メールセキュリティにおけるDNSの役割
メールの側から見たDNSの役割
2023年11月22日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 The Role of DNS in Email Security の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
ドメインネームシステム(DNS)は、私たちが知っているインターネットの基盤です。
ホスト名をIPアドレスに変換することで、メール、Webページ、およびインターネット上の他のサービスの機能性とアクセシビリティを確保する上で重要な役割を果たしています。
DNSは、インターネットインフラの目立たない技術的なパーツの一つのように見えるかもしれませんが、その役割は単なるWebブラウジングをはるかに超えています。
DNSが重要な役割を果たす重要な領域の一つは、メールのセキュリティです。
間違いなく、メールは現代コミュニケーションの礎ですが、フィッシング、DDoS、マルウェアなどのサイバー攻撃のための魅力的な脅威ベクトルとしても機能しています。
世界中に42億人以上のメールユーザがいることを考えると、このコミュニケーション手段を保護する重要性は言い過ぎることはありません。
この記事では、メールのセキュリティにおけるDNSのしばしば見過ごされがちな役割について深く掘り下げます。
DNSは、フィッシング、DDoS、マルウェアなどの悪意のあるサイバー攻撃からの防御において重要な役割を果たしています。
そして、堅固なメールのセキュリティ体制を維持するための戦略を探求します。
DNSにおけるメール配信とセキュリティの役割
今日、ほとんどのインターネットシステムは、メールを送信するためにSMTP(Simple Mail Transfer Protocol)に依存していますが、この通信チャネルは包括的なセキュリティ機能に欠けており、悪意のある攻撃に対して脆弱です。
これは、このプロトコルが送信者の身元を確認しないためであり、結果としてなりすましやスプーフィング攻撃などにつながります。
デジタルへの依存度が高まり、常に進化する脅威の状況を考えると、スムーズで正確なメール配信を保証するためにSMTPの脆弱性に対処することが不可欠です。
ここでDNSが登場します。
インターネットの電話帳としても知られるDNSは、メールなどのオンライン通信チャネルの重要な促進者として機能し、メッセージが意図されたユーザに届くことを保証します。
これは、送信者の身元を確認し、通信チャネルのセキュリティ体制を強化することによって行われます。
以下に、DNSがSMTPの脆弱性に対処し、メールが意図された受信者に安全かつ正確に届けられるようにする方法を示します。
- MXレコードによるメッセージのルーティング
-
電話帳のように、DNSは受信者のメールサーバのIPアドレスをメールアドレスにリンクします。
DNSは、ドメインに代わってメッセージを受け取る責任を持つサーバを指定することにより、MXレコードを利用して交換を促進します。 - 暗号プリミティブによる送信者の確認
-
メール送信者の真正性と完整性を強化し、途中でメッセージが改竄されていないことを保証するためには、セキュリティチームが暗号技術に依存することが不可欠です。
この技術は、デジタル署名、DKIM、SPF、DMARCなどのプリミティブに依存することにより、フィッシング、メールのスプーフィング、不正なメール送信のリスクを軽減することにおいて、メールのセキュリティにおいて重要な役割を果たします。 - DNSBLによる評判管理
-
脅威アクターが組織のメールエコシステムに侵入するためにより洗練された技術に訴えるにつれて、サイバー攻撃の影響はより深刻で広範囲に及びます。
主要なメールベースの攻撃に対して常に警戒するために、組織はDNSベースのブロックリスト(DNSBL)に依存することができます。
基本的に、DNSBLはDNS上で利用可能なデータベースであり、スパムや悪意のあるコンテンツに関連するIPアドレスとドメインのリストを受信者に知らせることを目的として作成されています。 - DNSSECによる完全性の強化
-
DNSはデジタルドメインにおいて包括的なツールですが、サイバーセキュリティの脅威に対抗し、メールの配信性を改善するための万能薬として使用することはできません。
ここでドメインネームシステムセキュリティ拡張(DNSSEC)が登場します。
DNSSECはDNSレコードにデジタル署名を行うことで、データの改竄から保護し、メールルーティングに使用されるDNSデータの信頼性を保証します。
