メインコンテンツへスキップ
米国国立標準技術研究所(NIST)がDMARCに関するガイダンスを公開

米国国立標準技術研究所(NIST)がDMARCに関するガイダンスを公開

2022年7月6日
エコシステムニュースセキュリティ・インサイト技術ガイダンス

世界的なフィッシング攻撃の件数が増加し、過去最高を更新していることは、多くの方にとって驚くことではないでしょう。 国際的な非営利団体であるアンチフィッシング・ワーキング・グループ(APWG)は、先日「2022年第1四半期フィッシング活動動向レポート」を発表し、その中で「合計1,025,968件のフィッシング攻撃を確認した。これはAPWGが観測史上最悪の四半期であり、四半期の総数が100万件を超えたのは今回が初めてである」と報告しています。

信頼できるメール

こうした不安を煽るような数字を踏まえ、読者の皆様にNIST特別刊行物800-177『Trustworthy Emailについて改めてご紹介する良い機会だと考えました。NISTの刊行物は一般的に原則の範囲内で扱われており、具体的な対策が必ずしも盛り込まれているわけではありませんが、『Trustworthy Email』は例外です。

要約には次のように記されている。「SMTP(Simple Mail Transfer Protocol)およびDNS(Domain Name System)の主要機能を支援するために推奨される技術には、送信ドメインを認証するための仕組みが含まれる。具体的には、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、およびDomain-based Message Authentication, Reporting and Conformance(DMARC)である。」

Trustworthy Email』の対象読者は多岐にわたり、企業レベルの組織から連邦政府のITシステム、さらには中小企業に至るまで、メール管理者、情報セキュリティ専門家、ネットワーク管理者などが含まれます。つまり、インターネットドメインを所有するほぼすべての人が対象となります。

NISTのガイドラインは、「電子メールの信頼性を高めるプロトコルや技術の導入に関する推奨事項を提示している。これらの推奨事項により、なりすましメールが攻撃の手段として悪用されるリスクや、電子メールの内容が権限のない第三者に漏洩するリスクを低減することができる。」

このガイドで取り上げている制御機能の多くは、基本的な電子メールのフレームワークにとどまらず、ドメインネームシステム(DNS)や公開鍵基盤(PKI)、その他のインターネットの基盤となる規格といった技術も活用しています。

送信ドメインの認証

このガイドには次のように記載されています。「送信ドメインを認証する目的は、送信者(不特定の人物や悪意のある者を含む)が他人のドメインをなりすまして偽の内容を含むメッセージを送信することを防ぎ、また、悪意のある者が転送中のメッセージ内容を改ざんすることを防ぐことにあります。 SPFは、送信ドメインが特定のドメインに対する正規のメール送信者を識別し、その正当性を保証するための標準化された方法です。DKIMは、送信メールサーバーから生成されたデジタル署名を使用することで、送信サーバーの正当性を保証し、中間者攻撃によるコンテンツ改ざんの脆弱性を排除するための仕組みです。

DMARCは、メール送信者が、自身のメールの取り扱い方法、受信者が送信できるセキュリティレポートの種類、およびそれらのレポートの送信頻度に関するポリシーを指定できるようにするために考案されました。SPFおよびDKIMの標準化された処理により、特定のメッセージが本物かどうかを推測する必要がなくなり、受信者は不正なメールの隔離や拒否をより確実に行うことができるという利点があります。 具体的には、受信側はメッセージの「From」アドレスを、SPFおよびDKIMの結果(存在する場合)やDNS上のDMARCポリシーと比較します。その結果に基づいて、メールの処理方法が決定されます。受信側は、そのドメインを起源とするとするメールについて、ドメイン所有者にレポートを送信します。これらのレポートは、不正なユーザーによるドメインの利用状況や、受信メールのうち「正当な」メールが占める割合を明らかにするものです。

第4章「送信ドメインおよび個々のメールメッセージの認証」では、SPF、DKIM、DMARC、およびS/MIMEデジタル署名について、定義や歴史から設定手順に至るまで、詳細に解説しています。ここでは詳細には触れませんが、『Trustworthy Emailの刊行物をご覧いただければと思います。

DMARCの本来の用途は、電子メール詐欺と戦うための身元確認にあります。DMARCは、ドメインの使用状況を可視化し、不正な送信者が組織を装ってメールを送信することを防ぎます。その結果、ドメインへの信頼が築かれます。この信頼によってメールの信頼性が確保され、DMARCは信頼性の高いメール配信の基盤となるだけでなく、配信の問題を解決するための第一歩となることがよくあります。

お困りの際は、お気軽にご相談ください

メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットの信頼性を高めることを使命として、当社は組織のドメインカタログの評価、およびDMARCの導入と長期的な運用管理を支援いたします。お気軽にお問い合わせいただくか、無料トライアルにご登録ください。導入支援およびサポートチームが、導入から運用まで全面的にサポートいたします。

この会話を続けたいですか?dmarcianフォーラムへどうぞ。

南北アメリカサイバーセキュリティDMARCのメリット調査

関連記事