高まるサプライチェーン攻撃のリスク、なりすましメール対策で対処を
2024年6月21日(金)10時15分 マイナビニュース
●
相次いで報じられるサイバー攻撃を踏まえ、多くの企業が技術や組織、従業員教育などさまざまな側面から自社のセキュリティ対策強化に取り組んでいるでしょう。しかし、一つ大きな死角が残っています。サプライチェーンを構成する取引先やグループ企業です。
当たり前ですが、自社だけで事業に必要なすべての原材料や部品、あるいはそれらを管理するシステムや人的リソースをそろえられるような企業など存在しません。市場の中で何らかの形でほかの企業に依存し、関わり合うことによってはじめてビジネスは成り立ちます。
特にデジタル化が進む現在では、メールやクラウドサービス、ソフトウェアを介して取引先とつながることで、より効率的な業務が実現されています。昔ながらの閉域網でつながっていることも少なくないでしょう。ですが、もしその一角をなす企業や拠点のどこかのセキュリティが甘ければ、そこから侵害を受け、自社にも大きな被害が及んでしまいます。
実際にこの数年、取引先がまず狙われ、その余波を受けて自社システムもランサムウェアに感染したり、業務に大きな影響を受けてしまう「サプライチェーン攻撃」が発生したりしています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 組織編」では、2019年以降6年連続で「サプライチェーンの弱点を悪用した攻撃」が上位にランクインしているほどです。
さまざまなレベルで展開される「サプライチェーン攻撃」
サプライチェーン攻撃とは文字通り、サプライチェーンのつながりに着目した攻撃手法といえるでしょう。
これまでもしばしば「セキュリティは弱いところから破られる」と言われてきました。サプライチェーン攻撃はその原則を、企業内だけでなくサプライチェーン全体に適用したものといえるかもしれません。
セキュリティ対策を一通り済ませた企業に正面から押し入ろうと試みるのではなく、そことつながりを持ち、比較的対策の行き届いていない中堅・中小企業を侵害して踏み台に使ったり、取引を通して蓄積された「信頼」を悪用したりして、被害をもたらしています。
ここで言うサプライチェーンとは、原材料や部品供給でつながる厳密な意味での調達網だけにとどまらず、広く企業間のつながりと捉えることができます。
古くは、空調システムを経由して侵害を許し、最大で6000万件以上の個人情報漏洩につながった米Target社の事例に始まり、サプライチェーンを悪用した攻撃はたびたび報告されてきましたが、つながり方によって、さまざまな種類のサプライチェーン攻撃が行われています。
例えば、普段の業務で利用しているPCやスマートフォンなどのハードウェアに悪意ある部品を仕込まれる「ハードウェアサプライチェーン攻撃」は検知も対応も難しく、国の安全保障にも影響を及ぼしかねないと指摘されています。
また、業務やシステム管理に利用するアプリケーションやソフトウェア、さらにはそこに組み込まれているオープンソースソフトウェア(OSS)やライブラリなどにバックドアなどを組み込んで悪用する「ソフトウェアサプライチェーン攻撃」も、SolarWindsをはじめ多数の攻撃例が報告されています。
ほかにも、運用管理サービスなどを提供するマネージドサービスを提供する企業を侵害して多くの企業に影響を与える「サービスサプライチェーン攻撃」が発生しているなど、最近ではVPNアプライアンスの脆弱性を突いて取引のためのネットワークやメンテナンス用回線越し侵害するケースなど、さまざまなレベルで侵害が起こっています。
これを受け、非常に広い裾野のサプライチェーンを持つ自動車業界をはじめ、サプライチェーンセキュリティ強化に向けて独自のセキュリティガイドラインを定める動きも始まっています。
ビジネス上のつながりを悪用して多大な被害を引き起こすメール詐欺
こうしたサプライチェーン攻撃において、ビジネス上のつながりを悪用した攻撃、いわばビジネスサプライチェーン攻撃で最も頻繁に用いられる手段が「メール」です。
