なりすましメール対策の送信ドメイン認証(SPF・DKIM・DMARC)の仕組みを解説
更新日:2024.12.13
昨今、実在の企業・団体になりすました迷惑メール・詐欺メールによる被害が急増しています。
受信者側としてなりすましメールの被害に遭わないようにすることも大事ですが、企業・団体などの法人の場合は、自社へのなりすましを防止する必要性もあります。
とりわけ昨今はEmotetや標的型攻撃メールなどの手法が横行しており、たとえ中小企業や小規模の団体であっても、なりすまされるリスクが急激に高まっています。
また、Gmailなどのメールサービスはガイドライン強化を進めており、十分ななりすまし対策が施されないメールについては、受信が拒否されるケースも増えています。
そこで今回は、自社へのなりすましを抑制する対策として注目されている、送信ドメイン認証(SPF・DKIM・DMARC)について、初心者にもわかりやすく紹介します。
「自社へのなりすましを防止して、顧客や取引先への迷惑メールの被害を抑制したい」という方や、「Gmailへのメール送信の到達率をアップして、顧客・取引先・求職者に確実にメールを届けたい」という方は、ぜひご覧ください。
目次
[非表示]
- なりすましメールとは?
- 近年、企業・団体でもなりすましメールの被害が深刻化している
- 1.ビジネスメール詐欺(BEC)
- 2.標的型攻撃メール
- 3.Emotet
- 昨今、大企業・中小企業を問わずEmotetの被害が拡大している
- 自社になりすましたメールが、お客様や取引先にばらまかれるリスクがある
- Emotetやサプライチェーン攻撃によって、中小企業や小規模な団体であっても、なりすまされるリスクが高まっている
- 自社になりすました迷惑メールが送信されるデメリット
- Gmailなどのメールサービスではなりすましメールを抑制するため、ガイドラインが強化された
- なりすましメール対策を実施しないと、自社が送信したメールがお客様や取引先・求職者に届かなくなるリスクが高まっている
- 送信ドメイン認証とは?
- SPFとは?
- DKIMとは?
- SPF・DKIMだけでは、万全のなりすましメール対策とはいえない
- DMARCとは?
- なりすましメール対策の送信ドメイン認証(SPF・DKIM・DMARC)は早急に導入すべき
- あわせて読みたい記事
- 国産Webサイトサービス満足度No.1のおりこうブログで、自社サイトを開設・リニューアル!
なりすましメールとは?
なりすましメールとは、実在の企業・団体などを装って詐欺などの目的で送信されるEメールのことです。
メール本文内のリンクから詐欺サイトにアクセスさせて送金させたり、個人情報・アカウント情報・機密情報をだまし取ろうとしたりします。また、添付ファイルを開かせてEmotetやランサムウェアなどのマルウェア(悪意のあるプログラム)に感染させる手法も存在します。
みなさんも、大手ネットショップや金融機関、宅急便などの配送会社になりすました迷惑メールを受け取った経験があるのではないでしょうか? あのようなフィッシング詐欺メールが、典型的ななりすましメールです。
なりすましメールは巧妙に偽装されているので、受信者側が気付かずに大金を振り込んだり、アカウント情報などをだまし取られたりする事件が続出しています。
- Emotet(エモテット)…主にメール経由で感染を広げるマルウェアの一種。詳しくは後述。
- ランサムウェア…感染したコンピューター内のデータをロック(暗号化)して使用不能にし、それを人質にして身代金(ransom)を要求するマルウェアのこと
なお、受信側として迷惑メール対策を進める方法については、以下のページで詳しく解説しています。
近年、企業・団体でもなりすましメールの被害が深刻化している
昨今、一般消費者だけでなく、企業・団体においても詐欺メール(なりすましメール)の被害が急増しています。
その一因に、多様な手法でなりすましメールが送信されている現状があります。
今回はなりすましメールの代表的な手法で、深刻な被害が発生している、ビジネスメール詐欺・標的型攻撃メール・Emotetの3種を紹介します。
その一因に、多様な手法でなりすましメールが送信されている現状があります。
今回はなりすましメールの代表的な手法で、深刻な被害が発生している、ビジネスメール詐欺・標的型攻撃メール・Emotetの3種を紹介します。
1.ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC、Business Email Compromise)とは、取引先の企業などになりすましたメールを送信して金銭や機密情報をだましとる手法のことです。
たとえば普段の取引先になりすまして、「振込先の口座が変更になりましたので、今後はこちらに料金を振り込んでください」などのメールを送信して、金銭をだましとるのが典型的な手口です。
過去には日本の大手航空会社において、偽の請求書をメールで送信されて、担当者が3.7億円もの金額を偽口座に送金してしまった事件も発生しています。
