Yahoo!メールがDMARCに対応 - メールのなりすまし対策のさらなる加速に注目
フリーメールサービス「Yahoo!メール」を運営するヤフーは、受信するメールについて、差出人情報詐称(なりすまし)防止技術の「SPF」と「DKIM」を組み合わせた認証手段「DMARC(ディーマーク)」の対応を開始したと発表しました。
DMARC対応によって、メールセキュリティはどのように高まるのか?その成立の背景と普及の現状と合わせてご紹介いたします。
「DMARC」は「SPF」と「DKIM」、2つの認証技術の組み合わせ
DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、送信ドメイン認証技術の一つとして国際規格(RFC7489)に定められている手法で、送信者情報の「なりすまし」を防ぐ手法として期待されています。
DMARCは、「SPF(Sender Policy Framework)」と「DKIM(Domainkeys Identified Mail)」という2つの認証技術の組み合わせにより構成されています。
SPFとは、予め送信するドメイン(アドレスで「@」より後ろの部分)と送信元サーバーのIPアドレスを紐づけておくことで、差出人情報の詐称を防ぐ認証技術です。
手紙に例えれば、「差出人名」と「差出人の住所」を予め郵便局に届け出ておき、郵便局は投かんされた手紙について差出人名と住所の組み合わせが予め届け出でられていた通りになっているかを確認します。万が一、届け出と異なる場合は、差出人名が詐称されていると判断し受け取り拒否等の処理を行うことができるようになっています。
いっぽうDKIMは、送信元が電子署名を行い、その署名を受信者が検証することで改ざん、なりすましの有無を検知する仕組みです。送信者側のメールサーバーには、メールの通信データを暗号化する際に使う「秘密鍵」を設定、またDNSサーバーには予め署名に使う「公開鍵」を設定します。受信側はメールを受け取る際に送信側のDNSサーバーに公開鍵を問合せ、この公開鍵を使いメールに付与されたヘッダや本文の情報を基に電子署名を行うことで、署名の解読が可能となります。
こちらは例えるなら、クレジットカードを使おうとするときの認証に近いと言えるでしょう。予め決済利用時に使う暗証番号を設定し、利用の際はレジやWebサイトでその番号を入力してもらい、入力内容をセンタへ照会することで本人同一性を担保する仕組みです。
この通り、SPFとDKIMでは、認証のよりどころとする情報がそれぞれ異なります。SPFがIPアドレスを基準に判定するのに対し、DKIMは電子署名を基に判定を行います。これら異なる情報に基づいた認証方式を組み合わせたメールセキュリティがDMARCであり、より高いセキュリティを実現することが可能となります。
なぜDMARCが必要なのか?
DMARCは、最新のメールセキュリティとしてGmail(Google)やOutlook(Microsoft)では既に対応がされており、日本でも一部のメールクライアント事業者では対応済となっています。今回、国内でのアカウント数の多いYahoo!メールがDMARCに対応したことで、国内での普及がより加速するものとみられます。
ではそもそもなぜDMARCが必要なのか、それは「既存の認証手段の欠点を補完する」ことにあります。
SPFがIPアドレスを基にドメイン詐称の有無を測る手法であることは触れたとおりですが、その欠点として「転送されて送り元のIPアドレスが変わっているメールには対応できない」ことが挙げられます。メーリングリスト宛の送信等、最終的な受信者が送り先アドレスと異なるケースでは受信者にとっての送り元IPアドレスは「メーリングリストのアドレスが属するサーバー」となるため、SPFを利用した判定がそもそも行えないというわけです。
他方、DKIMはメールコンテンツそのものに付した電子署名で判定を行うため、IPアドレスが変わっていてもヘッダや本文の記述内容が変判定可能です。しかしながら、メールサーバーおよびDNSサーバー双方に鍵の設定が必要であることに加え、秘密鍵が漏洩すると改ざんに使われてしまうため、セキュリティを高いレベルで保つことはもちろん定期的な鍵の変更など漏洩リスクを低減する対策をとる必要があることから送信側の手間が大きく、普及は道半ばと言えます。
