~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > サービス事業者の皆様へ > なりすまし送信メール対策について

なりすまし送信メール対策について

月次報告でも報告させていただいている通り、非常に多くのフィッシングメールが報告されています。その中でもメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし送信メール」が 2020 年以降急増し、現在もフィッシングメールの半分以上の割合を占めています。メールソフト(アプリ)で差出人を確認しても、本物と同じドメインのメールアドレスのため、正規のメールであると誤認して、フィッシング詐欺にあうケースが増加していると考えられます。

なりすまし送信メールとは

  • 実在するドメインのメールアドレスをかたり送信されたメールのことです。
  • その多くは、サービスの正規ドメインのメールアドレスをかたっています。
  • メールソフトで確認しても判断がつきません。

なりすましメールの例

送信ドメイン認証とは

「送信ドメイン認証」とは、受信したメールが正規の送信元から送られてきたかを検証できる技術のことで、現在 SPF、DKIM、DMARC の3種類があります。なりすまし送信メールは SPF や DKIM 単体では検証をすりぬけることがありますが、DMARC を使用することで検出できます。

SPF Sender Policy Framework
検証方法 正規のサーバー (IP アドレス)から送信されたかを検証
検証対象 メールソフトで表示されないほうのメールアドレス(エンベロープ From )
導入 送信側の設定は SPF レコードを DNS へ登録するだけで容易
利点 受信時に検証を行っている事業者が多い(しかし多くは fail しても素通し)
欠点 単体ではエンベロープ From に独自ドメインを使用して、SPF の検証を pass (回避) するなりすまし送信は検出できない
DKIM DomainKeys Identified Mail
検証方法 電子署名でメールを検証。S/MIME はメール本文のみが署名対象だが、DKIM はメール配信時につけられるヘッダー情報やメール本文も署名対象にできる
検証対象 署名対象の情報(差出人、日付時刻、受信者などのヘッダー情報およびメール本文)
導入 S/MIME と同様に、送信側は各メールへ DKIM 署名するためのシステムが必要
利点 メールを転送されても検証可能
欠点 署名に使うドメインを指定できるため、単体では検証を回避可能
DMARC Domain-based Message Authentication, Reporting, and Conformance
検証方法 SPF と DKIM の検証結果を使って検証。SPF+DMARC など、片方だけでも可
検証対象 メールソフトで表示されるほうのメールアドレスで検証 (SPF/DKIM の検証ドメインと一致しているか比較)
導入 すでに SPF または DKIM が設定されていれば、送信側の設定は DMARC レコードを DNS へ登録するだけで容易
利点 SPF のみでは正規メールとして誤判定される なりすまし送信を検出できる
ドメイン管理者側が、検証失敗したメールの扱いを指定できる
(迷惑メールフォルダーへ配信、拒否等のポリシーを宣言)
迷惑メールフィルターも送信ドメイン認証結果を利用するため、組み合わせることで、より効果が高くなる
受信側から送られる DMARC レポートで、検証結果や効果を確認できる。 正規メールの検証成功数、なりすまし送信の検知、配信規模の把握など。
欠点 大手のメールサービスは対応しているが、日本国内の事業者や ISP は対応が遅れている

事業者:ドメイン管理者がすべきこと

送信ドメイン認証をサポートしているメールサービス(受信側)が検証するために、以下のような情報を DNS で公開しておく必要があります。

  • SPF:送信側メールサーバーの IP アドレス
  • DKIM:メールに付加された電子署名を検証するための公開鍵
  • DMARC:受信者が認証に失敗した場合のポリシー(メールの取り扱い)、その検証結果をドメイン管理者へレポートしてもらうためのメールアドレス

まずは、DMARC レポートを取得し、正規メールとなりすまし送信メールの配信状況を確認することから始め、ポリシーを調整していきます。(SPF / DMARC レコードの登録のみでも可能)
技術的詳細等は、「送信ドメイン認証技術関連リンク」を参照してください。

DMARC の概要図

図 1 DMARC の概要図

送信ドメイン認証に対応するメリット

  • メール受信側で正規メールか、なりすまし送信メールかを検証することができます。(送信ドメイン認証DMARCに対応している場合)
  • 正規メールであることをユーザーが視認できる BIMI(Brand Indicators for Message Identification)、Yahoo! JAPAN ブランドアイコン表示、ドコモメール公式アカウント表示を利用することができます。

図 2 送信ドメイン認証をパスした正規メールの表示例

表示例画像は楽天グループ株式会社様から提供
https://corp.rakuten.co.jp/security/anti-fraud/
Apple メールの BIMI サポートについて
https://support.apple.com/ja-jp/HT213155
※Apple メールは一覧表示画面ではなく詳細画面にてアイコンが表示されます。

◇なりすまし対策ポータル「ナリタイ」
https://www.naritai.jp/

◇迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル第3版」
https://www.dekyo.or.jp/soudan/data/anti_spam/meiwakumanual3/manual_3rd_edition.pdf

◇総務省「送信ドメイン認証技術等の導入に関する法的解釈について」
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html

◇内閣府消費者委員会「フィッシング問題への取組に関する意見」2020年12月3日
https://www.cao.go.jp/consumer/iinkaikouhyou/2020/1203_iken.html

データ(対応状況等)

◇統計情報(日本DNSオペレーターズグループ)
https://dnsops.jp/stats/

◇総務省: 迷惑メール対策: 統計データ
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html#toukei

◇迷惑メール相談センター: 4-2-1 送信ドメイン認証実施状況
https://www.dekyo.or.jp/soudan/contents/auth/index.html

講演資料

◇第4回フィッシング対策勉強会(フィッシング対策協議会)
https://www.antiphishing.jp/news/event/antiphishing_4th_studygroup.html

題目:フィッシング報告から見るなりすましメールの現状
講演者:フィッシング対策協議会事務局(一般社団法人JPCERTコーディネーションセンター)平塚 伸世 氏

題目:DMARCによるなりすましメール対策
講演者:JPAAWG / 株式会社インターネットイニシアティブ 櫻庭 秀次 氏

題目:DMARCレポートの活用事例
講演者:株式会社TwoFive 加瀬 正樹 氏