DMARC:送信者認証の限界

フィッシングメールもスピアフィッシングメールも被害者を騙して、ブランドや知人など信頼できるソースからメールを受信したと信じ込ませるように作られています。しかも、そのための技術的なハッキングスキルはほとんど不要であるのに、成功すれば甚大な被害を及ぼすメールのなりすましを使って行われる可能性があります。

DMAR(Domain-based Messaging,
Authentication, Reporting, and Conformance)は、なりすましの問題の対処法として広く認識されています。DMARが完全一致のドメインのなりすましに効果的であるのは事実ですが、クロース・カズンのなりすましと表示名のなりすましの問題を解決できません。それでは、DMARCとその働き、DMARCが解決できない事柄について詳しく見ていきましょう。

DMARCとは何か?

DMARCはDKIM(Domain Keys Identified Mail)とSPF(Sender Policy Framework)を基本としています。SPFはスパムの送信者とその他の悪意のある送信者が、あるドメインに代わってメールを送信するのを防ぎます。組織は自らのSPFレコードを公開することで、どのサーバがその組織のドメインからメール送信できるのかを他のシステムに伝えます。送信元のサーバが承認されていない場合は受信ドメインが送信者をブロックします。

DKIM認証は、許可されている送信者からのメールに暗号化されたDKIMシグネチャを加えることで、無許可の送信者を阻止します。受信システムはメールのDKIMシグネチャの有無を調べて、シグネチャが存在する場合は、そのメールの配信が承認されます。

SPFとDKIMフォームが一体となって、DMARCのビルディングブロックを形成します。DMARCレコードは、DKIMにもSPFにも簡単に処理できないメールの処理方法をサーバに伝えるポリシーです。一度公開されると、DMARCレコードはDNSに公開され、調整のために変更されることがあります。そして、まさにそれが厄介な点なのです。

送信者認証は双方向的

自社ブランドのなりすまし対策としてDMARCを実装することは、自社ドメインの乱用防止のための重要なステップです。しかしながらこれは、ハッカーがDMARCを公開していない他のブランドになりすまして、フィッシングやスピアフィッシングメールを従業員に送信するのを防ぐことはできません。

大手有名ブランドがDMARCを公開して自社のドメインを保護していることに疑う余地はありませんが、すべての企業がこれに当てはまるわけではありません。DMARCを管理するために必要なITリソースが不足している企業もあるでしょう。そして、それが最も大きなDMARCの問題をもたらすことになります。

技術的な複雑さ

DKIM、SPF、DMARCを展開するのは複雑であるだけでなく、そのためのリソースが必要です。この点においても、大企業はそれを実行できるかもしれませんが、中小企業にはなかなかそうはいきません。さらに、DMARCレコードにはメンテナンスが必要なうえ、新たな送信者が加われば、それに合わせて定期的に更新しなければなりません。企業がSaaSベンダーのような新たなサービスを追加する度に、すべての通知送信者をDMARCレコードに追加しなければなりません。しかも、キャンセルしたサービスについても同じ手順が必要です。デジタルサービスが爆発的に増えれば、DMARCの管理は悪夢になりかねません。

DMARCはクロース・カズンや表示名のなりすましに対応できない

経験の浅いハッカーはMicrosoftのドメインになりすまそうとして失敗するかもしれませんが、熟練のハッカーはやり方を熟知しています。Microsoftのようなブランドは、ほぼ確実にDMARCを使用して完全一致のなりすましを防いでいます。そこでその代わりに、ハッカーは高い技術的スキルがほとんど不要なのに検出するのが非常に難しい2つの創造的ななりすまし技術を使うようになりました。

これらのなりすまし技術に触れる前に、Vade Secureが検出したスピアフィッシングメールの例を見てみましょう。このハッカーには、明らかに自分のトラックを隠すための時間も忍耐力もありません。彼らは表示名(プライバシーの理由により非公開)をなりすましていますが、ハッカーのメールアドレスは表示されており、それがなりすましの明らかな証拠になっています。

DMARCはクロース・カズンや表示名のなりすましに対応できない

しかしながら、受信者が携帯電話でこのメールを表示すると、メールを展開しない限り、メールアドレスは隠された状態になるでしょう。これで、ハッカーがより真実味のあるメールアドレスを作成する気にならないことの説明がつきます。Verizonによれば、多くの携帯端末に備わっているこのUI機能が原因で、携帯電話でのフィッシングメールをクリックしてしまう確率が18パーセントとなっています。さらに、モバイルユーザーは静止していないため、より注意散漫になっています。また、メールのヘッダー全体が表示されていないことをユーザーが認識している可能性は極めて低いです。