メールはサイバー攻撃全般でも悪用されてきましたが、特にサプライチェーン攻撃では、「普段やりとりしている会社」「見知った名前」をかたることで受信者をだまし、添付ファイルに仕込んだマルウェアを実行させたり、悪意あるサイトに誘導したりする手法として用いられてきました。いわゆる「フィッシングメール」「なりすましメール」です。
数年前に国内でも猛威を振るった「Emotet」は、サプライチェーンのつながりを用いたフィッシングメールの典型例でしょう。感染するとメールの内容やアドレスなどを盗み取り、メールスレッドへの返信形式を装って本来のやりとりの中に割り込むことで相手に不審を抱かせず、多くの企業に感染を広げていきました。
また、Emotetのようにマルウェアや脆弱性を悪用せずに被害をもたらす手法もあります。それが「ビジネスメール詐欺」(BEC)やメールアカウントを乗っ取る「メールアカウント侵害」(EAC)です。
これらの詐欺では、ダークウェブで流通している認証情報を流用したり、マルウェアなど何らかの手段でメールアカウントを乗っ取ったりして、サプライチェーンの中でのやりとり、例えば調達や支払いに関するメールのやりとりを盗み見ます。その上で相手になりすましてしばらくやりとりを重ね、信頼を得た段階で「振込先の口座が変更になりました」といった話で被害者をだまして多額の金銭を盗み取るのです。ビジネスサプライチェーンに相乗りしているという意味で、これも広義のサプライチェーン攻撃に含まれると言っていいでしょう。
実は、フィッシングメールやビジネスメール詐欺、メールアカウント侵害といったメール詐欺による被害額は想像以上に甚大です。報道ではランサムウェアによる被害が目立ち、もちろん業務停止など影響は軽視できるものではありませんが、メール詐欺が直接もたらす被害は、FBIの調査によると年間約3360億円に上るほど大きくなっています(出典:FBIInternet Crime Report 2021)。
例えば海外では、プエルトリコ政府がBECの被害に遭い約40億円に上る金銭的被害を受けたケースがあります。また日本でも、大手新聞の海外子会社、自動車関連企業の海外子会社などで数十億円規模の被害が発生しました。
こうしたフィッシングメールやメール詐欺では、直接的に多額の金銭を詐取するだけでなく、認証に用いるクレデンシャル情報まで盗み取られることもあります。こうして盗み取られた認証情報は、より価値の高い情報を手に入れるため、ネットワーク侵害など別の攻撃やメール詐欺に芋づる式に悪用されていきます。
2023年、ビジネスメール詐欺の増加率が最も高かったのは日本
では、なぜ私たちはこうしたメールに引っかかってしまうのでしょうか。
ビジネスサプライチェーンの信頼を悪用するメール詐欺では、悪意ある添付ファイルやURLを用いないものも少なくありません。このため、既存のメールフィルタリングやウイルス対策ソフトをすり抜けてしまうことがあります。AIや機械学習技術の進展によって改善は期待できますが、やはり最後の防波堤はユーザーのリテラシーとなるでしょう。
しかし詐欺メールは、本来のやりとりをコピーしてもっともらしい文面を記してします。その上、送信元もなりすましされていることが多く、いくら注意を払ったとしても「絶対にだまされないようにする」のは不可能です。
プルーフポイントの調査「State of the Phish 2024」によると、2022年と比較して2023年にビジネスメール詐欺の増加率が最も高かったのは日本でした。以下、韓国、アラブ首長国連邦(UAE)が続いており、これまで言語バリアで守られていた国における、ビジネスメール詐欺の増加が目立ちます。生成AIの登場により、攻撃者が言語の壁を越えて、ビジネスメール詐欺を働くことが可能になったことが背景にあるといえるでしょう。
●
攻撃の糸口となるなりすましメールを見破る有効な対策「DMARC」と「BIMI」
そもそもメールは、いくつかの手口で送信者のなりすましが可能な仕組みです。メールソフト上に示される「表示名」の偽装に始まり、「o」と「0」など見た目の似た文字列を用いた類似ドメインを使う「タイプスクワッティング」、見た目は正しいメールアドレスに見せかけて返信先を偽装する「Reply-to偽装」、そして正規のメールアドレスに見せながら裏側では異なるアドレスから送信する「ドメインのなりすまし」などが代表的な手法です。