参考:JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害(日経クロステック)
たとえば普段の取引先になりすまして、「振込先の口座が変更になりましたので、今後はこちらに料金を振り込んでください」などのメールを送信して、金銭をだましとるのが典型的な手口です。
過去には日本の大手航空会社において、偽の請求書をメールで送信されて、担当者が3.7億円もの金額を偽口座に送金してしまった事件も発生しています。
参考:JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害(日経クロステック)
2.標的型攻撃メール
標的型攻撃メールとは、特定の企業・団体にターゲットを絞ってメールを送信し、機密情報の流出やマルウェアの感染を狙う手法のことです。
標的型攻撃メールでは、取引のある企業・組織になりすまして、「先日送付した資料に誤りがありました。訂正した資料を添付して送付しますので、ご確認ください」などの内容が書かれたメールを送信します。
標的型攻撃メールでは、取引のある企業・組織になりすまして、「先日送付した資料に誤りがありました。訂正した資料を添付して送付しますので、ご確認ください」などの内容が書かれたメールを送信します。
そこで受信側がメールに添付されたファイルを開くと、ランサムウェアなどのマルウェアに感染して、金銭や個人情報・機密情報をだまし取られるわけです。
2016年には日本国内の大手旅行代理店が、標的型攻撃メールの被害に遭い、793万人もの顧客情報が流出する事態になりました。
出典:標的型攻撃メールの被害事例|手口の種類や最新事例・文面・見分け方を紹介(GMOインターネットグループ)
3.Emotet
迷惑メール経由で、マルウェア・Emotet(エモテット)の被害が日本企業で拡大
Emotetとは、主にメール経由で感染を広げているマルウェアの一種です。
Emotetの感染が企業を中心に拡大している理由は、以下の2点にあります。
Emotetの感染が企業を中心に拡大している理由は、以下の2点にあります。
- 実際にメールのやり取りをした履歴のある取引先・顧客の差出人名でメールが届くので、受信者側の警戒心が緩みやすい
- 一度感染すると、他のユーザーにもなりすましメールをばらまく仕組みが備わっている
Emotetは取引先や顧客にメールでなりすまして、被害を拡大させていく
Emotet(エモテット)が感染を拡大させる流れは、以下のとおりです。
【Emotetが感染を広げる流れ】
- 実際の取引先や顧客などになりすましたメールに添付された、WordやExcelなどのファイルをユーザーが開くことで、Emotetに感染
- Emotetがメールデータやアドレス帳内のメールアドレスなどの情報を盗み取る
- 次は新しく感染したユーザーになりすましたメールを、そのユーザーの取引先や顧客などのメールアドレス宛てに攻撃者がばらまく
以上のような流れで、Emotetは感染を広げています。
たとえ自分がEmotetに感染していなくても、自分の名前を騙った迷惑メールが取引先や顧客に送信されるリスクがある
また、Emotetは感染者のアドレス帳内のメールデータを盗み取りますので、その中に登録されている者の名前・メールアドレスを騙ってメールを送りつけてくることもあります。
つまり、みなさんの会社が現在Emotetに感染していなかったとしても、過去にメールのやり取りをしたことのある人がEmotetに感染すれば、自社を騙った迷惑メールが他の人に送られる可能性があるということです。
逆に、見知った取引先や顧客の名前でなりすましメールがみなさんに届いたとしても、その方がEmotetに感染しているとは限りません。
その方もEmotetの感染者から流出したメールデータを、悪用されているだけかもしれないからです。
以上のEmotet感染の流れについては、インターネットによる不正アクセス被害に対応するために設立された情報提供機関・JPCERT/CC(ジェーピーサートコーディネーションセンター)が、図解付きでより詳しく解説していますのでよろしければこちらの動画もご覧ください。
つまり、みなさんの会社が現在Emotetに感染していなかったとしても、過去にメールのやり取りをしたことのある人がEmotetに感染すれば、自社を騙った迷惑メールが他の人に送られる可能性があるということです。
逆に、見知った取引先や顧客の名前でなりすましメールがみなさんに届いたとしても、その方がEmotetに感染しているとは限りません。
その方もEmotetの感染者から流出したメールデータを、悪用されているだけかもしれないからです。
以上のEmotet感染の流れについては、インターネットによる不正アクセス被害に対応するために設立された情報提供機関・JPCERT/CC(ジェーピーサートコーディネーションセンター)が、図解付きでより詳しく解説していますのでよろしければこちらの動画もご覧ください。
