海外と比べてDMARC導入に遅れをとっている日本企業

現在大手企業を中心に、なりすましメール(ドメイン詐称)への対策として「DMARC(Domain-based Message Authentication Reporting and Conformance)」の導入が進んでいます。DMARCは「メールの送信元アドレス(ドメイン)が詐称されたものではなく、正規のメールサーバから送信されたものである」ことを検証するための技術の1つで、なりすましメールの被害を防ぐ手段として極めて有効であることから、現在世界中の企業や組織で導入が進んでいます。

欧米では10年以上前から当局による導入推奨や義務化が進められており、これに対応する企業の側でもかなり早い段階からDMARCを導入してきた経緯があります。日本においても欧米で事業を展開する一部の企業では、現地当局による要請や法制化を受けてDMARCを早くから導入してきました。

しかしその一方で、日本国内においては当局による指導や啓蒙などが活発に行われてこなかったこともあり、海外と比べて明らかに導入が遅れていました。米プルーフポイント社が2020年から毎年実施している「DMARC導入率グローバル調査」によれば、日本は調査対象の18の国・地域の中で、長らく最下位に位置していました。しかし2023年12月の調査において、日経255企業のDMARC導入率が前年の31%から60%へと急伸し、ようやく最下位を脱しました。

「詐欺メールはどのように見分けるの?」〜サイバーセキュリティ入門者向けトレーニング動画〜

サイバーリーズンでは、サイバーセキュリティ入門者向けトレーニング動画を公開しています。
フィッシングメールの見分け方や日本で増加しているマルウェア「Emotet」の特長について約3分で分かりやすく解説しています。

官民双方においてDMARC対応を義務付ける動きが加速

この1年の間に日本で急速にDMARCの導入が進んだ背景には、なりすましメールに起因するセキュリティインシデントが国内で相次いだことを受け、官民双方においてDMARC導入を義務付ける動きが一気に加速したことがあります。

例えば2023年2月には経済産業省と総務省、警察庁が合同で、クレジットカード会社等に対してDMARC導入によるなりすましメール対策の強化を要請しました。またクレジットカード情報取り扱いのセキュリティガイドライン「PCI DSS」の最新バージョン「v4.0」でもDMARCへの対応が明記されており、旧バージョンの有効期限が2023年3月で切れることからDMARC導入に踏み切った企業が多かったものと推測されます。

さらに2023年7月には、政府機関等におけるサイバーセキュリティ対策の基準を定めた「政府統一基準」が改訂され、この中でも新たにDMARCへの対応が義務付けられました。

民間独自の取り組みも始まっており、とある大手半導体企業では自社のサプライチェーンに連なる取引先企業に対して、DMARCへの対応を要請したといいます。また某携帯端末製造企業でも、同じく取引先企業に対してDMARCへの早急な対応を求めたとされています。

2023年10月には、Googleが新たな「メール送信者のガイドライン」を発表しましたが、この中でも新たにDMARCに関する規定が盛り込まれました。具体的には、Googleのメールアカウントに1日5000通以上のメールを送付する送信者は、2024年2月からDMARCに対応することを義務付けています。これに続いてヤフーマイクロソフトも同様のポリシーを相次いで発表しており、今やDMARC対応は世界的な潮流だと言えるでしょう。

DMARCを導入しても設定内容によっては実効性は薄い

こうした動きを受けて、日本においてDMARC導入を進める企業が増えてきていることは既に紹介した通りですが、一方でその実効性についてはまだ決して高くないのが実情です。

DMARCでは、なりすましが疑われるメールが受信側で検出された際のアクションを、送信側が指定できるようになっています。具体的には「受信拒否」「検疫(隔離)」「何もしない(モニタリングのみ)」の3つの中から指定できますが、DMARC導入で先行している欧米企業の半分以上が自社で送信するメールを「受信拒否」「検疫」と指定しているのに対して、日本企業では大半が「何もしない」を指定しており、実効性の面では実質まだ最下位に留まっています。

DMARCは、「SPF(Sender Policy Framework)」もしくは「DKIM(DomainKeys Identified Mail)」という送信ドメイン認証技術を用いてなりすましメールを検知します。そのため送信側は送信するメールすべてにSPFもしくはDKIMの認証の仕組みを組み込む必要があるのですが、もしこれに漏れや不備があると、たとえ正規のメールであっても受信側でなりすましメールだと判定されてしまう可能性があります。

特に社内のさまざまな部署で独自の判断でメールを送信していたり、多数のサブドメインを設けてメールを送信しているような場合は抜け・漏れが生じやすくなります。そのため現時点では、受信側でなりすましメールと判定されて破棄・隔離されないよう、「何もしない」を指定している企業が日本ではまだ大半を占めています。

しかし言うまでもなく、疑わしいメールを検知しても何もせず、そのままユーザーのメールボックスに転送する設定では、なりすましメールの被害を防ぐ効果は期待できません。もし現時点で自社から外部に送信しているメールの種類や数が把握できていないのであれば、まずはそれらをしっかり調査して、メール送信の現状を可視化した上でSPFもしくはDKIMを漏れなく実装するところから始める必要があります。

DMARCを使ってなりすましメールのリスクを減らすことは今や社会的な要請であり、また自社の信用を高めてビジネスを円滑に進める上でも欠かせない取り組みとなっています。そのためにいち早くDMARCを導入し、かつ実効性のある運用体制を整えることが今やあらゆる企業にとって急務だと言えるでしょう。

「感染防止」と「感染後の検知」の両面から対策を考える

先述のなりすましメールへの対策が重要であることに加え、システムの状態を常に最新に保って脆弱性対策を確実に行う、なりすまし攻撃に備えてアカウント権限を最小限に設定しておくなど、基本的な対策を怠らないようにすることももちろん重要です。しかしどれだけ注意を払っても、急速な進化を続ける近年のサイバー攻撃の侵入を100%防ぐのは困難です。そのためEDRをはじめ、内部に侵入した脅威を検知・排除するための対策を強化しておく必要もあります。

弊社では国内シェアNo.1のEDR製品「Cybereason EDR」のほか、現在の感染状況を診断するサービスや、セキュリティ対策全般の体制やプロセスを評価するサービスなども提供しています。自社のセキュリティ対策に少しでも不安のある方は、製品のみならずこうした各種サービスを利用して自社のセキュリティ対策状況を一度根本から見直してみることをお勧めします。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/