省庁横断的なフィッシング対策ガイドラインでDMARCが注目を集める
サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、および多州情報共有・分析センター(MS-ISAC)は、フィッシング攻撃との絶え間ない戦いにおいて指針を示すため、「フィッシング対策ガイダンス――第1段階で攻撃サイクルを阻止する」を発表しました。
このガイダンスはすべての組織に適用されますが、リソースが限られている組織にとっては課題となる可能性があります。この課題に対処するため、本ガイドには、フィッシング攻撃に継続的に対処するための専任のITスタッフを配置するリソースが不足している中小企業向けに、個別に調整された提案をまとめたセクションが盛り込まれています。
ソフトウェアメーカーにとっては、「セキュア・バイ・デザイン」およびデフォルト設定の戦略を採用することが重要となります。このガイダンスでは、ソフトウェア企業が一般的なフィッシング攻撃に対して耐性のあるソフトウェアを開発・提供し、ひいては顧客のサイバーセキュリティのレジリエンスを強化するよう推奨しています。
すべての組織を対象としたフィッシング対策ガイダンスにおいて、CISA、NSA、FBI、およびMS-ISACは、ログイン認証情報のフィッシング被害のリスクを低減するため、組織に対しDMARCやその他の対策の導入を推奨しています。具体的には、DMARCに関して以下のことを推奨しています:
- 受信メールに対してDMARCを有効にします。
- DMARCは、SPFやDKIMと同様に、公開されたルールを確認することで、受信したメールの送信元サーバーを検証します。メールがこの検証に失敗した場合、そのメールアドレスはなりすましとみなされ、メールシステムはそれを隔離し、悪意のあるものとして報告します。
- DMARCレポートの受信先として、複数の受信者を指定することができます。
- DMARCポリシーで「拒否」が有効になっている場合、これらのツールは、ドメインがなりすまされている受信メールをすべて拒否します。
- DMARCが以下のように設定されていることを確認してください p=reject 送信済みのメールに対して。これにより、ドメインを装ったメールが他のユーザーに届くのを確実に防ぐことができます。
- なりすましメールは、配信前にメールサーバーで拒否されます。
- DMARCレポートは、なりすまされたドメインの所有者に、偽装元(通常は入手できない情報)を含む通知を行う仕組みを提供します。
- DMARCポリシーを有効にすることで、サイバー攻撃者が貴社のドメインから送信されたように見せかけるメールを作成する可能性を低減できます。
ソフトウェアメーカー向けの指針のセクションにおいて、連邦政府機関は、顧客に対するフィッシング攻撃のリスクを低減するため、ソフトウェア開発に「セキュア・バイ・デザイン」および「セキュア・バイ・デフォルト」の慣行を取り入れることを推奨しています。その慣行の一つが、以下の通りDMARCです:
- 受信メールに対して、デフォルトでDMARCが有効になっているメールソフトを提供してください。
- 送信メールp=reject 、デフォルトでp=reject に設定された DMARC を適用するメールソフトを提供する。
ソフトウェアメーカーが製品のセキュリティ統合を優先するためのロードマップである「Secure By Design」が最近発表されたことを受け、CISAおよび国際的なパートナー機関は、市販ソフトウェアの脆弱性がネットワークへの侵入経路となり、深刻なサイバー攻撃を招く恐れがあることを認識している。
フィッシング攻撃の危険を回避する方法を知っておくことは不可欠です。なぜなら、誰もがこうした攻撃の被害に遭う可能性があるからです。サイバー攻撃者は、人工知能(AI)を含む新たな技術を駆使し、手口を絶えず進化させています。また、ハイブリッドな働き方に移行し、対面でのやり取りが減った人々を騙すことも、以前より容易になっているのです。
エリック・チュドウ、NSAサイバーセキュリティシステム脅威・脆弱性分析担当の専門家
大企業、中小企業、あるいはソフトウェアメーカーのいずれであっても、DMARCはメールドメインの利用状況を監視・制限するための主要な手段であり、自社および顧客のメールの正当性を確立するのに役立ちます。
dmarcianは、メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットの信頼性を高めることを使命として、組織のドメインカタログの評価、およびDMARCの導入と長期的な運用管理を支援します。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
