スプーフィング攻撃から onmicrosoft.com ドメインを保護する方法

スプーフィング攻撃から onmicrosoft.com ドメインを保護する方法

なりすまし撃退!onmicrosoft防衛術

2024年8月7日
著者: Yunes Tarada
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 How to Secure Your onmicrosoft.com Domains Against Spoofing Attacks? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

Microsoft は、メールユーザに対して Office 365 に関連するすべてのドメインを適切に保護することを推奨しています。
もし onmicrosoft.com ドメインを保護していない場合、脅威アクターがスプーフィング攻撃でそれらを簡単に悪用する可能性があります。
幸いなことに、onmicrosoft.com のサブドメインを使用している場合、SPF はすでに有効になっているはずです。

しかし、SPF だけではスプーフィング攻撃を防ぐことはできません。
それを防ぐためには DMARC が必要です。
それでは、メールセキュリティを強化するために、onmicrosoft.com ドメインに DKIM と DMARC を実装する方法を見ていきましょう。

重要なポイント

  1. Office 365 に関連するすべてのドメインを保護することは、脅威アクターによる悪用を防ぐために不可欠です。
  2. onmicrosoft.com ドメインでは SPF が自動的に有効になっていますが、それだけではスプーフィング攻撃を防ぐには不十分です。
  3. DKIM を実装することで、メールに電子署名を付与し、送信中にその正当性を検証することで、セキュリティ層を追加できます。
  4. DMARC を導入することで、不正なメールに対するポリシーを設定でき、SPF や DKIMと連携して保護を強化できます。
  5. 定期的にDKIM キーをローテーションし、DMARCレポートを監視することで、メールセキュリティ戦略をさらに強化することができます。

onmicrosoft.com ドメイン、またはMOERAドメインとは何か?

onmicrosoft.com ドメインは、Microsoft Online Email Routing Address ドメインのことで、略して MOERA と呼ばれます。
MOERA ドメインは<domain>.onmicrosoft.comという形式で、Microsoft テナントがオンボーディング時に自動的に割り当てられるデフォルトのアドレスです。
これは通常、初期セットアップの段階で割り当てられます。

Microsoft 365 にサインアップする際には、一意のドメイン名を指定する必要があります。
その後、Microsoft はyourcompany.onmicrosoft.comという形式のドメインを作成します。

MOERA アドレスは、Microsoft のシステム内部でメールをルーティングするために使用されます。
たとえば、ユーザの主なメールアドレスがjohn.doe@yourcompany.comであっても、内部処理用としてjohn.doe@yourcompany.onmicrosoft.comのような MOERA アドレスを持っている場合があります。

なぜすべてのドメインに認証が重要なのか?

Microsoft は長年にわたって、フィッシング攻撃の標的として注目を集めてきました。
実際、2024 年には、Microsoft は複数のセキュリティ研究者や情報源により、Google に続いて「最もなりすましの多い世界的ブランド」として報告されました。

なりすまし攻撃では、有名ブランドがスプーフィングされ、そのブランドのドメインから悪意のある偽のメールが送信されます。
つまり、攻撃者はあなたの onmicrosoft.com ドメインをスプーフィングして、クライアントにフィッシングメールを送信する可能性があります。
クライアントがそれをクリックして詐欺被害に遭うと、あなたは顧客からの否定的な反応、信頼の喪失、評判の低下といった形で被害を受けることになります。

このため、すべてのドメインを確実に保護することが極めて重要です。
以下は、そのために使用できるメール認証プロトコルです。

SPF(Sender Policy Framework)
SPFは、ドメインの送信元を認可する仕組みです。
デフォルトで、あなたの onmicrosoft.com ドメインには SPF が有効化されています。
そのため、受信サーバはこのドメインを正当な送信元として認識します。
DKIM(DomainKeys Identified Mail)
DKIMは、メールに電子署名を付与することで認証を行う仕組みです。
これらの署名は、受信者側で検証され、送信中にメールが改竄されていないか、正当なものかを確認します。
onmicrosoft.com ドメインに対しては、この設定を手動で行う必要があります。
DMARC(Domain-based Message Authentication, Reporting, and Conformance)
DMARCは、不正なメールに対してポリシーベースの対策を講じることを可能にします。
もしメールが SPF または DKIM の検証に失敗した場合、ポリシーを設定して「拒否」「隔離」「配信」などの対応を行うことができます。
DMARCポリシーを有効にすることで、これらの対策を実施できます。