参考動画:日本中で感染が広がるマルウェアEmotet(JPCERT/CC)
昨今、大企業・中小企業を問わずEmotetの被害が拡大している
Emotetの手口は巧妙化が進んでおり、多数の日本企業が被害にあっている
Emotetは感染を爆発的に拡げており、名だたる大企業から中小企業に至るまで多数の会社が被害に遭遇しています。
参考動画:【特集】ネット世界の"新型"ウイルスにも注意!正規のメール装う『Emotet』テレワークによる脆弱性にも警戒を(2021年2月18日・MBSニュース)
また、以前はEmotetを含めたなりすましメールの文面はすこしおかしな日本語であることが多く、それゆえに騙されるユーザーが少なく、感染を防げていた面もありました。
しかし、昨今のなりすましメールはかなり自然な日本語になっており、見分けるのが難しくなっていることも被害が拡大している一因です。
また、実際に顧客や取引先とやり取りしたことのあるメールの件名に「RE:」を付けて、返信をよそおうという手法も報告されています。
参考ページ:最恐ウイルス「エモテット」猛威◆再燃の裏側とロシアの影(時事通信社)
参考ページ:Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて(独立行政法人 情報処理推進機構)
Emotet(エモテット)の手口は非常に巧妙化しており、大企業だけでなく中小企業の被害も広がっているため、企業の規模にかかわらず迷惑メール対策が必須です。
しかし、昨今のなりすましメールはかなり自然な日本語になっており、見分けるのが難しくなっていることも被害が拡大している一因です。
また、実際に顧客や取引先とやり取りしたことのあるメールの件名に「RE:」を付けて、返信をよそおうという手法も報告されています。
参考ページ:最恐ウイルス「エモテット」猛威◆再燃の裏側とロシアの影(時事通信社)
参考ページ:Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて(独立行政法人 情報処理推進機構)
Emotet(エモテット)の手口は非常に巧妙化しており、大企業だけでなく中小企業の被害も広がっているため、企業の規模にかかわらず迷惑メール対策が必須です。
自社になりすましたメールが、お客様や取引先にばらまかれるリスクがある
なりすましメールの代表例であるフィッシング詐欺は、わずか4年間で20倍以上まで急増
ビジネスメール詐欺(BEC)・標的型攻撃メール・Emotetなど、現在は多様な手段でなりすましメールが送信されています。
なりすましメールの代表例であるフィッシング詐欺の報告件数は、2019年が5万件程度だったのに対して、2023年には120万件にまで膨れ上がりました。わずか4年間でフィッシング詐欺は20倍以上にまで増加しているわけです。
出典:詐欺の報告件数が4年で20倍に急増した理由の1つは意外にも……(ASCII.jp)
近年でなりすましメールの件数は爆発的に増加していますので、自社も被害に遭わないように十分注意しなければなりません。
なりすましメールの代表例であるフィッシング詐欺の報告件数は、2019年が5万件程度だったのに対して、2023年には120万件にまで膨れ上がりました。わずか4年間でフィッシング詐欺は20倍以上にまで増加しているわけです。
出典:詐欺の報告件数が4年で20倍に急増した理由の1つは意外にも……(ASCII.jp)
近年でなりすましメールの件数は爆発的に増加していますので、自社も被害に遭わないように十分注意しなければなりません。
顧客や取引先を守るためにも、自社になりすましたメールへの対策は必須
さらに、個人ならともかく、企業・団体などの法人においては、単に自分たちがなりすましメールの被害に遭わないように気を付けるだけでは不十分です。
なぜなら自分たちの会社・団体の名前を騙った詐欺メール・迷惑メールが、顧客や取引先にばらまかれる危険性があるからです。
お客様・取引先が詐欺に遭ったり、マルウェアに感染したりする危険性があるため、自社のなりすましを防止する対策も実施しなければなりません。
なぜなら自分たちの会社・団体の名前を騙った詐欺メール・迷惑メールが、顧客や取引先にばらまかれる危険性があるからです。
お客様・取引先が詐欺に遭ったり、マルウェアに感染したりする危険性があるため、自社のなりすましを防止する対策も実施しなければなりません。
Emotetやサプライチェーン攻撃によって、中小企業や小規模な団体であっても、なりすまされるリスクが高まっている
Emotetによってメールデータを取得されると、企業の規模に関係なく、なりすましメールがばらまかれる
「詐欺メール・迷惑メールでなりすまされる会社・団体は、公官庁・地方自治体や大手ネットショップ、大手運送会社とかでしょ? ウチの会社は小さいし有名でもないから、なりすまされることなんてないよ」と考えている方もいるかもしれません。
しかしEmotetの脅威が存在する現代においては、どんな小さな会社であってもなりすましの被害を受ける可能性が常に存在します。
