dmarcian、eComm Liveでメールセキュリティとブランド保護について講演
先日、当社の欧州・中東・アフリカ(EMEA)チームが #eCommLive イベントに参加しました。一見すると、eコマースのイベントは、メールやサイバーセキュリティについて語る場としてはあまり適していないように思えるかもしれません。では、なぜdmarcianはeコマースのイベントでDMARCやメールのなりすましについて議論していたのでしょうか?
小売業者やEコマース業界のリーダーたちは、ブランド構築とサイバー攻撃からのブランド保護に注力しています。ブランドの信頼を守り、顧客とのコミュニケーションを安全に保つためには、まず偽のメールを阻止することから始めなければなりません。したがって、こうしたリーダーたちが参加するイベントに積極的に参加することが重要です。
最近の小売業界におけるサイバー攻撃:M&S、Co-op、そして高まるリスク
過去2年間、英国とアイルランドの小売業界はサイバー攻撃の波に見舞われてきた。アイルランドのベルファストで開催された #eCommLiveでは、マークス&スペンサー(M&S)やコープ・グループといった大手小売企業が、現在進行中の深刻なサイバーインシデントにどのように積極的に対処しているかについて、議論が交わされた。
M&Sのセキュリティチームは、ランサムウェア型の攻撃に対処するため、英国とアイルランドでのオンライン注文を数日間停止せざるを得なかった。この事態の最中には、一部の実店舗でも棚が空になり、商品不足が生じた。
一方、コープは侵入の試みを検知した後、ITシステムの一部を停止させ、バックオフィス業務やコールセンターの運営に支障をきたした。こうした相次ぐ事件は、ECであれ実店舗であれ、いかなる小売業者も攻撃から免れることはできないことを浮き彫りにしている。
- 小売業界は、今日、サイバー犯罪者から最も標的とされる業界の一つである
- 2023年、英国の小売業者は詐欺により113億ポンドの損失を被った。この巨額の損失は、詐欺行為が小売業界に与える経済的影響を浮き彫りにしている。
- 小売業界は他のどの業界よりも多くのデータ漏洩被害を受けており、サイバー攻撃の主要な標的となっている。
5月5日より、マイクロソフトは新たなDMARC要件を満たさないメールの受信を拒否し始めました。要件を満たす方法をご確認ください。
メールなりすましの隠れた代償:ブランドの信頼とロイヤルティ
サイバー攻撃は、即時の業務混乱や金銭的損失をもたらすだけでなく、ブランドに対する消費者の信頼に長期的な深刻な影響を及ぼします。最近のM&Sへの攻撃は、その余波がいかに急速に拡大し得るかを如実に示しています。
サイバー攻撃から1週間も経たないうちに、投資家や顧客が被害に反応した結果、M&Sの時価総額は7億ポンド以上も下落した。システムが復旧した後でも、消費者の心には同ブランドのセキュリティに対する疑念が残り続ける可能性がある。さらに、悪意のある攻撃者は、情報漏洩事件の後にフィッシングメールを送り、ブランドをさらに装おうと試みるケースが少なくない。
- サイバー攻撃の91%は、フィッシングメールから始まります。
- 小売業の顧客の56%は、自身の個人情報が漏洩した企業を「全く信頼できない」と答えている。
- サイバー攻撃による直接的な金銭的損失は甚大な影響を及ぼす可能性がありますが、その後のブランド評判への悪影響は、長期にわたり壊滅的なものとなり得ます。
多くの企業のセキュリティチームはリスク登録簿を管理しており、サイバー攻撃が発生する前にその兆候を予測できることがよくあります。したがって、小売ブランドは、サイバーセキュリティを単なるIT上の問題としてではなく、顧客体験やブランド価値の基盤となる要素として捉える必要があります。
DMARCとは何か、そしてなぜ小売業者は今それが必要なのか?
