DMARC“あるある”~取引先信用問題の巻~
9月も半ばを迎え、まだまだ暑い日が続きますが、朝夕は少しは涼しくなりました。
皆さま、ご体調の方は大丈夫でしょうか?
さて、業務やプライベートで、「なりすましメール」等に対処する必要に迫られた経験はありませんか?
こうしたメールは日常的に発生し、個人だけでなく関係取引先に深刻な影響を与える可能性があります。
そこで今回は、なりすましメールの防止に役立つ「DMARC」について、日常的なセキュリティ対策の一環として簡単に触れてみます。
DMARC:設定しておけば・・・
(~敏腕部長のZさんは、業界内で人材交流を進めるため、複数の企業に案内メールを送りました。 その中には、ITリテラシーの高い情報系企業も含まれていました~)
『さすが!Z部長、今日も朝から冴えてますね~♪』
(~数日後、IT系の企業からZ部長に返信が~)
『貴社(Z部長)からのメール、なりすましの可能性がありますので、今後のやり取りは慎重にさせていただきます』
え?なりすまし? すぐに調査しなくては!
(Z部長は社内のIT担当に調査を依頼しました。すると…)
『DMARCは未設定です』
つまり、うちの会社のドメインは「本物かどうか」を証明する仕組みが抜けていたのです。 その結果、第三者がZ部長を騙ってメールを送信し、先方のセキュリティシステムに引っかかったというわけです。
そうか、DMARCって、「安心マークか何か 」じゃなくて、「信用を守る仕組み」だったんだね…
DMARC
DMARC(ドメインベースのメッセージ認証等)は、SPFやDKIMと組み合わせて機能するメールセキュリティを強化する仕組みです。
正当な送信者のみがメールを送信できるルールを設定し、フィッシングやなりすましメールの被害を防ぎます。これにより、メールヘッダーの改ざんや詐欺メールがもたらすリスクを軽減し、自社のブランドや関係取引先からの信頼を守ることに有効な手段となります。
また、報告機能を活用することで、不正行為の実態を明らかにし、積極的ななりすまし防止対策を支援します。
政府関係機関や国内の金融機関では導入が進み、GoogleではGmailで1日に5,000件を超えるメールを送信する送信者は、送信メールにDMARCを設定することが義務付けられています。
| 機関 | 義務付けの状況 | ポリシーに従わない場合の不利益 |
|---|---|---|
| 大規模送信者へDMARC必須化を段階的導入 | メールが迷惑メール扱い・配送拒否 | |
| Microsoft | 主要送信者にDMARC推奨・義務化進行中 | 受信拒否や信頼性低下 |
| Yahoo! | 大規模送信者にDMARC義務付け | 迷惑メール分類や配信不達 |
| その他機関 | (金融・医療・教育機関等) 業界ガイドラインで導入強く推奨 | 顧客信頼低下・不達・フィッシング悪用 |
実際に導入設定を行い運用するためには、SPFやDKIMを含めた認証の仕組みがどのようになっているかを理解することが必要になりますが、これらは送信側と受信側の環境がマッチしないと完全に機能しない技術ですので、自社の対応だけでは難しい場合があります。
DMARC等は、まだ課題のある仕組みですが、信用失墜リスクを少しでも回避するためには、事業規模に関わらず、これらの技術についての理解を深め、早期に導入を検討する必要があるのではないでしょうか。
一部の読者の方にはあまり馴染みのない内容だったのかもしれませんが、「なりすまし」等については、業務上外を問わず、今日の社会的な問題になっています。
これらの問題については、100%完璧な防御法はありませんが、弊所ではドメインが悪用されて取引先に迷惑をかけるリスクを減らすために、DMARC等の機能を可能な限り活用するように努めております。
この記事が読者の方のセキュリティリスクの軽減や気付きにつながれば幸いです。