表示名のなりすまし

この手口では、ハッカーは送信者欄に表示名しか明示しません。この表示名は、偽名から正規のメールアドレスに見えるもの、またはブランド名の変化形など、ハッカーが好き選んだものを表示できます。

表示名のなりすまし

クロース・カズン

表示名のなりすましと同様に、クロース・カズンは創造力と心理操作の組み合わせの上に成り立ちます。クロース・カズンのメールアドレスは、正規のメールアドレスの複製のように見えるかもしれませんが、一見しただけでは気づかない程度に文字数が多かったり、不足していたりすることがよくあります。あるいは、肉眼では判別できないキリル文字が使われている場合もあります。company, .co, .global または.caのような拡張子が使われているものもあります。

クロース・カズン

前述の例のようなメールはドメインを乱用しているわけではないため、DMARCは、それらが配信されるのを阻止できません。これが、クロース・カズンと表示名のなりすましがフィッシングやスピアフィッシングメールのための最適な選択となる理由です。

クロース・カズンと表示名のなりすましを阻止するのは困難ですが、不可能ではありません。考えられるドメイン名の変化形のすべてを手作業で阻止することはできないため、これらを阻止するためには高度な技術が必要です。

AIを基本としたなりすまし検出機能

自然言語処理(NLP)とComputer Visionがフィッシングやスピアフィッシングメールに共通する異常と行動を分析して検出します。NLPは、テキストの意味を理解してテキストのクラスタリングを使ってパターンを認識する働きをするAIを基本とした分野です。スピアフィッシングに適用されるNLPは、電信送金やアカウント認証情報の要求などメールの趣旨を認識することによって、テキストのみのメールを分析する困難を乗り越えます。異常検出アルゴリズムは、組織のエンティティモデルのものと一致しないメールアドレスなどの異常や不一致を認識することで、クロース・カズンと表示名のなりすましを検出します。NLPと異常検出機能はともに、行動、パターン、テキストを分析してスピアフィッシングを特定して、シグネチャベースの検出機能のギャップを埋めます。

なりすましのメールアドレスから送信されたフィッシングメールは、最初のスキャンでフィルターをすり抜けてしまうため、URLのスキャンが効果的な対策となります。マシンラーニングアルゴリズムは、URLをリアルタイムでスキャンし、未知のフィッシングURLとウェブページを調べます。アルゴリズムは、クリック時に実行され、ユーザーにレイテンシーを発生させることなく、URLのリダイレクトや短縮ツールのような難読化技術、および、フィッシングページでの不審な行動を検出できます。

最後に、メールをブラックリストに入れたはずなのに、その数日後にそのメールが受信ボックスに現れたら、それはつまり、あなたのフィルターが画像を調べることができないからでしょう。フィルターをすり抜けるために、ハッカーは、僅かに変化を加えた画像ベースのメールを送信します。これにより、メールのハッシュが変更されるため、ブラックリストに掲載されているフィッシングメールがフィルターにとって新しい正常なメールになってしまいます。

Computer Visionは、メールセキュリティの分野ではとても新しい技術ですが、テキストよりもむしろ画像を分析することでこの問題に対応します。適切に訓練されたComputer Visionアルゴリズムは、ハッカーによって、シグネチャを調べるメールフィルターを欺くのに最低限必要な程度に歪められた画像を検出できます。

検出機能を逃れるための青色の背景に重ねられた灰色のMicrosoftロゴ
検出機能を逃れるための青色の背景に重ねられた灰色のMicrosoftロゴ

多層型アプローチ

DMARCは、ビジネスを守るための重要な1つのステップです。しかし、あらゆるサイバーセキュリティソリューションと同じように、DMARCは他のテクノロジーと組み合わされることで、最適な保護を提供できます。多層型アプローチは、DMARC、AIを基本とした保護、ユーザートレーニングを組み合わせなければなりません。最後に、貴社のユーザーが不審なメッセージを受信した時にすべきことが分かるように、不審なメールの報告や電話や別のルートでの金銭的な要求の確認などの対処方法を記載した文書化されたプロセスを配備しておくことが必要です。