米国およびカナダの高等教育分野におけるDMARCの導入状況
フィッシング攻撃は、高等教育機関にとって差し迫った脅威であり、その脅威はますます高まっています。サイバー犯罪者はAIを活用して、一見すると本物そっくりの詐欺的なキャンペーンを展開し、機密データや攻撃を受けやすい人々を標的にしているからです。
高等教育機関における導入実態調査の今回の記事では、DMARCの導入が北米のメールセキュリティ環境にどのような影響を与えているかを検証します。私たちは、従業員数に基づき、カナダおよび米国の主要な大学・カレッジの親ドメインを調査し、DNSに公開されているDMARC、SPF、DKIMレコードを分析しました。
どのキャンパスでも、日常的に学生や教職員が、本物に見えるが実際には偽物のメールについて、学校のIT部門から警告を受けることは珍しくありません。 ログインやメールパスワードの更新、請求書の支払い、口座振込情報の更新、あるいは認証情報の盗難につながるその他の情報の提供を求めるメールを受け取ると、キャンパスコミュニティの構成員は簡単に騙されてしまいます。そのメールは一見、知られた組織から送られてきたように見えるため、人々はそれが正当なメッセージであると信じてしまうのです。
大学はサイバー犯罪者にとって格好の標的であり、フィッシングやソーシャルエンジニアリング攻撃に対して脆弱です。大学には、膨大な知的財産、学生・教職員・卒業生の記録、財務データ、資金調達に関する記録などが保管されています。さらに、ソーシャルメディアや学習管理システムの利用が増加していることで、侵入経路が多数存在し、防御がより困難な広範な攻撃対象領域が生まれています。
教育分野が直面する課題の一つは、テクノロジーの無秩序な拡大であり、特に電子メールを付加価値の一部とするベンダーの利用に関連しています。 多くの場合、同じ目的のために多種多様なサービスが利用されており、これがシステムの肥大化を招いています。例えば、1つのサービスで済むところを、5つの異なる一斉送信ツールを使用しているようなケースです。公平を期すならば、これは可視性の問題(およびシャドーITの問題)でもあります。つまり、数学部門でMailchimpを使用している人々は、同様の機能を持つ一斉送信ツールのアカウントがすでに存在していることに気づいていなかったのです。
同じサービスが多数存在するため、表面には現れないさらなる課題が潜んでいます。 例えば、数年前、私はConstant Contactのインスタンスが100以上ある大学と協力したことがあります。その結果、単一のメール送信元に関連する複数のアカウント所有者を特定することは必ずしも容易ではないため、より詳細な調査が必要となります。この特定は、問題の是正に不可欠です。ITスタッフが人間が読み取れる形式のDMARCデータにアクセスできることは、何が使用されているかを把握し、今後の対応策を立てるための重要な第一歩となります。
ITインフラの拡大、教職員や学生向けにメールを送信する多数のドメイン、SPFの管理などは、非常に手ごわい課題となり得ます。しかし、意欲と計画、そして粘り強さがあれば、こうした教育機関のドメインカタログをDMARCに準拠させ、その適用を実現することは可能です。
—フレッド・ビアンキ、dmarcian米国事業部門ディレクター
南北アメリカにおける高等教育機関の情報漏洩
今年初め、テキサス大学エルパソ校(UTEP)において、UTEPの職員を装ったサイバー犯罪者が学生にフィッシングメールを送信しました。このフィッシング攻撃により銀行の認証情報が盗み出され、その後、学生の認証情報が悪用されて、数千ドル(その多くは学生支援金)が不正な口座に振り替えられました。UTEPは、このフィッシング攻撃の被害を受けた学生に対し、緊急支援金を提供しています。
北米の大手教育向けクラウドソフトウェアプロバイダーであるPowerschoolが、盗まれたログイン認証情報を利用したサイバー攻撃を受けました。メールアドレスを含む個人識別情報(PII)が盗まれ、数千人のアカウント保有者に対し、盗まれたメールアドレス宛てに送られてくる詐欺メールに注意するよう警告が出されました。
学校でサイバーセキュリティインシデントが発生した場合、その直後の影響として、教育活動や学習、そして重要な業務運営に支障をきたす可能性があります。サイバーセキュリティインシデントを経験した多くの学区は、サイバーインシデントがもたらす甚大かつ多岐にわたるコストについて次のように述べています:
- 財務面:教育・学習の機会損失に起因する費用、通常は自動化されている業務やプロセスを手作業で行うことによる人件費(例:給与計算や外部業者への支払いの手書き処理など)、法務・保険関連費用、および影響を受けた個人に対する信用情報のモニタリングなどの長期的な費用。
