送信ドメイン認証技術とは

送信ドメイン認証技術とは、メール送信元の詐称を防ぐため、メールが正しいサーバーから送信されていることを認証する技術。送信側はドメイン単位でメール送信元情報を表明し、受信側は正規のメールサーバーから出たものかを認証する、といった方法で正当なメールかどうかを判定するため、メール送信側と受信側が同じ技術を用いる必要がある。

送信ドメイン認証技術は、認証方法によって複数の技術が提案されているが、大きくは、電子署名を利用するものとIPアドレスを利用するものの2種類に分かれている。

電子署名を利用するものとしては、「DKIM(DomainKeys Identified Mail)」が挙げられる。メールの送信時に電子署名をメールヘッダーに付与し、DNSと公開鍵の仕組みを用いて、メール送信元ドメインの正当性を検証できるようにする仕組みだ。これを利用すると、迷惑メール(スパム)で多く見られる、送信元を詐称したなりすましメールを判別できるほか、メール本文の改ざんも検知できるというメリットがある。

一方、IPアドレスを利用した技術としては「SPF(Sender Policy Framework)」が著名だ。メールの受信時に、送信元のメールアドレスのドメインが送信側で設定している公開情報(SPFレコード)と一致するかを認証する仕組みだ。総務省では、SPFに関する設定の有無について調査を行ってデータを公開しているが、「.jp」ドメインのうち、MXレコードを指定しているドメインにおいては6割弱が導入しているようだ。

送信側、受信側が連携して対策するDMARC

ただし、こうした送信ドメイン認証の仕組みによって、問題が全て解決できたわけではない。送られてきたメールがなりすましでないことを示すことはできるが、送信ドメイン認証では、なりすまされたメールを受信側がどう処理するか、ということまでは分からないからだ。

また、なりすまされた会社では、自社をかたったメールが送られているという事実が見えにくいということも課題になっていた。状況が分からなければ、自社をかたったなりすましメールの存在をユーザーに警告する、といった対策も取りにくい。

そこで、送信ドメイン認証に追加の認証機能とフィードバック機能を加えることにより、「ドメインの持ち主」と「メール受信者」が連携して詐称を検出し、被害の最小化を図るDMARCが注目されるようになった。

DMARCでは、まず、ドメインの持ち主(仮にA社とする)が、「なりすまされた場合のメールをどうするか」というポリシーをあらかじめ設定しておく。その後、A社をかたったなりすましメールをメール受信者(仮にB社とする)が受け取った場合、B社はA社の表明に応じてメールを扱うことになる。

ポリシーは「そのまま受信」「隔離」「受信拒否」の三つから選択でき、さらに、メール受信側がドメインの持ち主にレポートするメールアドレスを指定する機能も備わっている。これによりドメインの持ち主は、世界中からフィードバックを取得できるため、正しい設定がされているか、なりすましメールがあるかを「見える化」できるのだ。

例えば、A社が「なりすましメールの受信は拒否し、フィードバックを送ってほしい」と表明している場合、メールを受け取ったB社はその指示のとおりに、メールをブロックし、なりすましメールが送られてきたというフィードバックをA社に返すことになる。

また追加された認証機能では、送信ドメイン認証の結果だけでなく、メールヘッダー上の送信者(差出人、From:)を比較して詐称を検出する仕組みも備えている。メールの受信者は通常、差出人を送信者情報と考える。SPFやDKIMの認証をクリアしていたとしても差出人が詐称されている可能性があるため、必ずしもなりすましでないとはいえない。

これに対してDMARC認証では、SPFやDKIMなどで認証された送信ドメインと、メールヘッダー上の送信ドメインが同じ(あるいは同じ組織ドメイン)でなければ認証されないため、受信者にとっても分かりやすい、直感的な認証が行われるといえる。

なりすましメールによる被害を防ぐために

ただし、DMARCを運用していくためには、ドメインの持ち主とメール受信者側の両方がDMARCに対応している必要があり、それが普及を妨げる要因になっているという。米国では、政府機関が送信するメールにはDMARCの設定が義務付けられているほか、Office 365、Gmailなどのサービスも既に対応している。しかし日本国内のプロバイダーやクラウドサービス、オンプレミスのメールサーバーなどは対応が進んでいない。

また総務省からは、迷惑メール対策技術の利用が、電気通信事業法に規定されている「通信の秘密の保護及び役務提供における差別的取扱い」の禁止に抵触する可能性について指摘されており、DMARCに関する法的な留意点も公開されている。

それでも2020年1月、ヤフーでは、こうした留意点に配慮しつつ、「Yahoo!メール」を3月より順次DMARCに対応させることを発表した。前述のとおり、DMARC自体はメールを送信するドメインの持ち主側での対応も必要なため、どれだけ利用されるかは未知数だが、少なくとも受信事業者としての対応は済ませていくことを表明したわけだ。

少なからぬ手間をかけ、事業者がこうした取り組みを進めるのは、やはり、なりすましメールによる被害が大きな社会問題であり続けているからだといえる。

本稿の冒頭で紹介したようなフィッシング被害はまだまだ多数報告されているし、標的型攻撃で利用されるケースもある。メールの文面や添付されているマルウェアのファイル名が、受信側の組織/個人になじみのある内容だった場合は、人間の心理としてつい安心し、ファイルを開いてしまいかねない。つまり、なりすましによって攻撃の成功率が上昇するわけだ。

現在も猛威を振るっているマルウェア「Emotet(エモテット)」は、感染させたPCのメールソフト(Outlook)から送信元の名前/メールアドレス、送信先の名前/メールアドレス、送信したメールの件名や本文を収集。これらの情報を基に、任意の件名にぶら下がる(スレッドに入り込む)形で返信型のメールを関係者に送信する。

「Re: xxxx」で始まるスレッドに届いた返信メールがマルウェアによるものかどうかは、一般の受信者には見分けがつきにくい。Emotetはこうした誤認を誘発することで感染PCの数を増やし、より大きな被害を組織に与えていくのだ。

さらに昨今では、悪意のある第三者が取引先になりすまし、偽の送金指示や振込先の変更依頼などをメールで行う「ビジネスメール詐欺(BEC:Business E-mail Compromise)」も増加。日本を代表する大手企業でさえもだまされているという。

送信ドメイン認証だけで、このようななりすまし被害がなくなるわけではもちろんない。逆に言えば万能の対策が存在しない領域でもあるが、対策の一つとして、業界全体での取り組みが進展していくよう期待したい。

  • * 本稿に記載された各種IT製品、テクノロジーにつきましては、記事制作時の技術動向に関する幅広い知見を基にして構成されています。これは制作を担当したクラウドWatch編集部(株式会社インプレス)の所見であり、大塚商会においてお取り扱いのないものも含まれております。あらかじめご了承いただきますようお願いします。