TwoFiveは2020年2月12日、DMARCの仕組みを利用してなりすましメールの状況を可視化するクラウドサービス「DMARC / 25 Analyze」を強化した。新たに、DMARCをすり抜ける類似ドメインの詐称を検知して報告する機能を追加するなど、レポートメール機能を強化した。DMARC / 25 Analyzeの価格は非公開。
TwoFiveの「DMARC/25 Analyze」は、なりすましメール対策の仕組みであるDMARCによって得られるXML形式の認証結果情報(DMARCレポート)をクラウド上で集計・解析し、Webベースのレポートとして可視化するサービスである(関連記事:プレミアムバンダイがなりすましメール対策のDMARCを導入、可視化ツールも採用)。
DMARCの集計レポートをWeb上で参照することで、自社のドメインを不正に利用したなりすましメールを確認できる。自社のメールを受信する可能性のある顧客やパートナー企業に警告を通知するなどして、被害を抑止できる。
DMARC/25 Analyzeは、メール送信企業がDNSの情報を書き換えるだけで利用できる。DMARC対応のメール受信サーバーは、DMARCの認証結果情報(DMARCレポート)を正規のメール送信者のメールアドレスに送信する仕組みになっている。正規のメール送信者は、DNSのDMARCレコードにDMARC/25 Analyzeのメールアドレスを書くことで、DMARC/25 Analyzeを利用できる。
類似ドメインによるフィッシングメールも通知可能に
今回、DMARC/25 Analyzeのレポート機能を強化した。まず、DMARCとは別の機能として、本物のドメイン(ブランド)に似せたドメイン名を悪用したフィッシングメールが流通していた場合に、この情報をメールで通知する機能を追加した(画面1)。類似ドメインを使ったメールはDMARCのチェックをすり抜けてしまうので、今回、これを検知・通知できるようにした。
画面1:本物のドメイン(ブランド)に似せたドメイン名を悪用したフィッシングメールが流通していた場合に、この情報をメールで通知する機能を追加した(出典:TwoFive)拡大画像表示
TwoFiveが独自に収集したメール関連のデータを用いて、類似ドメインを悪用したフィッシングメールを検知する。個々のユーザー企業のドメイン名に似たドメイン名について、日次のアラートメールで通知する。
アラートメールには、詐称タイプ別の件数と、実際の検体メールの一部ヘッダー情報を記載する。詐称タイプには、サブドメイン詐称、スクワッティングドメイン詐称、フレンドリーネーム詐称、パークドメイン詐称などがある(図1)。
図1:類似ドメインを悪用したフィッシングメールには、いくつかの詐称タイプがある。これら詐称タイプ別に日次のアラートメールで通知する(出典:TwoFive)拡大画像表示
このほかの機能強化として、あらかじめ閾値などを設定しておくことで、DMARC認証結果が悪化した場合にメールで通知できるようにした(画面2)。DMARCレポートの分析結果を確認するために管理画面にアクセスする手間が減る。
画面2:あらかじめ閾値などを設定しておくことで、DMARC認証結果が悪化した場合にメールで通知できるようにした(出典:TwoFive)拡大画像表示
集計の単位も改善した。従来は、送信元IPアドレスごとの認証結果を集計していた。今回、ホスト名を組織ドメインごとにグループ分けして、認証結果を見やすくした。利用している送信代行サービスや自社のメールサーバーを分類することで、改善が必要な箇所が見つけやすくなる。
●Next:なりすましメールを判定するDMARCの仕組み
会員登録(無料)が必要です
- 1
- 2
- 次へ >