- 政治面:教師、保護者、地域社会の間での信頼の喪失。
米国教育省
米国の高等教育機関トップ500校のDMARCステータス
米国の高等教育機関トップ500校を調査したところ、親ドメインの77%が、DMARCレコードが存在しない、レコードに誤りがある、あるいは p=none ポリシー(メール配信に影響を与えない監視フェーズ)が設定されているため、メール攻撃への悪用から保護されていないことがわかります。DMARCポリシーによって完全に保護されているのは、 p=rejectでDMARCポリシーによって完全に保護されているのはわずか9%であり、14%は p=quarantine 設定では、検証に失敗したメールはスパムフォルダに送信されます。
以下に全結果を示します:
- 28%にはDMARCレコードがありません。
- 26%が p=none モニタリング段階において既往歴がある。
- 23%はベストプラクティスに従っておらず、ドメインが危険にさらされたり、可視性が確保されていない状態になっています。
- 14%が次のようなDMARCポリシーを採用しています p=quarantineを採用しており、これは p=rejectの直前の段階である。
- 9%が p=rejectとなり、DMARCが提供する保護機能を最大限に活用しています。
SPFレコードに関する問題
DMARCを導入する際、SPFレコードの作成や公開が混乱を招くことがよくあります。このドメイン群で最も頻繁に見られた問題は、SPFに関連するものでした。DNSルックアップの過剰、複数のSPFレコードの存在、SPFレコードの欠落、あるいは無効なレコード(通常は構文エラーが原因)といった、長年にわたる問題が日常的に発生しています。
正確かつ安全なSPFレコードを公開するために、このガイドラインをご確認ください。
カナダの高等教育機関トップ100のDMARCステータス
ドメインの40%が、以下のDMARC適用ポリシーレベルに設定されています。 p=quarantine または p=reject に設定されており、DMARCレコードを持つドメインは合計で67%に達していることから、カナダの大学やカレッジは安全なメール環境の構築に向けて順調に進んでいます。とはいえ、60%のドメインは、DMARCレコードがない、レコードに誤りがある、あるいは p=none ポリシーを採用していることから、フィッシング攻撃に悪用されるリスクを抱えています。
楽観的な人たちは、この27%を p=none このグループを、DMARC制御の重要性を認識し、その実施に向けた取り組みを始めている集団だと捉えています。一方で、GoogleやYahooが導入したような送信者要件を満たすために監視ポリシーを確立しただけで、現状に安住しているだけだと考える人々もいます。
どのような観点から見てみても、我々が明らかにした事実は以下の通りです:
- 17%にはDMARCレコードがありません。
- 27%が p=none 記録がある。
- 16%が記録に関する問題を抱えている。
- 26%が p=quarantine DMARCポリシーを採用している。
- 14%が p=reject。
DMARCは、不正検知という本来の機能に加え、学術コミュニティ内での信頼構築においても重要な役割を果たしています。研究者、教職員、学生は、効果的なセキュリティプロトコルを導入している学術機関から送信されたメールに対して、より積極的に開封し、好意的に応答する傾向があります。受信者がその機関がDMARCを採用していると認識すれば、その機関からの通信は正当なものだと確信でき、フィッシング攻撃やメールアカウントを狙った同様の攻撃の被害に遭うリスクを低減することができます。
その結果、学術コミュニケーションのセキュリティが強化され、研究成果の共有、同僚との共同研究、学術的議論を行うためのより安全な環境が整います。さらに、DMARCのレポート機能により、各機関は脅威を迅速に検知し、新たなリスクに対処して潜在的な被害を最小限に抑えるための迅速な措置を講じることが可能になります。
私たちは、米国およびカナダの学校を支援するためにここにいます
DMARCの導入が進み、メールドメインの利用状況を監視・制限するための主要な手段として認知される中、dmarcianは教育関係者が学生、教職員、卒業生、寄付者をメール詐欺から守るお手伝いをすることに尽力しています。私たちは、フィッシングからドメインを守り、長期的な視点でメールセキュリティを管理できるよう、皆様を支援するチームです。
この会話を続けたいですか?dmarcianフォーラムへどうぞ。
