荒野からの脱出:メールセキュリティモデルの刷新
電子メールは、かねてよりオンライン攻撃の最大の経路として認識されてきました。電子メールを介した詐欺から個人や組織を守るための防御策の開発に数十年にわたり投資が行われてきたにもかかわらず、状況は悪化の一途をたどっています。従来の電子メールセキュリティモデルは、境界防御の概念に根ざしており、いくら投資をしても克服できない構造的な欠陥を招いています。
従来のモデルが抱える根本的な欠点を解消した、強化されたメールセキュリティモデル「DMARCベースのメールセキュリティモデル」が利用可能になりました。組織は、DMARCを導入し、既存のメール処理システムを構成することで、このモデルを採用し、強化されたメールセキュリティモデルを実装することができます。
目次
電子メールは最大の攻撃経路です
電子メールは脅威の全体像に深く浸透しているため、これに関する単純な統計データを見つけることがますます困難になっています。Opteryはこの課題に取り組み、『2025年ベライゾン・データ侵害レポート』を分析した結果、インシデント分類パターンの各カテゴリーにおいて、電子メールが依然として「脅威の全体像において最も重大な攻撃経路」であることを明らかにしました。
被害額という観点から見ると、2024年9月11日付のFBIの広報資料(I-091124-PSA)によると、2013年10月から2023年12月までの間に発生したビジネスメール詐欺(BEC)による被害額は555億ドルに上る。
FBIのデータは米国に焦点を当てたものですが、BECという、電子メールを利用した詐欺の中でも明確に定義された限定的なカテゴリーについて記述している点で重要です。FBIによると、BECは「正当な資金送金依頼を行う企業や個人を標的とした、巧妙な詐欺」です。電子メールを利用した詐欺の中でもこの限定的な範囲に留まることを考慮すれば、555億ドルという損失額は桁外れに大きいと言えます。
こうした被害が継続し、さらに増加している実態を示す例として、2024年のFBIインターネット犯罪報告書によると、インターネット犯罪による被害総額は160億ドル以上に達し、2023年比で33%増加していることが明らかになった。
160億ドルのうち28億ドルは、電子メールを利用したBEC詐欺による被害額である。電子メールを利用した犯罪による実際の被害額は算出できないが、FBIが報告したこの犯罪の割合だけでも、問題の深刻さを認識するには十分である。
フィッシングの有効性
詐欺メールとは、信頼できる組織や個人を装い、被害者に機密情報を開示させたり、不正なアクセスを許可させたりしようとするものです。この種のメールは、一般に「フィッシング」と呼ばれています。
フィッシングが効果的なのは、以下の3つの単純な理由によるものです:
- 電子メールは、あらゆる場所で、あらゆる人が、常に利用しています。
- 電子メールは誰の所有物でもありません。電子メールは、単一の企業が提供する製品ではありません。電子メールは、世界規模のサービスを提供するために、それぞれ異なる方法で相互運用される多くの独立したシステムの集まりなのです。
- 電子メールはワールド・ワイド・ウェブよりも歴史が古く、インターネット上で最も広く普及しているアプリケーションであると言える上、現代的なセキュリティ対策が確立される以前の時代に誕生したものである。
電子メールは広く普及しているため、攻撃者が組織への侵入を図る際、意図せずとも第一の攻撃手段として利用されてしまう。
従来の電子メールセキュリティモデル
電子メール環境の脅威が増大するにつれ、その場しのぎの防御技術が発展していきました。これらは主に、組織が製品やサービスを購入し、自社のユーザーを詐欺から守る能力に依存するものでした。
以下のセクションでは、これらの技術がどのように、そしてなぜ生まれたのか、またその結果として生じた軍拡競争が、安全保障という約束を果たすことなく、すべての関係者にとってのリスクを高めてしまった経緯について、簡潔に説明します。
メールは時代遅れになりつつある
電子メールは、現代のインターネットセキュリティが確立される以前から存在していました。最初の電子メールは1970年代に送信されましたが、当時はコンピュータ同士の接続が始まったばかりの時期であり、電子メールを機能させることに重点が置かれていました。
私たちが現在知っているようなインターネットセキュリティが確立されるまでには、数十年を要しました。そのため、電子メールには、現代の詐欺から身を守るためのセキュリティ機能が標準では備わっていません。
今日の電子メールシステムは、RFC 5598 のようなインターネット相互運用性標準に準拠して連携する、何千もの異なるシステムから構成されています。これらの標準により、誰でも電子メールシステムの独自の機能やコンポーネントを実装することが可能になっています。これは同時に、電子メールの相互運用性に関する変更が、もし普及するとしても、定着するまでに何年もかかることを意味します。これほど多くのソフトウェアを、すべての関係者が同時に更新させることは不可能です。
スパムフィルター
電子メールの仕組みそのものを変えるのではなく、多くの組織が自組織への「境界」において制御権を持つという「従来の電子メールセキュリティモデル」が確立されました。従来、組織はフィッシング、マルウェア、スパム、その他の迷惑メールといった不要なメールをフィルタリングする必要がありました。セキュリティ企業は、大量の不要なメールを排除するための技術を開発し、製品として販売してきました。今日、これらの技術は総称して「スパムフィルター」と呼ばれています。
フィルタリングが機能しない場合
根本的に、「不要なメールを排除する」というセキュリティモデルには欠陥があります。大量の不要なメールをブロックできるとはいえ、最高のフィルタリング技術であっても、以下の2つの点で限界があります:
- パターン検出装置が未知のパターンに対処しなければならない場合、そして
- 詐欺メールが正規のメールとあまりにも似通っているため、機械がメールの正当性について明確な判断を下せない場合。
これら2つの異なる問題点は、同じ欠陥のある仕組みの表裏一体である。つまり、機械が個々の電子メールの真偽を推測せざるを得ないという仕組みである。
スパムフォルダ:目に見える兆候
この欠点の最も顕著な症状は、至る所に見られる「スパムフォルダ」です。機械が、正当に見える詐欺メールと、詐欺の臭いがする正当なメールを見分けることができない場合、そうしたメールはスパムフォルダに振り分けられてしまいます。
スパムフィルターを提供する企業にとって、正当なメールを誤ってブロックしてしまうことは許されません。そのため、分類が難しいメールはスパムフォルダや隔離フォルダに振り分け、担当者が確認できるようにするのが一般的な対処法です。
さらに事態を悪化させているのは、悪意のある攻撃者がこの状況をまるでゲームのように捉え、フィルタをすり抜けて有害なメールを送り届けるという難題を解くことで、大きな利益を得られると考えている点だ。AIなどのツールの登場により、攻撃者がこの「ゲーム」に参加し、勝利を収めることが以前よりはるかに容易になっている。
「スパム」フォルダ:正当なメールと詐欺メール
この従来のセキュリティモデルの結果、一般ユーザーは不要なメールを大量に処理する必要がほとんどなくなりました。しかし、その一方で、すり抜けてきた悪意のあるメールは受信トレイやスパムフォルダに届き、そこで一般ユーザーが、そのメールが「正当だが文章が拙いもの」なのか、それとも「極めて危険なもの」なのかを判断しなければならなくなります。
関わる数が膨大であるため、たとえ10万通に1通の悪意あるメールがスパムフォルダに振り分けられたとしても、最先端のフィルタリング技術(あるいは、その技術が導入された当時は最先端と見なされていたもの)をすり抜けてきたメールによって、実際に人間が騙されてしまう可能性は十分にある。
フィッシングが攻撃の主因となる理由
要するに、従来のメールセキュリティモデルでは「悪意のあるメールをフィルタリングできれば、残ったものは安全であると見なせる」という前提のもと、数十年にわたり投資が行われてきたにもかかわらず、メールは依然として最大の攻撃経路であり続けている。
DMARCに基づく電子メールセキュリティモデル
この根本的な前提の欠陥を是正するため、DMARCメールセキュリティモデルは、電子メール通信の分野においてゼロトラストアーキテクチャの概念を導入しています。DMARCは、電子メールの作成元となったインターネットドメインに対して、信頼できる参照情報を付与する方法を規定したインターネット標準です。
DMARCは、SPFやDKIMといった既存の電子メール認証技術を基盤として、ドメインと電子メールの関連付けを行います。DMARC、SPF、DKIMの技術的な詳細については、他の記事で解説しています。
危険な決断から人々を守る
最も危険なメールを一般の人々に提示し、それらが危険かどうかを判断させるというのは、良いモデルとは言えません。
希望条件で絞り込む
すべてのメールを正当なものとして扱い、不要なメールをフィルタリングしようとする従来の方法とは異なり、DMARCセキュリティモデルでは、メールの送信元となるインターネットドメインへの認証を通じて、メールの正当性を確認することを求めています。このように、DMARCセキュリティモデルは、メールを正当なものとして扱い、悪意があると検出されたものをフィルタリングしようとする従来の方法とは対照的に、正当なメールを「通過させる」仕組みとなっています。
ゼロトラストとメールの融合
従来の電子メールセキュリティモデルを根本から変革するため、DMARCは電子メールに関連付けられた、安定したドメインレベルの識別子の基盤を導入します。これらの識別子は、電子メールにおけるゼロトラストアーキテクチャの基盤となります。ゼロトラストアーキテクチャでは、信頼が証明されるまでは信頼が存在しないと明示的に仮定します。DMARCのドメインレベルの識別子は、電子メールの処理中に信頼を確立するための基盤を提供します。
安定したドメインレベルの識別子により、メール事業者はマシンレベルで保護機能を構築できるため、ユーザーは、スパムっぽい正当なメールと極めて危険なメールが混在したスパムフォルダに直面する必要がなくなります。前述の小売リソースの例では、ドメインは待機中のユーザーに関連付けられています。セキュリティシステムは、アクセスを許可するかどうかを判断する際に、そのドメインを検査します。
許可されたドメイン
DMARCセキュリティモデルが導入されると、DMARC準拠の電子メールを送信する組織は、同僚を装う悪意のある攻撃者から従業員を守るための対策を直ちに講じることができます。ベンダーやサプライチェーンがDMARC準拠の電子メールを送信するようになれば、組織はさらなる対策を講じることで、電子メール通信の保護されたチャネルを構築し、送信の正当性を判断する際に人的な推測に頼る必要がなくなります。
この例では、dmarcian.comのような正当で信頼できるドメインは受け入れられますが、スペルミスを装ったgmale.comやhotmale.comのような、ユーザーを騙そうとする不要なドメインは拒否されます。
結論
この記事では、従来のメールセキュリティの状況、その課題点、そしてDMARCベースのメールセキュリティモデルがどのようにゼロトラストアーキテクチャの概念をメールの世界に取り入れているかについて解説します。
この記事の動画版は、ペイメント・カード・インダストリー(PCI)のコンテンツライブラリ向けに制作されました。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