onmicrosoft.comドメインに DKIM を追加する手順

onmicrosoft.comドメインに DKIM を追加するには、以下の手順に従ってください。

  1. Microsoft Defender ポータルにログインします。
  2. [Email & Collaboration(メールとコラボレーション)] > [Policies and rules(ポリシーとルール)] > [Threat policies(脅威ポリシー)] に移動します。
    コラボレーションポリシーとルール、および脅威ポリシーの関係図
  3. 「Rules(ルール)」セクションまでスクロールし、Email Authentication Settings(メール認証設定) をクリックします。
    メール認証設定の概要図
  4. onmicrosoft.com ドメイン用の DKIM タブを選択し、有効化(Enable) をクリックします。
    onmicrosoft.comドメインのDKIM設定画面で、DKIMタブを選択している様子を示すスクリーンショット
    設定画面でDKIM署名を有効化する操作を示すスクリーンショット
  5. Rotate DKIM keys(DKIM キーのローテーション) をクリックして、異なるセレクタを使用した 2 つ目の DKIM レコードを DNS レコードに追加します。

ポータルで DKIM がドメインに対して有効になるまでには、数分から最大で 1 時間ほどかかる場合があります。
DNS の伝播が完了したら、Microsoftは DKIM 設定に 2 つ目のセレクタを追加することを推奨しています。
この手順により、DKIM キーを定期的にローテーションできるようになり、セキュリティがさらに強化されます。

onmicrosoft.com ドメインに DMARC を追加する手順

  1. Microsoft Office 365 管理センターにログインします。
  2. [Settings(設定)] > [Domains(ドメイン)] に移動し、onmicrosoft.com ドメインを選択します。
  3. ドメインを選択したら、[DNS records(DNS レコード)] > [Add record(レコードの追加)] をクリックします。
  4. 「Add a custom DNS record(カスタム DNS レコードを追加)」のポップアップボックスで、次の設定を構成します。
    • Type(タイプ): TXT
    • TXT name(TXT 名): _dmarc
    • TXT value(TXT 値): v=DMARC1; p=reject;
    • TTL: 1 hour

DMARC ポリシーp=)を選択する際は、まず「none」ポリシーから始めることを推奨します。
「none」は保護を提供しませんが、ドメインの監視には有効です。

その後、徐々に「quarantine(隔離)」に移行し、最終的には「reject(拒否)」に設定してサイバー攻撃を積極的に防止しましょう。
設定を確認したら、「Save(保存)」をクリックし、レコードの変更が反映されるまで数分から 1 時間ほど待ちます。

onmicrosoft.com ドメインの DKIM および DMARC 設定を検証する手順

DMARC と DKIMの設定を保存したら、管理センターでこれらの設定を確認する必要があります。

  1. Microsoft Office 365 管理センターで、[Settings(設定)] > [Domains(ドメイン)] に移動し、onmicrosoft.com ドメインを選択します。
  2. [DNS records(DNS レコード)] をクリックし、「Custom records(カスタムレコード)」までスクロールします。
    ここで、新しく追加したDMARC レコードを確認できます。
  3. さらに下にスクロールして「Additional Microsoft Office 365 records(追加の Microsoft Office 365 レコード)」を探します。
    このセクションで、ドメインに設定された 2 つの新しい DKIM レコードを確認できるはずです。

これらのレコードを確認できたら、設定はすべて完了です。

最後に

onmicrosoft.com ドメインに DKIM と DMARC を有効化することは、メールセキュリティを強化するうえで非常に重要なステップです。
これにより、スプーフィングやなりすまし攻撃からブランドの評判を守ることができます。
本ガイドで紹介した Microsoft の手順に従うことで、ドメインを保護するために必要なプロトコルを有効にできます。

PowerDMARC を利用すれば、このプロセスをさらに簡素化できます。
直感的なプラットフォームを通じて、これらのプロトコルの実装と監視をスムーズに行うことができます。
PowerDMARC を使えば、包括的なインサイトとリアルタイムアラートを得ることができ、ドメインの安全性とコンプライアンスを常に確保できます。

今すぐ PowerDMARC でメールセキュリティを強化し、通信が保護されているという安心を手に入れましょう。
今日からぜひ無料トライアルを始めてみてください。