1. 大手EC、SNSも被害に...メルマガ事業者に求められる「なりすまし対策」

大手EC、SNSも被害に...メルマガ事業者に求められる「なりすまし対策」

  • このエントリーをはてなブックマークに追加

メルマガ事業者に求められる「なりすまし対策」


先日、大手EC事業者から「不審なメールに注意」というタイトルでメールが届きました。内容は、自社を騙った悪質ななりすましメールが送信されており、個人情報を不正に取得される危険性があることを注意喚起するものでした。

そのなりすましメールは、送信者名が自社(本物)のものと同一で、中を開くと「会員情報登録の変更を受け付けました。下記URLにアクセスの上、手続きを完了させてください」という内容でした。実際にECサイト等でよくみられる、顧客情報変更手続きの一環で送られるメールと非常に酷似しており、一見、本当に送信元に記載の事業者から送られてきたかのように見えます。
一方で、同メールにはドメイン(メールアドレスの@以降)が本来その事業者で使われているものと異なっている、また本文冒頭に宛先(●●様)の記載が無いなど、個人情報の取り扱いを行うメールとしては不審な点もありました。


実際、この事業者以外にも、大手SNSや運送業など、実在する、もしくは類似したBtoC企業の名称を騙り、正当な手続きや依頼であるかのような内容で個人情報を不正に入手しようとする「標的型攻撃メール」の被害が増えています。仮に実在しない企業名であれば、開封する前に調べるなど自己防衛の手立てを講じることができますが、実在する企業名を騙った「なりすまし」の場合、安心感もあり防衛がおろそかになった結果、アクセスする、もしくは個人情報を入力してしまうなどの被害が発生するリスクが高まります。

こうした手法自体は以前から存在していましたが、メールコミュニケーションの普及と、各種手続きがWeb上で完結するケースが増えてきたことを背景に、再び増加傾向にあります。


送信者側に求められる「なりすまし対策」


先ず、このような送信を行っている事業者に是正を求めていくことは当然であり、受信者側でも、不審な点は無いかよく確認する、そもそも心当たりのないメールに注意する、等の自衛策を講じることが求められています。

では、それ以外の真正なメールを送っている事業者はどうでしょうか?正しくコミュニケーションしていればOK、という時代では無くなってきています。


送信者側にできるなりすまし対策、それは「メールのセキュリティ」を強化することです。

具体的には、SPFやDKIM等といった「送信ドメイン認証技術」に対応した方式でメールを送信することが有効な手立てのひとつとされています。

メールの送受信に用いられる「SMTP通信」では、送信者として示されているドメインと実際に使用される送信サーバーのドメインが一致しているかは判別できません。つまり技術上、送信者情報を偽装することが可能な状態となっています。


SPF(Sender Policy Framework)


SPFは、予め「このドメインを使うIPアドレスはこちらです」とDNS(Domain Name System)サーバーに記述しておき、実際に送信が行われた際に、受信者側が送信元情報とDNSに記述された情報が合致するかを確認する仕組みです。

SPFによる送信元情報認証のイメージ

(図1)SPFによる送信元情報認証のイメージ
    ※「ymir.co.jp」ドメインから「cuenote.jp」ドメインへ送信する例


DKIM(DomainKeys Identified Mail)


DKIMは、送信されるメールに電子署名を付したうえで、予めDNSに対し公開した照合用の鍵(公開鍵)を使って正しい組み合わせであることを認証してもらう仕組みのことです。電子署名は、メールのヘッダや本文を基に生成されるため、実際に送られたメール毎の照合が可能となるほか、SPFではカバーできない、転送されたメール(送信元情報が書き換わるパターン)での認証も可能です(中継時にヘッダ情報が書き換えられる場合を除く)。

DKIMによる送信元情報認証のイメージ

(図2)DKIMによる送信元情報認証のイメージ


高い普及率の日本、世界的な普及が今後の課題


両者は送信元に偽りが無いことを証明するための技術規格として標準化され、各事業者で導入が進んでいます。
総務省の調査(※1)によると、国内の電気通信事業者を通じてやり取りされる電子メールのうち、SPFの普及率は90%、DKIMは44%となっています。一方で、同報告内で併記されている国際研究機関による調査では、「.jp」ドメインを利用した全世界を対象とした電子メール通信におけるSPFの普及率は43%、DKIMは0.5%と、決して高いとは言えないのが実情です。ITが広範に普及した先進国以外では認証技術自体の認知度がまだ低いということも、国際的な普及が進んでいない背景のひとつと推察されます。

送信者認証技術の普及状況

(※1)総務省「特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発
    及び電子メール通信役務を提供する電気通信事業者によるその導入の状況」
    http://www.soumu.go.jp/menu_news/s-news/01kiban18_01000029.html


技術の普及がメールセキュリティを高める


対策を講じなくても、メールを送ること自体は可能です。しかしながら、なりすまし対策の技術が普及していくことにより、真正なメール配信を行っている事業者にとってのメリットがより大きなものになっていきます。

SPFにしろDKIMにしろ、現在は義務ではなく事業者が任意で施す対策に過ぎません。しかしながら、普及が進めば、受信側が「認証技術に対応していないメールは受け取らない」という設定にしても、実運用上の支障なくセキュリティを高めることが可能になります。技術自体も当然進歩しますが、それ以上にこうした認証技術自体の普及で、悪意ある事業者がなりすましメールなどの迷惑メール送信を行えなくする環境を形成していくことが、最大のメールセキュリティ対策になると言えます。

真正なメール配信を行っている事業者にとっては、普及により、安心、安全にメール配信を行うことが出来るようになるとともに、自社の名前を悪意ある第三者に騙られる「被害者」となるリスクを最低限に抑えることが出来るようになります。実際に、国内ではDKIMの認証情報と企業情報データベースとを組み合わせ、「このメールは真正な事業者から送信されたものです」といういわば"お墨付き"を与える「安心マーク」(※2)という仕組みが導入され、金融機関や政党のドメインなどを中心に運用が始まっています。

(※2)日本情報経済社会推進協会「安心マーク」
    https://robins-cbr.jipdec.or.jp/usecase/anshinmark/


おわりに


送信ドメイン認証をはじめとするメールセキュリティシステムの導入及び普及は、正しくメールマーケティングを行う企業にとっての自衛となるだけでなく、メール送受信に占める迷惑メールの割合を減らすことでマーケティング効果のさらなる向上にもつながります。こうしたセキュリティ、およびそれに対応したメールサービス・ソフトの利活用の広がりに、今後も注目していきたいところです。

  • このエントリーをはてなブックマークに追加

ページの先頭へ