こうした複数の手法があるため、何か一つの対策を導入すればなりすましメールを見破ることができるという性質のものではありません。ユーザーのリテラシー向上のために継続的にトレーニングを実施したり、自社のドメインに似た類似ドメインを検索し、悪用される前に先んじてテイクダウンを行ったりと、さまざまな方面から取り組む必要があります。
中でも、ドメインのなりすましに対して有効な対策が、「DMARC」(Domain based Message Authentication Reporting and Conformance)と、それをベースにしてメールソフト・受信画面上にロゴを表示して正規のメールを判別しやすくする「BIMI」(Brand Indicators for Message Identification)です。
前述の通りメールでは、受信者が目にするメールアドレスは簡単に書き換えることができてしまいます。そこで、送信元のIPアドレスやドメイン名を宣言して検証する、SPFやDKIMといった「送信ドメイン認証」という技術によって、まったく別のメールシステムから送信されていることを確認できる仕組みが提唱され、特にSPFは広く普及してきました。ですが、攻撃者は、自らSPFやDKIMに対応することで、この仕組みをかいくぐるようになってきたのです。
DMARCはそれを克服するために提案された技術です。DMARCでは、SPFで認証しているドメイン(Envelope-From)と、メールのアプリ上で見えている送信元のドメイン(ヘッダー上の「From」)、あるいはDKIMで宣言されているドメインとが一致しているかどうかを確認します。この「アライメント」を取ることによって、なりすましメールかどうかを判断していきます。
さらに、本来のドメイン所有者が、「もし、私のところになりすましたメールを受け取ったらこうしてほしい」と宣言したポリシーに沿って、モニタリングしつつ配送したり、当該メールを隔離・削除したりといった対処を行います。
DMARCが提唱された当初は、「導入すると、正規のメールまで届かなくなるのではないか」といった懸念がありました。しかし実際には、設定によって、モニタリングしてDMARCレポートを届けるだけでメール配送に影響を及ぼさない形からスタートできます。また、DKIMの導入は敷居が高いという理由でDMARC対応をあきらめるケースも見られるが、実際にはSPFだけでも導入が可能です。
そして、この結果が得られるDMARCレポートを読み込むことで、「自社ではどんなシステムがどんなメールを送っているのか」を可視化し、情報システム部の管理下にないシャドーシステムを減らし、ガバナンスを効かせていくことが可能になります。
こうしてDMARCに対応し、レコードを宣言することによって、攻撃者に「ここはきちんとDMARCに対応しており、手強い、攻撃しにくい企業だ」と思わせることができます。いくらなりすましメールを送ってもターゲットに届かないのでは、攻撃者にとっても手間がかかるだけで無駄であり、モチベーションにつながりません。実際に、自社のドメインをかたったなりすましメールを、1カ月で3000万通と大幅に減らすことに成功した企業も出てきています。
逆に、DMARCを導入していない組織は、より狙われやすくなるということでもあります。現に、ロシアを拠点とするサイバー犯罪集団「Cosmic Lynx」は、なりすましが容易であることから、DMARCを実装していない組織をターゲットにしてメールアカウント乗っ取り詐欺を働き、多額の金銭を手に入れていました。
DMARCに対応し、なりすましメールを「排除する」という段階にまで達すると、今度はBIMIの活用も可能になります。BIMIは、DMARC認証をパスしたメールに、あらかじめ登録した企業やサービスのロゴを表示させることで、受信者が一目で正しいメールを見分けられるようにする仕組みです。
正しい送信元から送られたメールであることを証明することにより、開封率やブランド認知度に好影響が期待できると同時に、ロゴが付いていないメールは「なりすましである」と一目で判断でき、メール詐欺をより簡単に見分けられるようになります。
