メールなりすましを防ぐために、SPF・DKIM・DMARCなどのメール認証ソリューションを活用する方法

なりすましを封じる認証の力

2024年7月6日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 How to Leverage Email Authentication Solutions (SPF, DKIM, and DMARC) to Stop Email Spoofing? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メール認証の標準規格であるSPF、DKIM、およびDMARCは、メールのなりすまし攻撃を減少させ、メールの到達率を改善するうえで有望な結果を示しています。
これらのメール認証標準は、偽造（なりすまし）メールと正当なメールを区別するだけでなく、送信者の身元を検証することによって、そのメールが正当なものであるかをさらに識別します。
テクノロジーやインターネットへの依存度が高まるにつれ、サイバーセキュリティの脅威はますます高度化し、アドレスのなりすまし、フィッシング、マルウェア攻撃、ハッキングなど、さまざまな形で現れるようになっています。

これらの標準を採用する組織が増えるにつれて、メールコミュニケーションにおける信頼と権威のメッセージが再び確立されていくでしょう。
メールマーケティング、プロジェクトの依頼、金融取引、企業内外での情報交換に依存するすべてのビジネスは、これらのソリューションが何を目的として設計されているのか、そしてどのような利点を得られるのかという基本を理解する必要があります。

現代のデジタルエコシステムは、企業、政府機関、個人のプライバシーやセキュリティ構造を回避するための悪意ある戦術や手段であふれています。
その中でも特に一般的なのが、攻撃者が正当なメール送信者を装うために偽装手法を用いるアドレスのなりすまし（メールスプーフィング）です。

重要なポイント

1. SPF、DKIM、およびDMARCは協調的に機能し、送信者を認証してメールのなりすまし（アドレスのなりすましを含む）を防止し、到達率を向上させます。
2. メールスプーフィングは一般的なサイバーセキュリティ上の脅威であり、多くの場合、IPアドレスやメールアドレスの改ざんを伴います。
   これはソーシャルエンジニアリングを利用して受信者を欺き、詐欺、データ窃取、またはマルウェア配信などの悪意ある目的を達成しようとするものです。
3. SPFはDNSレコードを介して送信サーバを認可します。
   一方、DKIMはデジタル署名を使用した暗号学的な検証を追加し、メッセージの完全性と送信者の真正性を確認します。
4. DMARCはSPFとDKIMの結果を活用し、ドメイン所有者が認証されていないメールを受信サーバがどのように処理するか（例：拒否する）を指示できるようにし、ブランドの評判を保護します。
5. DMARCのレポート機能はメールチャネルの可視性を提供し、組織がなりすましの試みを監視し、認証プロトコルが正しく機能していることを確認するのに役立ちます。

メールスプーフィングとは何か？

メールスプーフィングは、現在企業が直面している一般的なサイバーセキュリティ上の問題であり、「アドレスのなりすまし」とも呼ばれます。
この記事では、スプーフィングの仕組みと、それに対抗するためのさまざまな方法について説明します。
また、SPF、DKIM、DMARCという3つのメール認証標準を学び、これらがスプーフィングの発生を防ぐ方法について理解します。

メールスプーフィングは、高度なソーシャルエンジニアリング攻撃の一種に分類されます。
この攻撃は、IPヘッダーの改ざんを含むこともある複数の高度な手法を組み合わせて、メッセージング環境を操作し、メールの正規機能を悪用します。
このようなメールは一見完全に正当なものに見えますが、実際にはあなたの情報やリソースへのアクセスを得ることを目的として設計されています。

メールスプーフィングは、詐欺の試み、セキュリティ侵害、フィッシングやマルウェア攻撃の実行、さらには機密ビジネス情報へのアクセスを試みるなど、さまざまな目的で使用されます。
非常に一般的なメール偽造の一形態として、スプーフィング攻撃は、受信者に対し、実際の送信者の身元を隠して、信頼できる企業から送られたメールであると誤信させることを狙います。

メールの送受信が大量に行われるようになるにつれて、この悪意のある詐欺行為は近年劇的に増加しています。
CAIDAの調査によると、2015年3月から2017年2月の間に、1日あたり約30,000件のスプーフィング攻撃が報告されています。

メール認証はどのようにスプーフィングを防ぐことができるのか？

メール認証は、SPF、DKIM、DMARCといったプロトコルを使用して、メールの送信元を検証することで、攻撃者がドメイン名を偽装し、スプーフィング攻撃を仕掛けてユーザを欺くことを防ぎます。
これにより、送信者の正当性を証明できる検証可能な情報を提供し、受信側のMTA（メール転送エージェント）に対して、認証に失敗したメールをどのように処理すべきかを指示することができます。
したがって、メール認証のさまざまな利点を挙げると、SPF、DKIM、およびDMARCは次のような点で役立ちます。

• フィッシング攻撃、ドメインスプーフィング、BEC（ビジネスメール詐欺）から自社ドメインを保護する
• メール送信元に関する詳細な情報とインサイトを提供する
• ドメインの評判およびメールの到達率を改善する
• 正当なメールがスパムとして誤判定されるのを防ぐ

