メインコンテンツへスキップ
DMARC:ランサムウェア防御の基盤

DMARC:ランサムウェア防御の基盤

2023年10月25日
エコシステムニュースメール技術

ランサムウェア、第1幕

記録に残る最初のランサムウェア攻撃は、1989年に郵便サービスを通じて行われた。当時、研究の進展を約束する名目で、マルウェアが仕込まれたフロッピーディスク2万枚が世界中のエイズ研究者に送付された。これらのディスクをコンピュータに挿入すると、マルウェアがインストールされ、データやシステムを復旧させるための支払いを要求するランサムウェアのメッセージが表示された。攻撃者は自身もエイズ研究者であり、エイズ流行に伴う切迫感と不確実性を利用し、他の研究者たちを標的にした。

今日でもサイバー犯罪者は、脅迫や緊急性を装う手口、ソーシャルエンジニアリングなどを駆使して、警戒心の薄い人々を騙し続けています。従来の郵便に代わって、サイバー犯罪者はセキュリティ対策が施されていないドメインを利用して、ランサムウェアを拡散するためのなりすましメールを送信しています。

ランサムウェアとは何ですか?

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ランサムウェアを「サイバー攻撃者がシステムやデータへのアクセスを遮断するために使用するマルウェアの一種」と定義している。悪意のあるサイバー攻撃者は、身代金が支払われるまでシステムやデータを人質として拘束する。最初の感染後、ランサムウェアは共有ストレージドライブやその他のアクセス可能なシステムへと拡散を試みる。要求が満たされない場合、システムや暗号化されたデータは利用不能なままとなるか、データが削除される可能性がある。

1989年に最初の攻撃が発生して以来、ランサムウェア攻撃は、教育機関、医療機関、あるいは重要なサービスやインフラを提供する組織を問わず、残念ながらあまりにも頻繁にニュースの見出しを飾る存在となってしまいました。ランサムウェアによる身代金支払いの額がこれほど高額であるということは、サイバー犯罪者たちが手口を洗練させ、システムや人間の弱点を悪用する方法を見出したことを意味しています。

ランサムウェア入門

この悪意のあるソフトウェアは、ダークウェブ上で悪意ある攻撃者が「RaaS(Ransomware-as-a-Service)」をビジネスモデルとして採用するに至ったほど、高度化しています。 開発や技術的な知識を持たないサイバー犯罪者でも、ダークウェブを閲覧してRaaSに加入することができる。また、仮想通貨の台頭により、サイバー犯罪者が報酬を受け取り、追跡不可能なランサムウェアの支払いを持ち去ることが容易になった。さらに、一部の国がランサムウェアの活動に対して容認的な環境を提供していることを加えれば、ランサムウェアが蔓延するための理想的な条件が整っていると言える。

そのため、世界中で報告されるランサムウェア攻撃の件数が過去最高を記録しています。Statisticaの報告によると、2023年時点で、調査対象となった組織の72%以上がランサムウェア攻撃の被害に遭っており、これは過去最高の数値です。過去を振り返ると、調査対象となった組織の半数以上が、ランサムウェア攻撃の被害を受けたことがあると回答しています。

そして、その影響に対処するための代償はますます高くなっている。ソフォスの「ランサムウェア・レポート2023」によると、復旧にかかる費用は2022年の140万ドルから2023年には182万ドルへと増加した。ランサムウェアへの支払額は、2022年の81万2,380ドルから2023年には154万ドルへと、ほぼ2倍に膨れ上がった。

最前線におけるDMARC

フィッシング攻撃はランサムウェアをインストールするための主要な攻撃手段であるため、CISAはユーザーおよびメール運用者に対し、「強力なスパムフィルターを有効にしてフィッシングメールがエンドユーザーに届くのを防ぐとともに、Sender Policy Framework(SPF)、Domain Message Authentication Reporting and Conformance(DMARC)、DomainKeys Identified Mail(DKIM)などの技術を用いて受信メールを認証し、メールのなりすましを防止する」ことを推奨しています。

スイスに拠点を置き、100カ国で1万7,000人の従業員を擁する農業・食品生産企業は、DMARCを導入した結果、メールトラフィックのうち不正なものが「75%以上から5%未満に減少した」と報告しています。同社のIT管理部門は、DMARCとdmarcianのメリットを高く評価しており、「dmarcianのダッシュボードを活用することで、ドメイン保護の進捗状況を容易に可視化できた」と述べています。

SPFおよびDKIMを基盤とするDMARCは、ランサムウェアに対する基本的な防御手段です。DMARCを利用することで、ドメイン所有者は、メールを介したランサムウェアの送信試みを阻止し、ドメインの不正利用から保護することができます。

DMARCがなりすまし対策技術として有用である理由は、ある画期的な発想に基づいています。悪意のあるメールをフィルタリングしようとするのではなく、正当なメールを簡単に識別できる手段を運用者に提供してはどうか、という発想です。DMARCが目指すのは、根本的に欠陥のある「悪質なメールを排除する」というセキュリティモデルを、「正当なメールのみを通す」というモデルに置き換えることです。

不正なメールに対して強力なセキュリティ対策を導入することで、配信プロセスが簡素化され、ブランドの信頼性が高まり、ドメイン所有者はインターネット上で自身のドメインがどのように利用されているかを把握できるようになります。p=quarantine p=reject の DMARC レコードp=reject ベンダー管理の慣行に DMARC の要件をp=reject 組織は、ランサムウェア攻撃に対するメール環境の安全性向上に寄与します。

dmarcianは、保護されていないドメインから拡散するランサムウェア攻撃を阻止するため、インターネット全体へのDMARCの普及に取り組んでいます。DMARCの導入でお困りの場合は、当社のDMARC管理プラットフォームをお試しいただくか、お気軽にお問い合わせください。

この会話を続けたいですか?dmarcianフォーラムへどうぞ

サイバー犯罪サイバーセキュリティDMARCのメリット

関連記事