先述したとおり、Emotetは感染者のアドレス帳内のメールデータを盗み取って、その中に登録されている者の名前・メールアドレスを騙ってメールを送りつけてくることもあります。
つまり、自社がEmotetに感染しなくても、過去にメールのやり取りをしたことのある人がEmotetに感染すれば、自分たちの会社・団体の名前を騙った詐欺メール・迷惑メールが顧客や取引先に送られかねないのです。
しかしEmotetの脅威が存在する現代においては、どんな小さな会社であってもなりすましの被害を受ける可能性が常に存在します。
先述したとおり、Emotetは感染者のアドレス帳内のメールデータを盗み取って、その中に登録されている者の名前・メールアドレスを騙ってメールを送りつけてくることもあります。
つまり、自社がEmotetに感染しなくても、過去にメールのやり取りをしたことのある人がEmotetに感染すれば、自分たちの会社・団体の名前を騙った詐欺メール・迷惑メールが顧客や取引先に送られかねないのです。
サプライチェーン攻撃では、本命のターゲットに攻撃を仕掛けるため、取引先の中小企業になりすますケースがある
さらにサプライチェーン攻撃の観点から考えると、たとえ中小企業であっても自社になりすまされて、ビジネスメール詐欺や標的型攻撃メールを送られる可能性もあります。
サプライチェーン攻撃とは、ターゲットとする企業に直接攻撃を仕掛けるのではなく、その会社と取引をしている会社を踏み台にして攻撃をおこなう手法のことです。
現在は大企業のセキュリティ対策が強化されていますので、攻撃者といえどもなかなか簡単には侵入したり情報を盗んだりできません。
そこで攻撃者はどうするかといえば、「その大企業に部品をおろしていたりサービスを提供していたりする中小企業があるな。そういう会社はセキュリティ対策が弱いからこっちを攻めよう」と考えるわけです。
具体的には、ターゲットの大企業と取引をしている中小企業のメールアドレスなどの情報を盗み取り、その中小企業になりすまして詐欺メールを送るという手法が存在します。
また、なりすましメールに添付したファイルにランサムウェアを仕込み、それをクリックさせてターゲット企業に感染させる手口も一般的です。
以上のように、たとえ中小企業や小規模の団体であっても、なりすまされるリスクは十分に存在します。
サプライチェーン攻撃とは、ターゲットとする企業に直接攻撃を仕掛けるのではなく、その会社と取引をしている会社を踏み台にして攻撃をおこなう手法のことです。
現在は大企業のセキュリティ対策が強化されていますので、攻撃者といえどもなかなか簡単には侵入したり情報を盗んだりできません。
そこで攻撃者はどうするかといえば、「その大企業に部品をおろしていたりサービスを提供していたりする中小企業があるな。そういう会社はセキュリティ対策が弱いからこっちを攻めよう」と考えるわけです。
具体的には、ターゲットの大企業と取引をしている中小企業のメールアドレスなどの情報を盗み取り、その中小企業になりすまして詐欺メールを送るという手法が存在します。
また、なりすましメールに添付したファイルにランサムウェアを仕込み、それをクリックさせてターゲット企業に感染させる手口も一般的です。
以上のように、たとえ中小企業や小規模の団体であっても、なりすまされるリスクは十分に存在します。
自社になりすました迷惑メールが送信されるデメリット
攻撃者によって、自社になりすました迷惑メール・詐欺メールが送信されると多大なデメリットが発生します。
信頼性の低下
自分たちの会社・団体の名前を騙って詐欺メール・迷惑メールが顧客や取引先に送信されるわけですから、まず信頼性が大きく低下してしまいます。
ブランドイメージは低下し、顧客満足度にも悪影響があるでしょう。
ブランドイメージは低下し、顧客満足度にも悪影響があるでしょう。
お客様・取引先が詐欺メール・迷惑メールの被害に遭う
自社のお客様や取引先が、詐欺やマルウェアの被害に遭うリスクが高まるのも、自社になりすまされた場合の大きなデメリットです。
とりわけ取引先が、先述したサプライチェーン攻撃やランサムウェアの被害に遭った場合は、損害が深刻なものになりかねません。
「この下請けの会社がきちんとなりすましメール対策をしてくれていれば、私たちの会社が被害に遭うこともなかったのに…」という悪感情が取引先に生まれるのもやむをえないでしょう。
とりわけ取引先が、先述したサプライチェーン攻撃やランサムウェアの被害に遭った場合は、損害が深刻なものになりかねません。
「この下請けの会社がきちんとなりすましメール対策をしてくれていれば、私たちの会社が被害に遭うこともなかったのに…」という悪感情が取引先に生まれるのもやむをえないでしょう。
クレームなどの電話対応に時間を取られる
知らないところで自社の名前を騙った詐欺メールや迷惑メールがばらまかれるのですから、お客様や取引先から「このメールは何なの?」という確認の電話が押し寄せることもありえます。
詐欺メール・迷惑メールを送られたわけですから、なかにはクレームに近いお怒りの電話もあるでしょう。