自社に、あるいは取引先になりすまして従業員を狙うメール詐欺を裁ち切り、サプライチェーン全体を守るという意味で、非常に効果の高い対策といえるでしょう。
自社につながる取引先全体を守るため、DMARCやBIMIの検討を
チャットやSNSなど多様な手段が登場した今でもなお、メールはビジネスに不可欠なコミュニケーションツールであり続けています。だからこそサイバー攻撃者もそれを悪用し、本丸がだめならば搦め手から、という具合に、企業につながるサプライチェーン全体の中で足がかりとなるところを求め、なりすましメールを用いて侵害を試みたり、多額の金銭をだまし取ったりしようとしています。
サプライチェーン対策というと、「取引先にチェックリストを送って対策を求める」といったアプローチが思い浮かぶかもしれません。しかし実はDMARC、そしてBIMIに対応することで、攻撃の最初の一歩であるなりすましメールをそもそも受信者の手元に届かないようにしたり、簡単に見破ったりする手段が提供できます。
すでに欧米では、法規制などで導入が義務化されていることもあって、多くの企業がDMARCを導入しています。日本では、2023年に日本政府がDMARCを政府統一基準の要件に加えたことや、一部企業がサプライチェーンリスク対策の基本として取引先企業にDMARC導入を求めたことにより、日本においてDMARCの導入が急速に進んでいます。
昨年は18カ国中、日本のDMARC導入率は最下位でしたが、最劣等生の座から脱却することができました。日経225企業におけるDMARC導入率は60%に増加したものの、いまだ欧米諸国に後れをとっているのが実情です。
自社を被害から守るだけでなく、自社のブランドも守り、ひいては自社につながる取引先や顧客を攻撃から守る手段として、DMARCやBIMIへの対応を検討してみてはいかがでしょうか。
増田 幸美 そうた ゆきみ 日本プルーフポイント株式会社 チーフ エバンジェリスト。 早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023受賞。 この著者の記事一覧はこちら
相次いで報じられるサイバー攻撃を踏まえ、多くの企業が技術や組織、従業員教育などさまざまな側面から自社のセキュリティ対策強化に取り組んでいるでしょう。しかし、一つ大きな死角が残っています。サプライチェーンを構成する取引先やグループ企業です。
当たり前ですが、自社だけで事業に必要なすべての原材料や部品、あるいはそれらを管理するシステムや人的リソースをそろえられるような企業など存在しません。市場の中で何らかの形でほかの企業に依存し、関わり合うことによってはじめてビジネスは成り立ちます。
特にデジタル化が進む現在では、メールやクラウドサービス、ソフトウェアを介して取引先とつながることで、より効率的な業務が実現されています。昔ながらの閉域網でつながっていることも少なくないでしょう。ですが、もしその一角をなす企業や拠点のどこかのセキュリティが甘ければ、そこから侵害を受け、自社にも大きな被害が及んでしまいます。
実際にこの数年、取引先がまず狙われ、その余波を受けて自社システムもランサムウェアに感染したり、業務に大きな影響を受けてしまう「サプライチェーン攻撃」が発生したりしています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 組織編」では、2019年以降6年連続で「サプライチェーンの弱点を悪用した攻撃」が上位にランクインしているほどです。
さまざまなレベルで展開される「サプライチェーン攻撃」
サプライチェーン攻撃とは文字通り、サプライチェーンのつながりに着目した攻撃手法といえるでしょう。
これまでもしばしば「セキュリティは弱いところから破られる」と言われてきました。サプライチェーン攻撃はその原則を、企業内だけでなくサプライチェーン全体に適用したものといえるかもしれません。
セキュリティ対策を一通り済ませた企業に正面から押し入ろうと試みるのではなく、そことつながりを持ち、比較的対策の行き届いていない中堅・中小企業を侵害して踏み台に使ったり、取引を通して蓄積された「信頼」を悪用したりして、被害をもたらしています。