SPF、DKIM、DMARCはどのように連携してスプーフィングを防ぐのか？

送信者ポリシーフレームワーク（SPF）

SPFは、スパマーがあなたのドメインを装ってメールを送信することを防ぐために使用されるメール認証技術です。
この仕組みを使うことで、認可されたメールサーバを公開し、自分のドメインの代わりにメールを送信することを許可されているサーバを指定できます。
この情報は、SPFレコードと呼ばれる特別なDNSレコードに保存されます。

メールサーバがメッセージを受信すると、そのメールアドレスのドメイン名に対するSPFレコードを確認し、そのメッセージが認可された送信者からのものであるかを検証します。
SPFは、送信者に対して、メールアドレス内のドメイン名でメッセージを認証することを要求することで、メールアドレスのなりすましを防止します。
つまり、スパマーや詐欺師が正規の送信者を模倣して、無防備な受信者に悪意のあるメールを送信することはできません。

ただし、SPFはメールスプーフィングを完全に回避するための包括的な解決策ではない点に注意が必要です。
そのため、DKIMやDMARCといった他のメール認証メカニズムが、追加の保護層として併用されます。

SPFを正しく機能させるためには、SPF設定が破損しないようにする必要があります。
これは、DNSルックアップの10回制限を超えた場合に「SPF permerror（永久エラー）」が発生することで起こり得ます。
そのような場合には、「SPFフラッテン（SPF Flattening）」を活用することで、この制限内に収め、スムーズにメールを認証することができます。

ドメインキー識別メール（DKIM）

信頼できる送信者を装うことは、受信者の警戒心を解かせるための手段として利用されることがあります。
DKIMは、顧客の受信箱から送信されるすべてのメッセージにデジタル署名を追加するメールセキュリティソリューションです。
これにより、受信者はそのメールが実際にあなたのドメインによって認可されたものであることを確認でき、あなたのサイトを信頼できる送信者リストに追加することができます。

DKIMでは、ドメイン所有者が秘密鍵を使用して自分のメッセージにデジタル署名を行うことができます。
受信者側のメールサーバは、ドメインのDNSレコードに保存されている公開鍵を使用して、このデジタル署名を検証します。
署名が有効であれば、そのメッセージは正当なものと見なされます。

一方で、署名が無効な場合、そのメッセージは拒否されるか、スパムとして分類される可能性があります。
DKIMは、ドメイン名に関連付けられた一意のハッシュ値を各送信メールに付与します。

これにより、受信者は特定のドメインから送信されたと主張するメールが、実際にそのドメインの所有者によって認可されたものであるかどうかを確認できます。
この仕組みによって、スプーフィング（なりすまし）攻撃の検出を効果的に支援します。

ドメインベースメッセージ認証・報告・適合（DMARC）

SPFやDKIMを実装するだけでも送信元の検証には役立ちますが、それだけではスプーフィングを完全に防ぐには十分ではありません。
サイバー犯罪者が偽のメールを受信者に配信するのを防ぐためには、DMARCの導入が不可欠です。
DMARCは、スプーフィングされたメールを識別し、ユーザの受信箱に届くのを防止する包括的なメール認証プロトコルです。

DMARCを導入することで、メールの到達率が向上し、信頼性の高いブランド評価を築くことができます。
このプロトコルは、ドメイン所有者が、DKIMやSPFなどの認証チェックに失敗した場合に、そのメッセージをどのように処理すべきかを指定できるようにすることで、スプーフィングやフィッシング攻撃を防ぎます。
また、DMARCはメールヘッダーを整合させ、「From」アドレスを検証することで、スプーフィングの試みやドメイン名の不正使用を明らかにします。

さらに、ドメイン所有者は、SPFおよびDKIM認証に失敗したメールに対して、受信サーバがどのように対応するかを指定する権限を持ちます。
DMARCの適用レベルに応じて、偽のメールを「配信する」「隔離する」「拒否する」ことを選択できます。
メールベースの攻撃に対する追加の保護層を提供することで、DMARCは正当なメッセージのみが受信者の受信箱に届くようにし、スパムやその他の悪意あるコンテンツの拡散を防ぎます。

注:スプーフィングを完全に防止できるのは、DMARCポリシーを「reject（拒否）」に設定した場合のみです。

さらに、DMARCはレポート機能も提供しており、ドメイン所有者が自社のメールチャネルや認証結果を可視化できるようにします。
DMARCのXMLレポートリーダーを設定することで、メール送信元、メール認証結果、不正なIPアドレスの地理情報、メール全体のパフォーマンスなど、詳細な情報をもとに定期的に自社のメールドメインを監視することができます。
これにより、DMARCデータを整理された読みやすい形式に解析し、攻撃者への対処を迅速に行うことが可能になります。

最終的に、SPF、DKIM、およびDMARCは連携して機能し、組織のメールセキュリティを新たなレベルへと引き上げます。
これらを活用することで、攻撃者があなたのドメイン名をスプーフィングするのを防ぎ、組織の評判と信頼性を守ることができます。