そのため電話対応にも著しい労力や精神的な負担が発生してしまいます。
詐欺メール・迷惑メールを送られたわけですから、なかにはクレームに近いお怒りの電話もあるでしょう。
そのため電話対応にも著しい労力や精神的な負担が発生してしまいます。
Gmailなどのメールサービスではなりすましメールを抑制するため、ガイドラインが強化された
ここまで説明してきたように、なりすましメールの脅威は深刻さを年々増しています。
それに対抗するため、Gmailなどのサービスではメール送信のガイドラインを大幅に強化しました。
このガイドラインに違反した場合、送信したメールがエラー扱いになったり、受信拒否されたりする可能性があります。
※なお、以下のガイドラインは個人間のメールのやり取りではなく、企業や団体から不特定多数へ送信される商用メールを対象にするとされています。
たとえばGmailのガイドラインには以下のような項目が掲げられています。
- SPFもしくはDKIMの設定(いずれも正しい送信者か否かを検証する仕組み。詳しくは後述)
- メールの送信がSSL(正確にはTLS)によって暗号化・保護されている
また、1日に5000通以上のメールをGmail宛てに送信している企業には、「SPF・DKIM・DMARCをすべて設定すること」などの、より厳しい制約が課されます。
※なお、SSLについては以下のページで詳しく解説していますので、こちらもご覧ください。
なりすましメール対策を実施しないと、自社が送信したメールがお客様や取引先・求職者に届かなくなるリスクが高まっている
以上のようなGmailなどのガイドラインをクリアしていないと、お客様や取引先・求職者などに自社が送信したメールが迷惑メールと判断されたり、受信拒否されたりするリスクが高まっています。
自社のメールが先方に届かないと、必要な情報を伝えることができず、ビジネスに大きな支障が発生してしまいます。
迷惑メールの被害が急拡大するなか、これらのガイドラインは今後さらに厳しくなっていくとも予想されるため、なりすましメール対策を一刻も早く進める必要があります。
自社のメールが先方に届かないと、必要な情報を伝えることができず、ビジネスに大きな支障が発生してしまいます。
迷惑メールの被害が急拡大するなか、これらのガイドラインは今後さらに厳しくなっていくとも予想されるため、なりすましメール対策を一刻も早く進める必要があります。
送信ドメイン認証とは?
自社へのなりすましメールを抑制する有効な手段のひとつが、送信ドメイン認証です。
送信ドメイン認証とは、正しい送信者からメールが送られたかどうかを受信者側が検証できるようにすることで、なりすましメールを防止する技術です。
人の目では判別が難しいなりすましメールも、送信ドメイン認証を設定すれば検証が可能になり、フィッシング詐欺やEmotetなどの被害を抑制できます。
また、Gmailなどのメールサービスにおいて、迷惑メール扱いや受信拒否される確率が低下するため、メールを送信したときの到達率アップにもつながるでしょう。
以上のように、送信ドメイン認証は自社へのなりすましを防止し、メールの到達率もアップする有益なセキュリティ対策なのです。
主要な送信ドメイン認証に、SPF・DKIM・DMARCの3つがあります。
それぞれの特徴を初心者にもわかりやすく紹介します。
※なお、ドメインとはインターネット上の住所のようなもので、メールのやり取りやホームページのURLなどに利用されています。「tarou-yamada@ds-brand.jp」というメールアドレスがあるとき、@の後ろの「ds-brand.jp」の部分がドメインになります。
ドメインについて詳しく知りたい方は、以下のページをご覧ください。
参考:ドメインとは? その意味と企業ホームページとの関係を簡単に解説!
送信ドメイン認証とは、正しい送信者からメールが送られたかどうかを受信者側が検証できるようにすることで、なりすましメールを防止する技術です。
人の目では判別が難しいなりすましメールも、送信ドメイン認証を設定すれば検証が可能になり、フィッシング詐欺やEmotetなどの被害を抑制できます。
また、Gmailなどのメールサービスにおいて、迷惑メール扱いや受信拒否される確率が低下するため、メールを送信したときの到達率アップにもつながるでしょう。
以上のように、送信ドメイン認証は自社へのなりすましを防止し、メールの到達率もアップする有益なセキュリティ対策なのです。
主要な送信ドメイン認証に、SPF・DKIM・DMARCの3つがあります。
それぞれの特徴を初心者にもわかりやすく紹介します。
※なお、ドメインとはインターネット上の住所のようなもので、メールのやり取りやホームページのURLなどに利用されています。「tarou-yamada@ds-brand.jp」というメールアドレスがあるとき、@の後ろの「ds-brand.jp」の部分がドメインになります。
ドメインについて詳しく知りたい方は、以下のページをご覧ください。
参考:ドメインとは? その意味と企業ホームページとの関係を簡単に解説!
SPFとは?
