日本プルーフポイントは12月12日、社内や取引先の関係者になりすまして偽のメールを送信する「ビジネスメール詐欺」に対抗するための、新しいクラウド型サービス「Proofpoint Email Fraud Defense(EFD)」を国内提供開始した。“なりすましメール”を検証/排除するための標準技術である「DMARC(ディーマーク)認証」の適切な運用や脅威の可視化を支援し、自社が受信するなりすましメールだけでなく、自社ドメインが外部でなりすましに悪用(詐称)されるケースへの対抗も図る。
ビジネスメール詐欺とは、社内や取引先の関係者になりすまして偽の業務指示をメール送付することで、金銭や機密情報の詐取などを図る詐欺行為を指す。不正ファイル(マルウェア)や不正サイトのURLを添付せず、本文に書いた内容で「人間をだます」ことだけを狙うケースが多く、この場合は企業が導入する既存のセキュリティ製品(アンチマルウェア、サンドボックスなど)では検知できないという。
プルーフポイントではすでに「Proofpoint Email Protection」などのメールセキュリティソリューションを提供しているが、上述のような特徴を持つビジネスメール詐欺への対抗力を高めるために、今回、EFDを追加してポートフォリオを拡充した。
DMARC(Domain-based Message Authentication, Reporting and Conformance)認証は、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つの送信ドメイン認証技術で検証されたドメインと、送信者がメールヘッダの「From」で自称しているドメインとを照合し、送信元ドメインを詐称しているメール(なりすましメール)を判定する技術だ。
さらにDMARCでは、自社ドメインのDNSレコードにおいて、このドメインが詐称された可能性がある(SPFやDKIMで認証できなかった)メールを受信した社内外のサーバーがどう処理すべきかを“宣言”できる。具体的には「受信を拒否する」「検疫する(迷惑メールとして隔離する)」といった処理を受信サーバーに要請することが可能であり、自社ドメインを詐称するなりすましメールによる被害発生を抑止できる。
また受信サーバーがなりすましメールを発見した場合は、ドメインが詐称されている組織に対してレポートメール(DMARCレポート)を送信する。これを確認することで、自社ドメインが外部でどの程度悪用されているのかを把握できる。
ただし、このレポートはXML形式のドキュメントであり、大量のレポートからセキュリティ管理者が全体像を把握するのが難しかった。また、送信元としてSPFやDKIMを適切に設定しなければならないが、その設定や運用には漏れが生じやすく手間がかかるという問題もあった。
今回国内提供を開始するEFDでは、クラウド型で提供されるWebダッシュボードを通じて、大量のDMARCレポートを自動集計/解析し、リアルタイムに可視化することができる(定期レポート機能やアラート機能も備える)。これにより管理者は、自社ドメインを詐称したなりすましメールや、自社が受信したなりすましメールの発生状況を知ることが可能になる。
さらに、SPFやDKIMによる認証状況も可視化し、それらの設定に漏れやミスがないかどうかを容易に検証できる。
プルーフポイントの高橋哲也氏によると、DMARCの採用率は、米国のエンタープライズでは50%を超えている。その背景として、米国ではISPにおけるDMARC対応が進んでいるほか、政府機関におけるDMARC義務化も始まっており、一般の関心が高いという。自社ブランド(ドメイン)が悪用される脅威を抑止するほかにも、DMARC採用済みの企業は攻撃者のターゲットから外されやすいという利点もある。
一方で、国内企業でのDMARC採用率はまだ12%程度(IIJ調べ)であり、「まずはDMARCを利用しましょう、というのが当社からの提案」(高橋氏)。そのために、DMARCを導入するうえでの難しさや、効果のわかりにくさを解消する今回のEFDをリリースした。「まずはこうした可視化ツールを使って、(ドメイン詐称の)脅威が存在することを知るのが大切」(高橋氏)。
■関連サイト
プルーフポイント「Email Fraud Defense」
プルーフポイント「DMARC入門」資料