小売業界におけるサイバーインシデントにおいて、フィッシングやメール詐欺が大きな割合を占めていることを踏まえると、ブランドの信頼を守るためにはメールセキュリティが極めて重要です。その強力なツールの一つがDMARC(Domain-based Message Authentication, Reporting & Conformance)です。これはメールポリシーに基づく制御プロトコルであり、自社ドメインからの正当なメールのみが顧客の受信箱に届くようにしつつ、なりすましメールをブロックするのに役立ちます。 DMARCは3つのポリシー段階に基づいて機能し、各段階ごとに保護レベルが強化されます:
- なし – 電子メールの通信状況を監視するが、何の措置も講じない
- 隔離 – 不審なメールを検知し、スパムフォルダに振り分けます
- 拒否 – 偽のメールが受信トレイに届くのを完全にブロックします
DMARCレコードを設定すること自体には価値がありますが、単に監視のみを可能にするものであり、保護機能はないという点に留意する必要があります。なりすましを完全に防ぐためには、「reject」設定に移行することが重要です。また、サブドメインを含め、すべてのドメインにDMARCポリシーを適用することも重要です。
DMARCに関するよくあるミスが小売業のドメインを危険にさらしている
以下に、DMARCの効果を低下させる可能性のある設定ミスをいくつか挙げます:
- ドメインを p=none に設定すると、強制措置を講じることなく実質的にトラフィックの100%を監視することになり、ドメインのセキュリティが脅かされます。
- 集計レポート(RUA)とフォレンジックレポート(RUF)の両方を同じメールボックスに送信すること。一見便利に思えるかもしれませんが、これは望ましい方法ではありません。フォレンジックレポートには機密情報が含まれている可能性があるため、集計レポートとは分けて管理することで、プライバシーに関するベストプラクティスに沿った対応が可能になります。
- 次のような一般的な設定:
v=DMARC1; p=none;sp=reject;rua=mailto:[email protected];
サブドメインは保護されますが、プライマリドメインは保護されません。これにより、メインブランドが標的とされた場合に、そのブランドが危険にさらされる可能性があります。
DMARCは顧客の信頼とメールの配信率を向上させます
2024年初頭、GoogleとYahoo!は、大量のメールを送信する送信者に対してメール認証ルールの適用を開始しました。Microsoftも2025年5月にこれに追随しました。ニュースレター、プロモーション、注文状況の通知などを数千人の顧客に送信している場合、配信トラブルを避けるためには、SPF、DKIM、DMARCのチェックに合格する必要があります。
小売業界の経営陣にとって、今日のデジタル環境において、メールのセキュリティを確保することは、すなわちブランドの保護につながるということを認識しておくことが重要です。DMARCのようなポリシーへのわずかな投資が、顧客ロイヤルティの向上やビジネスの強靭性という長期的な利益をもたらす可能性があります。
いつものテックカンファレンスとは一味違うイベントに参加できて、とても新鮮な気分でした!eComm Liveでは、ブランドの評判を守ることに真剣な懸念を抱き、DMARCを活用してその実現を熱望している多くの創業者の方々と話すことができ、大変嬉しく思いました。小売業界は、特にAIの時代においてかつてない速さで進化しており、この分野の企業は、オンラインコマースという新たな時代において、サイバーセキュリティ対策の強化に向けて急速に動き出しています。
—dmarcian EMEAアカウントマネージャー、ジェイミー・マーフィー
DMARCの導入は、単なるセキュリティ対策にとどまりません。今や、メールの配信成功率を確保するために不可欠な要素となっています。DMARCを導入しなければ、マーケティングメールがフィルタリングされたり、完全にブロックされたりするリスクがあり、キャンペーンの成果が低下する恐れがあります。DMARCを導入することで、受信トレイへの到達率を向上させ、ブランドを保護し、送信するすべてのメールのROIを最大化することができます。
小売企業の経営陣にとっての、次の一歩
dmarcianの無料DMARCドメインチェッカーを使って、ご自身のドメインが保護されているか確認してください。これは、メールのなりすまし攻撃への脆弱性を迅速かつ簡単に特定し、ブランドのセキュリティ強化に向けた第一歩を踏み出すための方法です。ご質問がある場合や、ご利用開始についてサポートが必要な場合は、お気軽にお問い合わせください。
私たちがお手伝いします
dmarcianは、メールセキュリティの専門家チームを擁し、「ドメインセキュリティを通じてメールとインターネットの信頼性を高める」ことを使命としています。私たちは、組織が保有するドメイン群の現状評価から、DMARCの導入、そして長期的な運用管理に至るまで、手厚くサポートいたします。
この会話を続けたいですか?dmarcianフォーラムへどうぞ。