一般的なメールセキュリティ脅威
メールは現代通信の最も好まれるチャネルの一つであるため、サイバー攻撃者の主要なターゲットになっているのは驚くことではありません。
ここでは、警戒すべきいくつかの一般的な脅威を紹介します。
- フィッシング
-
2022年だけで300,497人の被害者が出て、米国内の総損失額が52,089,159ドルに達しているフィッシング攻撃は、デジタル領域に潜む一般的なメールセキュリティ脅威の一つです。
このタイプの攻撃では、加害者が正当なエンティティになりすまし、受信者をだまして資格情報、財務詳細、または個人データなどの機密情報を明かすように仕向けます。 - メールスプーフィング
-
このタイプのメール攻撃では、攻撃者は送信者のメールヘッダを偽造し、メールが信頼できるソースから来たように見せかけます。
この戦術は、受信者の機密情報への不正アクセスを得るためや、悪意のあるマルウェアを配信するためにしばしば使用されます。 - 中間者攻撃
-
その名が示すように、中間者攻撃では攻撃者が二者の一方を盗聴またはなりすましするために介入します。
これは、機密情報を盗むか、メールの内容を変更することを目的として行われます。
DNSベースのメール認証で防御を強化する
あなたのメールが混乱に紛れて失われたり、攻撃者によってドメインが偽装される可能性はこれまで以上に高まっています。
これは、あなたのメールの配信性に影響を与えるだけでなく、ビジネスの評判を汚し、他にも広範囲な影響を及ぼす可能性があります。
メールサーバがスパムとしてフラグを立てたり、悪意のある攻撃の犠牲になることを防ぐためには、DNSベースのメール認証メカニズムを組織のメールインフラに組み込むことが不可欠です。
- SPF(Sender Policy Framework)
-
メール認証の三つの柱の一つであるSPFは、メールの送信者がドメインを使用することが許可されていることを保証します。
メール送信者の正当性を強化するために、ドメイン所有者はDNS TXTレコードに、以前の代わりにメールを送信することが許可されているホストの範囲を指定することができます。
これにより、受信者はDNSリクエストを介して受信メールの真正性を検証し、メッセージを拒否するか許可するかを決定することができます。 - DKIM(DomainKeys Identified Mail)
-
DKIMは、暗号署名に依存するメール認証プロトコルであり、メールの真正性と完全性を確認します。
組織は、プライベートキーとパブリックキーを生成することによってDKIMを設定することができます。
前者は送信者が自身のメールに署名するために使用され、受信者に届いた際にメールの真正性と完全性を検証するために使用されます。
一方、パブリックキーはDNSレコードに公開され、受信者がアクセスして署名と比較し、受信したメールの正当性を判断することができます。 - DMARC(Domain-based Message Authentication, Reporting and Conformance)
-
SPFとDKIMの基礎を築き、DMARCはドメイン所有者が不正アクセスからドメインを保護するのを助けるだけでなく、受信者が詐欺メールを特定してフィルタリングすることを可能にします。
このポリシーを使用することにより、ドメイン所有者は認証を処理する方法を決定するために、None、Quarantine、またはRejectの3つのポリシーのいずれかを定義します。
このポリシーはDNSレコードに公開され、SPFまたはDKIM認証に失敗した場合に、受信者のメールサーバがメッセージを隔離または拒否するためのガイドラインとして機能します。
まとめ
現代のデジタル世界では、前例のない速さで進化しており、メールの脅威が以前よりも一層増加しています。
このため、組織はメールのセキュリティが一度限りの取り組みではなく、最先端のサイバーセキュリティ戦略を適応させる、新たに出現する脅威に対して常に警戒を怠らない、業界の最新のベストプラクティスについて常に情報を得るという、継続的なコミットメントであることを理解することが不可欠です。
今や、メールのセキュリティを守る戦いにおいてDNSを強力な味方として取り入れることで、組織の機密データを保護するだけでなく、評判を高め、ステークホルダーの信頼を維持することができることを知ったので、包括的なDNS認証を確実に行うための必要なステップを踏むことが重要です。
DNS認証についてもっとお知りになりたいですか?
メールの保護を万全にするためには、私たちにご連絡頂ければ、私たちのサービスについてご案内差し上げます。