まれる:Sender Policy Framework (SPF)、DomainKeys Identified Mail (DKIM)、Domain-based Message Authentication, Reporting and Conformance (DMARC)などです。
Trustworthy Emailの対象者は包括的で、企業レベルの組織から連邦政府のITシステム、中小規模の組織まで、メール管理者、情報セキュリティ専門家、ネットワーク管理者を含みます。つまり、インターネットドメインを持っているほとんどの人が対象です。
NISTのガイドは、「電子メールの信頼性を向上させるプロトコルや技術を導入するための推奨事項を提供しています。これらの推奨事項により、なりすましメールが攻撃経路として使用されるリスクを低減し、メールの内容が権限のない第三者に開示されるリスクを低減することができる。”
このガイドでカバーするコントロールの多くは、基本的な電子メールのフレームワークを超えて、ドメインネームシステム(DNS)、公開鍵基盤、その他のインターネットの基礎的な規約を含む技術を採用しています。
ドメイン認証の送信
送信ドメインを認証する目的は、送信者(無作為および悪意のある行為者の両方)が他のドメインになりすまし、偽のコンテンツでメッセージを開始しないようにすること、および悪意のある行為者が送信中にメッセージのコンテンツを変更しないようにすることである。SPFは、送信ドメインが指定されたドメインの認可されたメール送信者を識別し、アサートするための標準化された方法である。DKIMは、送信サーバをアサートするメカニズムであり、送信メールサーバから生成されたデジタル署名を使用することによって、中間者によるコンテンツ改ざんの脆弱性を排除する。
DMARCは、電子メールの送信者が、メールをどのように処理すべきか、受信者が返送できるセキュリティレポートの種類、およびそれらのレポートを送信する頻度に関するポリシーを指定できるようにするために考案された。SPFとDKIMの標準化された処理は、与えられたメッセージが本物かどうかについての推測を排除し、未承認のメールを隔離し拒否することをより確実にすることによって受信者に利益をもたらす。特に、受信者は、メッセージの「From」アドレスを、SPFおよびDKIMの結果(存在する場合)、およびDNSのDMARCポリシーと比較する。その結果は、メールの処理方法を決定するために使用される。受信者は自分のドメインから発信されたと主張するメールについて、ドメイン所有者にレポートを送る。これらのレポートは、未承認のユーザーがどの程度そのドメインを使用しているか、また、受信したメールのうち「良い」メールの割合を明らかにするはずである。
セクション4では、「送信ドメインと個々のメールメッセージの認証」と題して、SPF、DKIM、DMARC、S/MIMEのデジタル署名について、定義や歴史から設定手順まで詳しく説明しています。ここでは詳細には触れませんが、Trustworthy Emailの出版物をご覧ください。
DMARCの本来のユースケースは、電子メール詐欺に対抗するための身元確認です。DMARCは、ドメインがどのように使用されているかを可視化し、未承認の送信者が組織を代表してメールを送信することを防ぎます。DMARCは権威あるメール配信の基盤であり、配信の問題を解決するための最初のステップとなることがよくあります。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
無料相談開催中!
出典元
National Institute of Standards and Technology provides DMARC Guidance