そこで、これら独立した認証手段を1つに束ね、SPFもしくはDKIMいずれかに対応したなりすまし対策済のメールについての信頼性を担保する仕組みとして生まれたのがDMARCです。DMARCに対応したメールクライアントでは、受信しようとするメールについてSPFもしくはDKIMいずれかによりドメインの詐称が行われていないかをチェックすることが出来ます。「普及率は高いが転送メールへの対応が難しい」SPFと「転送メールにも対応できるが普及途上にある」DKIMそれぞれのウィークポイントを補い、なりすまし対策をより広範なメールクライアントに普及させることが、DMARCの目的の一つです。
DMARCを採用する利点とは
前項でも触れた「SPF・DKIMいずれかに対応したメールを認証できる」ことにより多くの送信事業者のメールを検証可能であること、加えて「認証失敗時のアクション設定の柔軟性」が挙げられます。
DMARCでは、受信時に認証失敗した場合のアクションを
の3つから選ぶことが出来ます。
セキュリティの概念からすれば、認証できないものは「隔離」ないしは「拒否」とすることが望ましいですが、SPF、DKIMいずれにも対応していない正規の送信元も一定数存在すること、また「転送がかかっているうえ、転送時にヘッダの内容が書き換わった」等IPアドレスもヘッダ情報も当初のものから変わっているケースなどSPF・DKIMいずれを以てしても認証が出来ないメールも存在し得ることから、送信元の属性やそのメールアカウントの目的によっては、一律に受け取らない設定とすることで不都合が生じることも考えられます。
そこで、DMARCでは「モニタリングしたうえでそのまま通す」選択肢が設定可能であることから、ひとまず一定期間は全件受信してみたうえで、認証できなかった送信元についての分析を行いながらアクションの変更を検討することが出来ます。モニタリングした結果、DMARCにより認証できなかったメールのほとんどが迷惑メールであることが分かった場合、管理するメールアカウントが既知の送信元とのやり取りを主とする使われ方であるならばアクションを「受け取らない(隔離ないしは拒否)」に変更しても支障は少なく、セキュリティを高めることができると考えられます。逆に、不特定多数からの送信を受けると想定される使われ方である場合には、未知の送信元からの正規メールがDMARC認証できないリスクを勘案してアクションの変更を行うかどうかを考える必要があります。
こうした「運用状況に応じたレベルの変更が可能」という点は、これまで送信者の責に負うところが殆どだったなりすまし対策において、受信者(メールクライアント事業者)側の能動的な取り組みが可能になった点で画期的と言え、認証技術のさらなる普及を促す意味でも注目されています。
対応する送信元が増えることが一番の対策
今回DMARCに対応するYahoo!メールでは、ユーザーが「迷惑メール対策フィルタ」の機能を「オン」にすることで一律にDMARCの適用を受けることが出来、認証できなかったメールについては「受け取り拒否」となります。そのため、フィルタを有効にするとDMARCによる認証に対応していない送信事業者からのメールは受け取れなくなります。
総務省によれば、2016年時点でSPFは90%以上の普及率となっている一方、DKIMの普及率は45%程度に留まり、多くの事業者が対応しているとは言いにくい状況となっています。DMARC採用により上記いずれかの認証技術に対応したメールはなりすまし判定が出来るとはいえその多くは「モニタリングして受け取る(none)」アクションを取っていると推察されることから、本来の意味でセキュリティを高めることに繋がっていないのが現状です。送信者側での普及それ自体が、認証機構をよりセキュアな、強固なものにするために求められると言えるでしょう。
おわりに
今回は、DMARCの仕組みとその現状についてご紹介しました。
国内シェアの高いYahoo!メールでの導入により、国内のフリーメールアカウントの多くがDMARCによるなりすまし判定に対応することとなりました。その基礎となる認証技術(SPF、DKIM)の普及余地はまだ多分にあるとはいえ、こうした大手のベンダーが対応してゆくことにより認証技術の普及・啓蒙が進み、メールセキュリティの向上につながることが期待されます。
キューノート エフシー
メール配信システムCuenote FC(キューノートFC)は、会員管理やメール配信後の効果測定をグラフィカルに表示。システム連携用APIなども提供しており、一斉配信からメールマーケティングまで行えます。独自開発のMTA(配信エンジン)とノウハウで、月間のメール配信数42億通・時間700万通以上(※)の高速配信を実現し、スマートフォンや携帯にもストレスなく高速・確実にメールを届けます。
※クラウド型サービス(ASP・SaaS)の実績値