送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説

実在するメールアドレスを悪用して、マルウェアに感染させたり、ID/パスワードなどの重要情報を騙し取る「なりすましメール」の被害が後を絶ちません。偽の口座に直接金銭を振り込ませるなどの実害も発生しています。なりすましメールは実在の人物を騙り、ビジネスメールのような内容で送られてくるので、人が見分けるのは非常に困難です。この対策に有効な手法が「送信ドメイン認証」です。人では判別が難しいなりすましメールを識別し、被害を未然に防ぎます。その仕組みと効果的な活用法を詳しく紹介しましょう。

なりすましメールの被害が拡大している理由とは

ここ数年、情報や金銭を搾取される企業被害が相次いで報道されています。2016年6月、大手旅行代理店が最大で約793万人分の顧客の個人情報が流出した可能性があると発表しました。取引先を装った問い合わせメールを受信したことで、マルウェアに感染したことが原因です。2017年12月には大手航空会社が約3億8000万円をだまし取られる被害に遭ったと発表しました。取引先を装ったメールに気付かず、指定された偽の口座に航空機リース料などを支払ってしまったためです。
これらの被害はいずれも「なりすましメール」によるものです。メール送信技術では、送信元とされるFromアドレス(ヘッダーFrom)を簡単に変更することができます。なりすましメールはこのFromアドレスを詐称してターゲットにメールを送り付けます。

なりすましに利用されるメールアドレスは実在する企業のドメインであるケースが多くあります。ターゲットが従事している業務なども事前に把握しています。こうした“下調べ”は標的型攻撃やハッキングによる潜伏調査、SNSなどのやりとりから不正に入手するものと考えられています。

こうして実在の人になりすまし、仕事上のやりとりと同じような文面で巧妙に金銭や情報の提供を求めてきます。見るからに怪しいメールは誰も開きませんが、一見しただけでは見分けがつかないため、要求に応じてしまうという図式で被害が広がっています。

なりすましメール対策には「送信ドメイン認証(SPF / DKIM / DMARC)」が有効

人では判別が難しいなりすましメール対策には「送信ドメイン認証」が有効です。送信ドメイン認証とは、送信元メールサーバのIPアドレス認証や電子署名の仕組みを利用して、メールがなりすまされているかを判断する仕組みです。本当にそのメールが正規の送信元から送られてきたものかどうかを確認でき、比較的容易に導入できることから、なりすましメール対策としては最も有効とされています。

SPFとは:送信元メールサーバのIPアドレスで判別

送信ドメイン認証には、大きく3つの種類があります。1つめがIPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認する「SPF(Sender Policy Framework)」です。

具体的には、メール送信時に利用するサーバのIPアドレスを送信側のDNSに「SPFレコード」として事前に登録。受信側はメール受信時に送信側のSPFレコードと照合し、なりすましかどうかを判断します(図1)。

図1:SPFの仕組み

攻撃者はFromアドレスを詐称してメールを送り付けてきますが、メール送信サーバまで乗っ取っているわけではありません。なりすましメール受信時に攻撃者が使ったメール送信サーバのIPアドレスを確認することができるわけです。受信メールの送信元IPアドレスとSPFレコードに登録されたIPアドレスを照合し、適合しなければなりすましメールであると特定できます。これがSPFによる送信ドメイン認証の仕組みです。

DKIMとは:電子署名を付与してなりすましを検知

2つめが電子署名を利用してメール送信元が詐称されていないかどうかを確認する「DKIM(DomainKeys Identified Mail)」です。送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、 なりすましやメールの改ざんを検知します(図2)。

図2:DKIMの仕組み

ただし、SPFはメール転送等により受信側で正しく判断できなかったり、DKIMは普及率が低かったりなど活用にはそれぞれ弱点があります。その場合、なりすましメールを判別することが難しくなります。

DMARCの活用:認証失敗時の対応策を定義し“守り”を固める

SPF、DKIMの認証結果を活用する仕組みとして近年注目されている技術が、3つめの「DMARC(Domain-based Message Authentication、Reporting and Conformance)」です。

これはSPFやDKIMの認証が失敗した場合の対応策を定めたもの。送信側は受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うか判断します(図3)。

図3:DMARCの仕組み

例えば、DMARCポリシーに「拒否する」と定義されていれば、受信メールを棄却。「隔離する」と定義されていれば、隔離し、「何もしない」と定義されていれば、いったん受信してエンドポイントで判断するといったアクションを実行します。こうすることで、SPFやDKIMの認証結果だけでは判断できなかったなりすましメールを排除することができます。

送信ドメイン認証の効果的な活用法

SPF、DKIMは認証方式が異なり、DMARCはそれぞれの認証結果を利用する方式のため、SPF、DKIMへの対応をまず行い、そのうえでDMARCへの対応を進めることが効果的です。いずれかを導入するのではなく、3つを組み合わせていくことが重要です。

また送信ドメイン認証は送信・受信側双方の仕組みが連動して成立する技術。メールは自社が送信者になることもあれば、受信者になることもあります。双方の仕組みを整備する必要があります。

しかし「何を用意すればいいのか」「どこに、どのような設定をすればいいのか」「認証失敗時のメールアクション設定をどうすればいいのか」など課題を抱えている企業も少なくないでしょう。

こうした課題解決に有効な方法が送信ドメイン認証に対応したサービスを利用することです。
一例として、IIJで提供する「IIJセキュアMXサービス」では、SPFやDKIMの認証チェックだけでなく、DKIM署名の付与やDMARCの結果に応じたフィルタリング機能にサービス側で対応しています。

DNSに設定が必要なSPFレコード例、DMARCポリシー例や設定方法をマニュアル化して提供しているため、専門的な対応が難しい場合はこうしたサービスを活用することも選択肢の1つとなります。

送受信における各認証方式の対応に必要な実施項目

設定サイド 認証方式 対応に必要な実施項目
送信
(送信メールの信頼性を高める)
SPF
  • DNSのSPFレコードに送信元IPアドレス情報を登録
DKIM
  • DNSの電子署名に用いる公開鍵情報を登録
  • DKIM署名を送信メールに付与する仕組みの導入
DMARC
  • DNSにDMARCレコードを登録
  • DMARCレポートを受信 / 可視化する仕組みの導入
受信
(なりすましメールを防ぐ)
共通
  • 各認証をチェックする仕組みを導入

フィルタリングを行う場合

  • 各認証結果に基づいてフィルタリングが行える仕組みを導入
DMARC
  • DMARCレポートを送信する仕組みの導入

送信ドメイン認証への対応は当たり前の時代に

送信ドメイン認証は送信側・受信側の仕組みが機能することで、その効力を発揮します。対応していないと、なりすましメールの攻撃に晒されるだけでなく、正常なメールの送受信もできなくなる恐れがあります。

例えば、取引先が送信ドメイン認証を導入しているのに、自社の対応が遅れていると、取引先は受信メールの正常性を確認できず、不審なメールとして処理されてしまう可能性があるからです。
既に多くの企業が送信ドメイン認証を導入し、なりすましメール対策の“包囲網”が形成されつつあります。実際、国内の主要携帯キャリアのほか、Gmailなどにも採用されているSPFの普及率は87.6%(※1)。DKIMの普及率も36.5%(※1)に達し、その普及率を伸ばし続けています。

送信ドメイン認証によるなりすましメール対策はリスク対策としてだけでなく、企業としての社会的信用を高め、ビジネスを円滑に進める上でも欠かせない取り組みとなっているのです。

※1 IIJでの受信メールデータに基づく調査結果(2019年1月時点)