ここで言うサプライチェーンとは、原材料や部品供給でつながる厳密な意味での調達網だけにとどまらず、広く企業間のつながりと捉えることができます。
古くは、空調システムを経由して侵害を許し、最大で6000万件以上の個人情報漏洩につながった米Target社の事例に始まり、サプライチェーンを悪用した攻撃はたびたび報告されてきましたが、つながり方によって、さまざまな種類のサプライチェーン攻撃が行われています。
例えば、普段の業務で利用しているPCやスマートフォンなどのハードウェアに悪意ある部品を仕込まれる「ハードウェアサプライチェーン攻撃」は検知も対応も難しく、国の安全保障にも影響を及ぼしかねないと指摘されています。
また、業務やシステム管理に利用するアプリケーションやソフトウェア、さらにはそこに組み込まれているオープンソースソフトウェア(OSS)やライブラリなどにバックドアなどを組み込んで悪用する「ソフトウェアサプライチェーン攻撃」も、SolarWindsをはじめ多数の攻撃例が報告されています。
ほかにも、運用管理サービスなどを提供するマネージドサービスを提供する企業を侵害して多くの企業に影響を与える「サービスサプライチェーン攻撃」が発生しているなど、最近ではVPNアプライアンスの脆弱性を突いて取引のためのネットワークやメンテナンス用回線越し侵害するケースなど、さまざまなレベルで侵害が起こっています。
これを受け、非常に広い裾野のサプライチェーンを持つ自動車業界をはじめ、サプライチェーンセキュリティ強化に向けて独自のセキュリティガイドラインを定める動きも始まっています。
ビジネス上のつながりを悪用して多大な被害を引き起こすメール詐欺
こうしたサプライチェーン攻撃において、ビジネス上のつながりを悪用した攻撃、いわばビジネスサプライチェーン攻撃で最も頻繁に用いられる手段が「メール」です。
メールはサイバー攻撃全般でも悪用されてきましたが、特にサプライチェーン攻撃では、「普段やりとりしている会社」「見知った名前」をかたることで受信者をだまし、添付ファイルに仕込んだマルウェアを実行させたり、悪意あるサイトに誘導したりする手法として用いられてきました。いわゆる「フィッシングメール」「なりすましメール」です。
数年前に国内でも猛威を振るった「Emotet」は、サプライチェーンのつながりを用いたフィッシングメールの典型例でしょう。感染するとメールの内容やアドレスなどを盗み取り、メールスレッドへの返信形式を装って本来のやりとりの中に割り込むことで相手に不審を抱かせず、多くの企業に感染を広げていきました。
また、Emotetのようにマルウェアや脆弱性を悪用せずに被害をもたらす手法もあります。それが「ビジネスメール詐欺」(BEC)やメールアカウントを乗っ取る「メールアカウント侵害」(EAC)です。
これらの詐欺では、ダークウェブで流通している認証情報を流用したり、マルウェアなど何らかの手段でメールアカウントを乗っ取ったりして、サプライチェーンの中でのやりとり、例えば調達や支払いに関するメールのやりとりを盗み見ます。その上で相手になりすましてしばらくやりとりを重ね、信頼を得た段階で「振込先の口座が変更になりました」といった話で被害者をだまして多額の金銭を盗み取るのです。ビジネスサプライチェーンに相乗りしているという意味で、これも広義のサプライチェーン攻撃に含まれると言っていいでしょう。
実は、フィッシングメールやビジネスメール詐欺、メールアカウント侵害といったメール詐欺による被害額は想像以上に甚大です。報道ではランサムウェアによる被害が目立ち、もちろん業務停止など影響は軽視できるものではありませんが、メール詐欺が直接もたらす被害は、FBIの調査によると年間約3360億円に上るほど大きくなっています(出典:FBIInternet Crime Report 2021)。
例えば海外では、プエルトリコ政府がBECの被害に遭い約40億円に上る金銭的被害を受けたケースがあります。また日本でも、大手新聞の海外子会社、自動車関連企業の海外子会社などで数十億円規模の被害が発生しました。
