[技術解説]

2024年1月16日(火)増田 幸美（日本プルーフポイント チーフ エバンジェリスト）

2024年2月よりGmailとYahoo!メールが送信ドメイン認証を義務付け

　DMARC（ディーマーク）は、Domain-based Message Authentication Reporting and Conformanceの略で、「ドメインベースのメッセージ認証、レポートおよび適合性」と訳されます。簡単に言えば、人による判別が難しいなりすましメールを識別し、メールが信頼できるものかどうかを判断し、被害を未然に防ぐ仕組みです。

　現時点で最も現実的かつ効果的なので、例えば米グーグルはGmailで送信するメールを対象とした「メール送信者ガイドライン」において、1日5000通以上のメールを送信する送信者に対し、DMARCへの対応を義務づけました。対応しないとGmailへのメール送信に支障が生じる恐れがあります。2024年2月1日からガイドラインが適用となるため、特にメルマガなど大量のメール配信を行っている企業の場合、対応が待ったなしです。

　ところが日本ではDMARCへの対応がなかなか進んできませんでした。筆者が所属する米プルーフポイント（Proofpoint）が2023年12月に世界18カ国を対象に実施した調査では、日本企業（日経225企業）でDMARCを導入している割合は60％にとどまり、下位に甘んじています（2022年調査では31％で最下位）。

　これに対し、英国や米国では2016～2017年に政府機関がDMARC導入を義務化して民間にも推奨したため、導入率は7～9割に達します（関連記事：海外に遅れをとるDMARC導入─日経225企業の導入は6割、半数は監視設定のみ─プルーフポイント調査）。

　このまま放置すればビジネスや事業に支障が生じる可能性もあります。DMARC解説の前編となる本稿では、DMARCの基本的な仕組みや対応方法、DMARCと合わせて用いる「BIMI（Brand Indicators for Message Identification）」について解説します。

詐欺メールの現状とDMARCの対応状況、遅れる日本の対策

　SNS/メッセージングアプリの普及が進んだ今でも、ビジネスにおけるコミュニケーションはメールが中心です。米国のIT市場調査会社The Radicati Groupによると、全世界のメールのユーザー数は2022年に42億人を突破し、世界人口の半数以上がメールを利用している計算です。

　そんな中でメールは、「サイバー攻撃に狙うのはユーザー数がより多いプラットフォーム」という定石どおり、攻撃者に狙われ続けています。過去にはウイルスやワームの拡散に悪用され、迷惑メールや詐欺メールも多く存在しました。現在でもマルウェア、ボットネット、RAT（Remote Access Trojan：遠隔操作型マルウェア）、フィッシングなどがメールにまつわる脅威となっています。

　加えて、悪質なメールが2021年10月ごろから爆発的に増加し、2022年には2020年の約4倍、2021年の約3倍になりました（図1）。2022年に目立ったのが、マルウェア「Emotet」に感染させるのを目的としたフィッシングメールや、最終的にID/パスワードなどの認証情報を盗み出そうとする攻撃でした。

　周知のとおり、フィッシングメールでは受信者に正規のメールと信じさせて偽のサイト（フィッシングサイト）に誘導し、認証情報を入力させます。こうして盗まれた認証情報はアンダーグラウンドのマーケットで売買されたり、攻撃者が本人になりすましてログインして悪用されたりします。

　盗まれた認証情報がECサイトのものであれば商品を不正に購入されてしまい、オンラインバンキングのものなら不正送金に悪用されてしまいます。企業システムの認証情報の場合、自社システムやクラウドサービスに不正侵入され、重要なデータを盗まれる可能性があります。当然、さらなる攻撃のための情報収集などに悪用されるおそれも出てきます。

　日本でもフィッシングメールが急増しており、フィッシング対策協議会が2023年10月に公開したレポートで、報告件数が過去最多を記録しました。政府や警察、そしてセキュリティ企業などが注意喚起を繰り返していますが被害は減りません。警察庁によると、2023年1月～11月のインターネットバンキングによる不正送金での被害件数は5147件、被害額は80億円を超え、いずれも過去最多となっています。

　攻撃の内容を見ると巧妙さが増し、こうした被害の増加につながっています。以前はメール文面の日本語に違和感のあるものが多かったのですが、今では精巧に模倣され、見た目では判断しにくくなっています。メールソフト/サービスに差出人として表示されるメールアドレス（Header-From）も頼りになりません。送信者が自由に変更、偽装できるからです。

　こうしたフィッシングメールに有効な対策となるのが、送信者のなりすましを検知できるDMARCですが、前述したように日本では対応が進んでいないのが現状です。欧米諸国はもちろん、中東やアジアの国々と比べても対応が遅れています（図2）。

送信ドメイン認証「DMARC」とは─BIMI実装の必須要件

　では、DMARCとは具体的にどういう仕組み、技術なのでしょうか？ DMARCは送信ドメイン認証技術の1つで、ここで言うドメインとは一般にメールアドレスの「@」以降に表示される文字列を指し、企業や団体などにより異なります。送信者側が行う送信ドメイン認証には、DMARCのほかに「SPF」と「DKIM」が広く知られていますので、まずこれらについて説明します。

SPF（Sender Policy Framework）

　SPFは、IPアドレスを利用して受信したメールの送信元が詐称されていないかをチェックする仕組みです。メール送信時に利用するサーバーのIPアドレスをSPFレコードとして登録し、メール受信時に送信元IPアドレスとSPFレコードを照合します。SPFレコードには、ドメインの所有者がメールの送信を許可したすべてのIPアドレスがリスト化されています。

　メールの差出人（Fromアドレス）は詐称されても、IPアドレスまでは詐称されないので、送信元を確認できます。日本におけるSPFの普及率は88％と導入が進んでいますが、SPFには弱点があります。サーバーの負荷を軽減するためにSPFレコードを参照する回数に制限があり、メールが何回も転送されていると回数制限を超えてしまって認証に失敗することです。

DKIM（Domain Keys Identified Mail）

　DKIMは電子署名を用いてヘッダーや本文などメールの要素が改竄されていないかどうかを確認する仕組みです。まず送信側がメールに電子署名を付与し、受信側が電子署名を検証して、改竄やなりすましの有無をチェックします。実装と鍵の管理が難しいため、日本における普及率は48％に留まります。普及率が低い以上、DKIM署名がないメールを不正であると判断できません。

　このようにSPFとDKIMはいずれも送信元を確認し、DKIMは途中経路での改竄を防ぐための仕組みですが、それらの認証が成功したとしても、それが差出人として表示されているメールアドレス（Header-From）が認証されているわけでないことに注意しなくてはなりません。

　その欠点をカバーするのがDMARCです。SPFやDKIMによるメールの認証がうまくいかなかったり、SPFやDKIMで認証したドメインと差出人として表示されているメールアドレス（Header-From）が一致しなかったりした場合に、受信ポリシー設定で宣言した対応に従ってメールを処理できるようにします（図3）。SPFまたはDKIMと組み合わせて、フィッシングメールやなりすましメール対策の精度を高めることができるのです。この点がDMARCの導入が求められる理由です。

●Next：DMARCの導入・設定と効果、その次のアクション