SPF(Sender Policy Framework、エスピーエフ)とは、IPアドレスを利用することで、正しい送信元からメールが送られたかどうかを受信者側が判別できるようにする技術のことです。
IPアドレス…どのコンピューターが情報を発信・受信したのかを示す識別番号
SPFの仕組みを簡単に説明します。
IPアドレス…どのコンピューターが情報を発信・受信したのかを示す識別番号
SPFの仕組みを簡単に説明します。
SPFを利用する送信者は、「このドメインの、正しい送信元のIPアドレスはこれですよ」という情報をDNSサーバーにあらかじめ登録したうえでメールを送信します。
ちなみに、このときにDNSサーバーに登録する情報のことをSPFレコードと呼びます。
DNSサーバー…ドメインとIPアドレスを紐づける役割のサーバー
そしてメールの受信者側は、受け取ったメールの送信元メールアドレスに記載されているドメインのDNSサーバーに問い合わせて、そのメールの送信元のIPアドレスが、登録されているIPアドレスと一致するか否かを確認します。
そこでIPアドレスが一致した場合は、正しい送信元から送られたメールであることが確認できたことになります。
反対にそこでIPアドレスが一致しないと、正規の送信元から送られておらず、ドメインがなりすまされていることがわかります。これによって受信者側は正当でないメールを迷惑メールとして振り分けることができます。
これがSPFの仕組みです。
SPFは2003年頃に開発された手法で、もっとも基礎的な送信ドメイン認証です。
しかし、昨今ではSPFだけでは防げない迷惑メール・詐欺メールが増加しているため、後述するDKIMやDMARCを併せて導入することが推奨されています。
※なお、サーバーやホスティングについての基礎知識を知りたい方は以下のページをご覧ください。
DKIMとは?
DKIM(DomainKeys Identified Mail、ディーキム)とは電子署名を利用して、メールの送信元が正しいかや途中で改ざんされていないかを、受信者側で判別できるようにする技術のことです。
DKIMの仕組みはSPFとほぼ同じです。SPFがIPアドレスを検証に用いていたのに対し、DKIMでは電子署名を利用する点が異なります。
DKIMの仕組みはSPFとほぼ同じです。SPFがIPアドレスを検証に用いていたのに対し、DKIMでは電子署名を利用する点が異なります。
DKIMでは、まずメールの送信者がDNSサーバーに公開鍵を登録します。
その後、送信者が送るメールには電子署名(秘密鍵)が自動的に付与されます。
そしてメールの受信者は、受け取ったメールの送信元メールアドレスに記載されているドメインのDNSサーバーに問い合わせて公開鍵をもらって、署名を照合します。
これによって正しい送信元からメールが送られたかどうかや、メールの内容が改ざんされていないかをチェックできます。
これがDKIMの仕組みです。
SPFではできなかった、メールの改ざんをチェックできる点が、DKIMの大きなメリットです。
その後、送信者が送るメールには電子署名(秘密鍵)が自動的に付与されます。
そしてメールの受信者は、受け取ったメールの送信元メールアドレスに記載されているドメインのDNSサーバーに問い合わせて公開鍵をもらって、署名を照合します。
これによって正しい送信元からメールが送られたかどうかや、メールの内容が改ざんされていないかをチェックできます。
これがDKIMの仕組みです。
SPFではできなかった、メールの改ざんをチェックできる点が、DKIMの大きなメリットです。
SPF・DKIMだけでは、万全のなりすましメール対策とはいえない
Eメールは封筒(エンベロープ)と便箋の2種類の情報で構成されている
ここまで紹介してきたようなSPF・DKIMを活用すれば、自社になりすました迷惑メール・詐欺メールによる被害を抑制できます。
しかし実はSPF・DKIMだけでは防げない、なりすましメールも存在します。
どのようななりすまし手法なのかを理解するための前提として、まずは手紙を送るプロセスにたとえてメールの仕組みを説明します。
みなさんが手紙を送るときは、差出人や本文を書いた便箋を封筒に入れた状態で投函しますよね?
普段は意識していないと思いますが、実はこの「封筒」にあたるものがメールにも存在しています。
それがエンベロープ(封筒)情報と呼ばれるものです。
エンベロープ情報には差出人や宛先などが記入されており、その情報をもとにメールは送受信されています。
これは配達員が手紙の中に書かれた差出人や宛先を確認するのではなく、封筒に書かれた情報をもとに郵便物を届けているのと同じです。
つまるところ、メールには差出人を示す情報が、便箋と封筒の2種類存在していることになります。それがヘッダーFromとエンベロープFromです。
ヘッダーFrom…便箋に書かれた差出人のようなもの。メールソフト上で表示される差出人は、このヘッダーFromを指している。ヘッダーFromは送信者が自由に設定できる。
エンベロープFrom…封筒に書かれた差出人のようなもの。メールにおいては、実際に送信した送信元の情報を示す。エンベロープFromは基本的にメールの受信者には表示されず、特定の手順を踏まないと確認できない。
なぜエンベロープFromとは全く異なるヘッダーFromを設定できるのか?
先述したように、ヘッダーFromは送信者側が自由に設定できます。そのため、エンベロープFromとは全く異なるメールアドレスを、ヘッダーFrom(つまりメールの受信者がすぐに確認できる差出人欄)に記載することも可能です。
なぜわざわざこのような、エンベロープ情報とヘッダー情報を別々にした仕組みになっているのでしょうか?