こうしたフィッシングメールやメール詐欺では、直接的に多額の金銭を詐取するだけでなく、認証に用いるクレデンシャル情報まで盗み取られることもあります。こうして盗み取られた認証情報は、より価値の高い情報を手に入れるため、ネットワーク侵害など別の攻撃やメール詐欺に芋づる式に悪用されていきます。
2023年、ビジネスメール詐欺の増加率が最も高かったのは日本
では、なぜ私たちはこうしたメールに引っかかってしまうのでしょうか。
ビジネスサプライチェーンの信頼を悪用するメール詐欺では、悪意ある添付ファイルやURLを用いないものも少なくありません。このため、既存のメールフィルタリングやウイルス対策ソフトをすり抜けてしまうことがあります。AIや機械学習技術の進展によって改善は期待できますが、やはり最後の防波堤はユーザーのリテラシーとなるでしょう。
しかし詐欺メールは、本来のやりとりをコピーしてもっともらしい文面を記してします。その上、送信元もなりすましされていることが多く、いくら注意を払ったとしても「絶対にだまされないようにする」のは不可能です。
プルーフポイントの調査「State of the Phish 2024」によると、2022年と比較して2023年にビジネスメール詐欺の増加率が最も高かったのは日本でした。以下、韓国、アラブ首長国連邦(UAE)が続いており、これまで言語バリアで守られていた国における、ビジネスメール詐欺の増加が目立ちます。生成AIの登場により、攻撃者が言語の壁を越えて、ビジネスメール詐欺を働くことが可能になったことが背景にあるといえるでしょう。
●
攻撃の糸口となるなりすましメールを見破る有効な対策「DMARC」と「BIMI」
そもそもメールは、いくつかの手口で送信者のなりすましが可能な仕組みです。メールソフト上に示される「表示名」の偽装に始まり、「o」と「0」など見た目の似た文字列を用いた類似ドメインを使う「タイプスクワッティング」、見た目は正しいメールアドレスに見せかけて返信先を偽装する「Reply-to偽装」、そして正規のメールアドレスに見せながら裏側では異なるアドレスから送信する「ドメインのなりすまし」などが代表的な手法です。
こうした複数の手法があるため、何か一つの対策を導入すればなりすましメールを見破ることができるという性質のものではありません。ユーザーのリテラシー向上のために継続的にトレーニングを実施したり、自社のドメインに似た類似ドメインを検索し、悪用される前に先んじてテイクダウンを行ったりと、さまざまな方面から取り組む必要があります。
中でも、ドメインのなりすましに対して有効な対策が、「DMARC」(Domain based Message Authentication Reporting and Conformance)と、それをベースにしてメールソフト・受信画面上にロゴを表示して正規のメールを判別しやすくする「BIMI」(Brand Indicators for Message Identification)です。
前述の通りメールでは、受信者が目にするメールアドレスは簡単に書き換えることができてしまいます。そこで、送信元のIPアドレスやドメイン名を宣言して検証する、SPFやDKIMといった「送信ドメイン認証」という技術によって、まったく別のメールシステムから送信されていることを確認できる仕組みが提唱され、特にSPFは広く普及してきました。ですが、攻撃者は、自らSPFやDKIMに対応することで、この仕組みをかいくぐるようになってきたのです。
DMARCはそれを克服するために提案された技術です。DMARCでは、SPFで認証しているドメイン(Envelope-From)と、メールのアプリ上で見えている送信元のドメイン(ヘッダー上の「From」)、あるいはDKIMで宣言されているドメインとが一致しているかどうかを確認します。この「アライメント」を取ることによって、なりすましメールかどうかを判断していきます。
さらに、本来のドメイン所有者が、「もし、私のところになりすましたメールを受け取ったらこうしてほしい」と宣言したポリシーに沿って、モニタリングしつつ配送したり、当該メールを隔離・削除したりといった対処を行います。
