KnowBe4の米本社によると、DMARCについての問い合わせが増えているようです。また、KnowBe4の英文SAT(Security Awareness Training)ブログでの先月最も閲覧された上位5にDMARC関連ブログが2つ含まれています。
https://blog.knowbe4.com/employees-are-feeding-sensitive-biz-data-to-chatgpt-raising-security-fears- https://blog.knowbe4.com/heads-up-the-svb-bankruptcy-is-a-social-engineering-bonanza
- https://blog.knowbe4.com/understanding-dmarc-better
- https://blog.knowbe4.com/identifying-ai-enabled-phishing
- https://blog.knowbe4.com/black-eye-the-lesson-we-learned.-dont-let-this-happen-to-you.-dmarc
DMARCの仕組みを理解していると思っている人の多くは、自分が思っているほどにはDMARCを理解していないようです。このブログは、よくある誤解を明らかにすることを目的としています。
DMARC (Domain-based Message Authentication, Reporting, and Conformance)は、フィッシング攻撃を大幅に減らすことができるとされているドメインなりすまし防止のための国際規格ですが、これを活用している組織は少ないのが実情です。送信ドメイン認証で用いられる技術には、 SPF (Sender Policy Framework)やDKIM (DomainKeys Identified Mail)があります。前者のSPFは、送信元メールサーバーのIPアドレスなどが正当なものかどうかを判別する手段です。後者のDKIMは、メールに電子署名を付加することで、 メールの送信者および内容が改ざんされていないかどうかを検証できるようにするものです。一方、DMARCは、両者を利用したメールのドメイン認証を補強する技術です。しかし、これらの規格を導入する前に、DMARCとは何か、そしてDMARCを効果的に使用するにはどうすればよいのかを考える必要があります。
DMARCとは何か
Domain-based Message Authentication Reporting and Conformance (DMARC)は、電子メールの認証、ポリシー、および報告プロトコルです。DMARCはDomain-based Message Authentication, Reporting & Conformanceの略語です。電子メールにおけるセキュリティを強化する目的で制定されたメール認証プロトコルであり、SPFおよびDKIMプロトコルを基盤に構築されます。
DMARCを利用することにより、電子メールの受信者は、送られてきたメールの送信者ドメイン情報を検証し、メールの真正性をチェックできます。この仕組みを使うことで、ドメインなりすましを防止できます。このプロトコルは、広く普及しているSender Policy Framework(SPF)とDomain Keys Identified Mail(DKIM)プロトコルをベースにしています。この3つのプロトコルは、悪意のある人による他者へのなりすましから自分のドメインを保護するのに役立ちます。
DMARCでは、送信者はSPFやDKIMを使用しているかどうか、受信者はそれを検証して信頼できるかどうか、受信者は失敗したメッセージをどのように扱うべきかを示すことができます。DMARCレポートは、集計またはフォレンジックとして生成され、有効にすると、大手ISPや電子メール送信者から少なくとも毎日送信されます。
集計・フォレンジックレポート
設定が正しく行われたことを確認するために、DMARCレポート(AggregateとForensic)を作成することが重要です。Aggregateレポートは、あなたのドメインからと主張するメールを受け取ったDMARC実装の受信者から、あなたのDMARC実装ドメインに関連する毎日の累積結果を報告するために毎日送信されます。一方、Forensicレポートは、失敗した各メールについて、テキストベースのメールで送信される診断情報です。このレポートを有効にすると、少なくとも毎日、大手ISPやメーラーからのレポートが送信されるようになります。DMARC Analyzer、 RdDMARC、DMARC Reports Parserなど、これらを解析し、より簡単に解釈するためのサービスやツールが多数存在します。
また、SPFは、メールが届いたメールサーバーのIPアドレスが、ドメイン管理者によって指定された許可IPアドレスのリストと一致することを受信者が確認することで、送信者メールアドレスのドメイン詐称を防止するために設計されています。DKIMは、各メールに添付されているメールサーバードメインの電子署名を受信者が確認することで、送信者のメールアドレスドメインのなりすましを防止するように設計されています。
一般的な設定は、送信者がDNSレコードを作成し、キーペアをインストールして、メールサーバーでDKIMを有効にします。その後、受信者が検証と応答を有効にします。DMARCの採用は各国での法規制や各種の標準によって推進され始めています。オーストラリアでは、DMARCは法律で義務付けられていませんが、オーストラリア政府の「悪意のある電子メールの緩和策」ガイドで推奨されています。その他の国でも、DMARCの法規制の程度は様々です。例えば、米国国土安全保障省は、すべての米連邦政府が管轄する民間機関にこの認証を義務付けています。
DMARCを導入しても、万全ではない
最新のDMARC Adoption Report (Banking Sector)によると、DMARCを導入している北米の金融機関が半数に達していません。DMARCを実装していない場合、組織はフィッシング攻撃の一部として使用されるスプーフィングの影響を受けやすくなります。このため、この種のメールを受け取ったユーザーが本物となりすましを見分けることができるようになることが必要です。DMARCによるこの防御層はそれなりに機能しますが、ハッカー達がネットワークに侵入しないようにするために100%有効というわけではありません。DMARCはハッカー達も利用しています。また、設定ミスもあり得るし、そっくりなドメインを作って悪用することもできるのです。さらに、サイバー犯罪者がなりすましたIDでメールを送信し、ユーザーとメールサーバーの両方が偽物であることを検出することを難しくしているような脆弱性も存在します。さらに悪いことに、Mailsploit方式でエンコードされたメールのアドレスは、DMARCなどのスプーフィング防止プロトコルを実行している最新のメールサーバーでは不審アドレスとして特定できません。「Mailsploit」が悪用された場合、DMARC やスパムメールのフィルターといった、今までのメール偽装対策で有効とされていた方法でブロックされることなく偽装したメールを送ることができる可能性があり、不審なメールを見分けることが難しくなるケースが考えられます。また、メールヘッダーに ASCII 文字以外の文字を入れるとそれ以降の文字処理が行われないという問題があり、この問題を悪用することで、従来の対策で検知されることなく送信者を偽装することができます。このようにDMARCを導入しても、万全ではありません。
最も効果的な防御層は、ヒューマンファイアウォール
最も効果的な防御層は、ヒューマンファイアウォールです。防御の最終ラインとして「人」に重点を置き、悪質なコンテンツに騙されないようにフィッシング攻撃を見極める方法を組織全体で周知徹底することが求められています。KnowBe4が「New School」と呼ぶ新しいスタイルのセキュリティ意識向上トレーニングが極めて有効です。https://www.knowbe4.jp/products/kevin-mitnick-security-awareness-training
参考文献: Stu Sjouwerman著 2022年12月29日発信SATブログhttps://blog.knowbe4.com/what-you-need-to-know-about-dmarc
Roger Grimes著 2023年3月16日発信SATブログ https://blog.knowbe4.com/understanding-dmarc-better
Roger Grimes著 2023年3月18日発信SATブログ https://blog.knowbe4.com/black-eye-the-lesson-we-learned.-dont-let-this-happen-to-you.-dmarc