それはメールの送受信の柔軟性を高めるためです。
たとえば外部のメルマガ配信システムを利用して、顧客にメールを一斉配信する場合を想定してみましょう。この場合、実際の差出人はメルマガ配信システムになります。
しかしメルマガ配信システムが差出人になっているメールを突然送られると、顧客は「知らないところからいきなりメールが来た!」と困惑してしまうでしょう。
しかしヘッダーFromに自社のメールアドレスを記載しておけば、顧客は「ああ、以前に商品を購入したことがある、あの会社からメールが来たんだな」と安心してメールを開封できます。
メールにおいて、エンベロープ情報とヘッダー情報が分離されていることで、顧客にわかりやすいメール配信が可能になるのです。
また、社会人なら誰もが使用したことがある、メールのBccも実はこのエンベロープ情報とヘッダー情報の分離を利用しています。
Bccに設定したメールアドレスはエンベロープTo(封筒の宛先)に入力されており、ヘッダーTo(便箋の宛先)には入力されていません。
これにより、メールの受信者にはBccに設定された他の宛先を見せない状態で送信することが可能になっています。
エンベロープ情報とヘッダー情報の仕組みを悪用して、なりすましメールが送信されることがある
以上のように、エンベロープ情報とヘッダー情報が分離されているおかげで、私たちはメルマガ配信システムやBccを利用できるわけですが、この仕組みを悪用しているのがなりすましメールです。
ヘッダーFromの情報は送信者が自由に設定できるため、ヘッダーFromの情報を他の会社や組織に偽装してメールを送ることができます。
そして、このヘッダーFromの情報が偽装されている場合、SPFやDKIMのみでは看破することができません。
たとえば、以下のようにヘッダーFromが偽装されたなりすましメールがあるとします。
エンベロープFrom:fake@ liar.co.jp
ヘッダーFrom:tarou-yamada@ds-brand.jp
このとき、エンベロープFromのfake@ liar.co.jpは、攻撃者がフィッシング詐欺のために準備した送信元メールサーバーから送られるとします。
このフィッシング詐欺用のメールサーバーやDNSサーバーに、攻撃者があえてSPF・DKIMを設定していたらどうなるでしょうか?
SPFはエンベロープFromの認証しかしないので、「SPFはパスしている」と受信者側には表示されます。そして受信者が開くメールのヘッダーFromには、攻撃者が偽装した「tarou-yamada@ds-brand.jp」のメールアドレスが表示されます。
つまり、これによって、実際にはフィッシング詐欺用のメールアドレス(fake@ liar.co.jp)がSPF認証をパスしているだけにもかかわらず、ヘッダーfromの「tarou-yamada@ds-brand.jp」が正しいと認証されたように受信者側には見えてしまいます。
DKIMについてもSPFと同じく、ヘッダーFromの完全な認証はできないので、偽装は見抜けません。
DKIMについてもSPFと同じく、ヘッダーFromの完全な認証はできないので、偽装は見抜けません。
以上のような、ヘッダーFromのメールアドレスなりすましの対策となるのがDMARCです。
これから具体的に紹介します。
以上のような、ヘッダーFromのメールアドレスなりすましの対策となるのがDMARCです。
これから具体的に紹介します。
DMARCとは?
DMARC(Domain-based Message Authentication-Reporting and Conformance、ディーマーク)とは、SPF・DKIMの認証結果を利用して、より精度を高めたなりすましメール判定を実施する技術のことです。
DMARCでは、SPFやDKIMで認証したドメイン(エンベロープFromのドメイン)と、ヘッダーFromのドメインが一致しているかを検証します。
これによってヘッダーFromのなりすましを検証結果できるのが、DMARCの大きなメリットです。
また、DMARCでは検証結果によって、不正なメールをどう取り扱うかについて、送信者側がポリシーを指定できるのも特長です。
【DMARCで指定できる、不正なメールの処理方法】
- N none…何もしない 送信者側からは何もせず、受信者側の取り扱いに任せる
- Q quarantine…隔離する 迷惑メールボックスにメールを入れる。
- R reject…拒否する 迷惑メールにも入れず、メールを削除する
これまではSPFやDKIMにパスしなかったメール(迷惑メールの可能性が高い)も、受信者側の設定によっては迷惑メールとして取り扱われないことも多く、それが被害を招いている側面がありました。
しかしDMARCでは、受信者の設定によらず、送信者側が危険性の高いメールは隔離・削除できるので、なりすまし被害を大きく抑制できます。
ただしDMARCは誤判定をすることもあるので、正しかったはずのメールが迷惑メールとして隔離されたり、削除されたりする可能性もあります。
そのため最初はポリシーをnone(何もしない)に設定しておき、誤判定が頻出していないかを一定期間チェックしたうえで、quarantine(隔離する)やreject(拒否する)に引き上げていくとよいでしょう。
なお、ポリシーがnone(何もしない)の状態でも、ヘッダーFromとエンベロープFromが合致せずにDMARCがパスしなかった場合は、受信者側にその情報が伝わります。
