セキュリティの
学び場

今回の解説ニュース

携帯電話のキャリアメールになりすまし対策が導入されるということです。今回、導入された送信ドメインの認証技術について説明します。

今回、導入された「DMARC」「DKIM」は、送信ドメインの情報から悪意のある第三者が送信するなりすましメールを、より高い精度で判別できる技術です。

これまでの、メールの送信元を検査するSPFに加えて、DMARCで公式アカウントから送信された正規メールと判定できた場合についても公式アカウントマークを表示することで、顧客は安心してキャリアメールのサービスを利用できるということです。

なりすましメール対策で導入「DMARC」「DKIM」の技術とは

今回、導入された「DMARC」「DKIM」のそれぞれについて説明します。

まず、DKIMとは、DomainKeys Identified Mailの略で、電子署名でメールの送信ドメインを認証する仕組みです。メールを送信する際に、送信元が秘密鍵でメールに電子署名を行い、受信先が送信元ドメインのDNSサーバから入手した公開鍵で電子署名の検証を行います。

以前にも解説した、電子署名の仕組みを応用しています。その際に使った例えで、秘密鍵を実印、公開鍵を印鑑証明書、ドメインは地域、DNSサーバは市役所に例えて説明します。

Aさんがメールの送信元として、Bさんが受信先とします。Aさんは、自分が送信したメールであることを証明するために、Aさんの実印を押してメールを送信します。Bさんは、メールに押されている実印がAさんのものであることを確かめるために、Aさんがお住いの地域を管理する市役所にて、印鑑証明書とメールに押されている実印を照合します。そして、メールに押されている実印が確かにAさんのものであることが分かった上で、そのメールがAさん以外の人によって成りすまされたものではないという事を認めて、受信することを決定します。これがDKIMの仕組みです。

次に、DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、メール送信者のドメインを認証する仕組みです。認証に失敗した場合、どのような処理をするかは送信者が決められる特徴を持っています。

先ほどの例えの続きとして、メールに押された実印が本物と判断できなかった場合の処理は、受信先であるBさんが決定します。送信元のAさんは、その結果について把握することはできません。DMARCは、それを補完する形で、本物のメールと判断できなかった際の処理を、送信元のAさんが、市役所であるDNSサーバで表明することができます。受信先のBさんは、Aさんが表明した内容に従って、メールの処理を決定します。さらにDMARCでは、受信先のBさんから、送信元のAさんへ、メールの認証に失敗した旨を通知するレポートを送ることができます。

なりすましメール対策が遅れている日本、その理由はどこに？

送信ドメイン認証の導入が遅れている理由は、そもそもこの認証について知らないということ以外に、日本の縦割り組織が影響している可能性があります。

2021年4月に行われた、Forbes Global 2000の金融サービス業における調査では、日本の主要銀行18行におけるDMARC認証の設定状況について確認したところ、DMARCを導入する銀行は28%で、世界の銀行が47％であることから、世界の銀行に比べ日本の銀行はなりすましメール詐欺の対策が遅れていることが明らかとなりました。その理由として、日本の銀行では、各業務組織がサードパーティのメールサービスプロバイダを使用し、それらをIT部門やセキュリティ部門が把握できていない、いわゆる縦割り組織が影響している可能性があると指摘しています。

ただし、セキュリティベンダーが今年に入ってDMARCの導入状況を、2022年2月と同年5月の2回にわたり調査したところ、2月では3割強であった導入状況が、直近となる5月の調査では、日経225企業の約半数が、メール送信者側としてのDMARC対応を行っていたことが判明したということです。背景として、サプライチェーンにおいて自社ドメインがなりすまされることの被害の大きい業界では、なりすましメール対策に積極的に取り組むようになったのではないかと見られています。

今回は、メールの送信ドメイン認証についてお届けしました。送信ドメイン認証は、送信元と受信先の両者で対応する必要がありますので、社会的にメールの送信ドメイン認証が求められてきている状況であるとご理解いただいた上で、自社のセキュリティ対策を見直してみてはいかがでしょうか。