DMARCが提唱された当初は、「導入すると、正規のメールまで届かなくなるのではないか」といった懸念がありました。しかし実際には、設定によって、モニタリングしてDMARCレポートを届けるだけでメール配送に影響を及ぼさない形からスタートできます。また、DKIMの導入は敷居が高いという理由でDMARC対応をあきらめるケースも見られるが、実際にはSPFだけでも導入が可能です。
そして、この結果が得られるDMARCレポートを読み込むことで、「自社ではどんなシステムがどんなメールを送っているのか」を可視化し、情報システム部の管理下にないシャドーシステムを減らし、ガバナンスを効かせていくことが可能になります。
こうしてDMARCに対応し、レコードを宣言することによって、攻撃者に「ここはきちんとDMARCに対応しており、手強い、攻撃しにくい企業だ」と思わせることができます。いくらなりすましメールを送ってもターゲットに届かないのでは、攻撃者にとっても手間がかかるだけで無駄であり、モチベーションにつながりません。実際に、自社のドメインをかたったなりすましメールを、1カ月で3000万通と大幅に減らすことに成功した企業も出てきています。
逆に、DMARCを導入していない組織は、より狙われやすくなるということでもあります。現に、ロシアを拠点とするサイバー犯罪集団「Cosmic Lynx」は、なりすましが容易であることから、DMARCを実装していない組織をターゲットにしてメールアカウント乗っ取り詐欺を働き、多額の金銭を手に入れていました。
DMARCに対応し、なりすましメールを「排除する」という段階にまで達すると、今度はBIMIの活用も可能になります。BIMIは、DMARC認証をパスしたメールに、あらかじめ登録した企業やサービスのロゴを表示させることで、受信者が一目で正しいメールを見分けられるようにする仕組みです。
正しい送信元から送られたメールであることを証明することにより、開封率やブランド認知度に好影響が期待できると同時に、ロゴが付いていないメールは「なりすましである」と一目で判断でき、メール詐欺をより簡単に見分けられるようになります。
自社に、あるいは取引先になりすまして従業員を狙うメール詐欺を裁ち切り、サプライチェーン全体を守るという意味で、非常に効果の高い対策といえるでしょう。
自社につながる取引先全体を守るため、DMARCやBIMIの検討を
チャットやSNSなど多様な手段が登場した今でもなお、メールはビジネスに不可欠なコミュニケーションツールであり続けています。だからこそサイバー攻撃者もそれを悪用し、本丸がだめならば搦め手から、という具合に、企業につながるサプライチェーン全体の中で足がかりとなるところを求め、なりすましメールを用いて侵害を試みたり、多額の金銭をだまし取ったりしようとしています。
サプライチェーン対策というと、「取引先にチェックリストを送って対策を求める」といったアプローチが思い浮かぶかもしれません。しかし実はDMARC、そしてBIMIに対応することで、攻撃の最初の一歩であるなりすましメールをそもそも受信者の手元に届かないようにしたり、簡単に見破ったりする手段が提供できます。
すでに欧米では、法規制などで導入が義務化されていることもあって、多くの企業がDMARCを導入しています。日本では、2023年に日本政府がDMARCを政府統一基準の要件に加えたことや、一部企業がサプライチェーンリスク対策の基本として取引先企業にDMARC導入を求めたことにより、日本においてDMARCの導入が急速に進んでいます。
昨年は18カ国中、日本のDMARC導入率は最下位でしたが、最劣等生の座から脱却することができました。日経225企業におけるDMARC導入率は60%に増加したものの、いまだ欧米諸国に後れをとっているのが実情です。
自社を被害から守るだけでなく、自社のブランドも守り、ひいては自社につながる取引先や顧客を攻撃から守る手段として、DMARCやBIMIへの対応を検討してみてはいかがでしょうか。
増田 幸美 そうた ゆきみ 日本プルーフポイント株式会社 チーフ エバンジェリスト。 早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023受賞。 この著者の記事一覧はこちら
関連記事(外部サイト)