※受信者側がGmailなどのDMARC対応のメールサービスを利用している場合のみ。
そのため、なりすましメールを受信者が迷惑メールフォルダーに振り分けやすくなったり、自社が送るメールの信頼性を高めたりする効果が期待できます。
しかしDMARCでは、受信者の設定によらず、送信者側が危険性の高いメールは隔離・削除できるので、なりすまし被害を大きく抑制できます。
ただしDMARCは誤判定をすることもあるので、正しかったはずのメールが迷惑メールとして隔離されたり、削除されたりする可能性もあります。
そのため最初はポリシーをnone(何もしない)に設定しておき、誤判定が頻出していないかを一定期間チェックしたうえで、quarantine(隔離する)やreject(拒否する)に引き上げていくとよいでしょう。
なお、ポリシーがnone(何もしない)の状態でも、ヘッダーFromとエンベロープFromが合致せずにDMARCがパスしなかった場合は、受信者側にその情報が伝わります。
※受信者側がGmailなどのDMARC対応のメールサービスを利用している場合のみ。
そのため、なりすましメールを受信者が迷惑メールフォルダーに振り分けやすくなったり、自社が送るメールの信頼性を高めたりする効果が期待できます。
なりすましメール対策の送信ドメイン認証(SPF・DKIM・DMARC)は早急に導入すべき
ここまで、なりすましメールの被害や送信ドメイン認証(SPF・DKIM・DMARC)について解説してきました。
今後も、ビジネスメール詐欺(BEC)・標的型攻撃メール・Emotetなどの多様な手法で、なりすましメールの数は増大していくと思われます。
Emotetなどで入手したメールアドレス・社名を利用して、手当たり次第に迷惑メール・詐欺メールをばらまく手法が横行しているため、大企業のみならず中小企業や小さな団体であっても、自社になりすまされるリスクが急激に増加しています。
また、送信ドメイン認証に対応していないとGmailなどのメールサービスでは、迷惑メール判定されたり受信拒否されたりするリスクが高まっているので、お客様や取引先・求職者に情報を届けられなくなってしまいます。
今後もGmailなどのガイドラインは厳しくなっていくことが予想されていますので、早急に送信ドメイン認証を導入するよう、検討してみてください。
なお、弊社のCMS(ホームページを簡単に作成・運営できるシステム)・おりこうブログでは、SPF・DMARCなどの送信ドメイン認証に対応したメールアドレスをお客様に提供しております。
また、Gmailのガイドラインにも掲げられている、メールの送受信のSSL(TLS)対応が可能なプランもご用意しています。
メールの送信ドメイン認証対応にあわせて、ホームページを開設・リニューアルしたいという方は、ぜひ以下から詳細をご覧ください。
今後も、ビジネスメール詐欺(BEC)・標的型攻撃メール・Emotetなどの多様な手法で、なりすましメールの数は増大していくと思われます。
Emotetなどで入手したメールアドレス・社名を利用して、手当たり次第に迷惑メール・詐欺メールをばらまく手法が横行しているため、大企業のみならず中小企業や小さな団体であっても、自社になりすまされるリスクが急激に増加しています。
また、送信ドメイン認証に対応していないとGmailなどのメールサービスでは、迷惑メール判定されたり受信拒否されたりするリスクが高まっているので、お客様や取引先・求職者に情報を届けられなくなってしまいます。
今後もGmailなどのガイドラインは厳しくなっていくことが予想されていますので、早急に送信ドメイン認証を導入するよう、検討してみてください。
なお、弊社のCMS(ホームページを簡単に作成・運営できるシステム)・おりこうブログでは、SPF・DMARCなどの送信ドメイン認証に対応したメールアドレスをお客様に提供しております。
また、Gmailのガイドラインにも掲げられている、メールの送受信のSSL(TLS)対応が可能なプランもご用意しています。
メールの送信ドメイン認証対応にあわせて、ホームページを開設・リニューアルしたいという方は、ぜひ以下から詳細をご覧ください。
この記事を書いた人
岡山 幸太郎
株式会社ディーエスブランド Webマーケター
ディーエスブランド入社後、営業を経験したのち自社サイトやお客様サイトのWebディレクションに携わる。現在はSEO(検索エンジン最適化)やコンテンツマーケティングなど、Webにおける集客分野を担当。また、Webセミナー講師としても活動中。
Webサイト運用やSEOに関するお役立ち情報を一括ダウンロードできます。
国産Webサイトサービス満足度No.1のおりこうブログで、自社サイトを開設・リニューアル!
- 「会社・団体のWebサイトを開設・リニューアルしたいけれど、あまり知識がないのでどうしたらいいかわからない…」
- 「今のWebサイトでは情報を自由に更新・追加できないので困っている…」
おりこうブログはレビューサイト「ITreview」において、ホームページ制作部門で顧客満足度NO.1や、「ITreview Best Software in Japan」のTOP50に選定されています。
初回は日本全国に配置された担当者が訪問してWebサイトの編集方法をレクチャーするプランもありますので、パソコン・Webが苦手な方でも安心です。
みなさまのお問い合わせの獲得や売上げアップをサポートしますので、まずは以下から詳細をご覧ください。
