“運用”ではなく“仕組み”で守ろう フィッシングメール対策の次なる一手は：半径300メートルのIT

サイバー攻撃の中でもフィッシングは古典的ゆえに根絶が難しいものの一つです。この対策を従業員任せにするのではなく仕組みで守るためにはどうすればいいのでしょうか。

[宮田健，ITmedia]

　フィッシング対策協議会から月次の報告書が公開されました。この報告書は毎月、どの程度のフィッシングが発生しているかが統計として明らかにされています。特にB2Cでサービスを展開している企業にとっては、避けられないフィッシングの現状を知ったりその対策を考えたりするきっかけになるレポートです。

　2023年9月6日にも、8月時点でのフィッシング報告件数が公開されました。まずはぜひチェックしてみてください。

2023年8月フィッシング報告状況（出典：フィッシング対策協議会のWebサイト）

フィッシング対策を従業員任せにしない　3つの仕組みで保護しよう

　このグラフを見ると、意外にもフィッシングの報告には波があることが分かり、2023年6月をピークに下落傾向であると分かります。しかしフィッシングに限って言えば、件数などはサイバー攻撃者の気分次第で変わってしまうものなので、下落したから安心、上昇したから気を付けようという類のものではないでしょう。「フィッシングは今ここにある危機だ」と再認識する心構えでグラフをチェックしましょう。

　フィッシングには特に狙われやすいブランドというものがあります。これは皆さんのメールボックスで迷惑メールフォルダを開いてみると理解できるかもしれません。特定のECサイトや特定のクレジットカードブランド、特定の配送業者の名前をかたる偽の電子メールがたくさん見つかるはずです。自社に矛先が向く可能性はゼロではありませんので、このレポートを有効活用して対策を講じましょう。

　フィッシングという攻撃手法は基本的に、電子メール経由で個人を狙い撃ちします。電子メールはインターネットの黎明期から今日に至るまで使われ続けていますが、サービス開始当初はフィッシングのような悪意ある利用方法を想定していなかったということもあり、これを防ぐ仕組みを実装するのが非常に難しい実態があります。

　昨今は幾つかの防御の仕組みが出てきましたが、全てのメールサーバでの対策は進んでいないため受信拒否が発生し、「電子メールが届かない」という事象も増えてきています。2022年7月にはそんな悩みを取り上げたこともありました。

　ちなみに筆者の周りでも電子メールのエラーが目立つようになっています。主にメーリングリスト（これも古い技術の仕組みではありますが……）に電子メールを投稿すると、エラーで電子メールが返ってくる人が多数存在し、連絡手段として不安定になっています。迷惑メール対策でSPFレコードの設定チェックが厳しくなったことが原因ではないかと推察されます。

　SPFレコードとはなりすましメールを防止する仕組みで、あるドメインの電子メールがどのIPアドレスのサーバから送信していいかを定義するものです。その定義にないIPアドレスからの電子メールはなりすましだと判断できるので、結果的に迷惑メールを防止できるわけです。

　これ以外には「DKIM」「DMARC」という仕組みもあります。DKIMは簡単に言えば電子メール送信時に電子署名を実施し、受信側がその署名が正しいかどうかをチェックする仕組みで、DMARCはSPFやDKIMで認証に失敗したときのポリシーを定義するものです。この3つを組み合わせることで、なりすましメールを防止できる可能性が高まります。

　フィッシング対策協議会の月次報告書でもフィッシング対策として、SPFとDKIM、DMARCを全て設定することが推奨されています。DMARCを設定することで、正規の電子メールが検証をパスし、相手に届いているかどうかが分かるDMARCレポートを受け取れるようになります。

　電子メール配信に使っていない、正規ではないドメインはポリシーとしてリジェクトすることを明示できますので、電子メールをビジネスに利用している事業者は、ぜひこれをしっかりと設定するように、実施スケジュールを立ててほしいと思います。

なりすましメール対策の新たな一手「BIMI」に至る道を整備せよ

　実は筆者も、個人で使用しているドメインにSPFとDKIM、DMARCを設定してみました。SPFは見よう見まねで随分前に設定していたつもりが、サーバ移転で変更した送信メールサーバのIPアドレスが間違っていたことが分かり、急いで修正しました。

　DKIMは最近になって対応するサービスも増え始め、個人で所有するドメインに対し、1クリックで対応できるようなホスティングサービスもあるようです。それぞれDNSのレコードを追加することになりますので、設定に関してはネットワーク管理者に依頼しましょう。

　これによって「Gmail」なら受信したメールで「メッセージのソースを表示」とすると、SPFとDKIM、DMARCがそれぞれチェックを通ったかどうかを確認できるようになりました。これで筆者の電子メールがエラーにならず宛先に到達できる可能性が高くなった……はずです。

Gmailで「メッセージのソースを表示」からSPFとDKIM、DMARCの状況を確認できる（出典：筆者のGmailの設定画面）

　しかしここまでしなければ対応状況が分からないのに加え、これらをいちいちチェックするのは現実的ではありません。そこで、これらのチェックがパスできているときに限り、送信メールにブランドのロゴを追加する「BIMI」という仕様が実装されつつあります。皆さんももしかしたら、Gmailなどでロゴが表示されている電子メールを見たことがあるかもしれません。これはSPFとDKIM、DMARCがパスしていなければ表示されないため、なりすましではない、ということが一目で分かるようになっています。

（左）筆者のメールボックスにある電子メールのうちBIMIに対応していたもの。赤丸部分のSteamのロゴがメールヘッダ表示されている（右）ソースを表示するとそれぞれ「PASS」となっていることが分かる（出典：筆者のGmailのメールボックス）

　BIMIに対応するためにはSPFとDKIM、DMARCに対応している必要があるのに加え、ロゴが商標登録されている必要があるので、それなりにコストがかかるものかもしれません。さらにBIMI対応のメールソフトはまだ少ないのが実情です。

　しかし電子メールは今後もしばらくは使われるはずですし、なりすましを排除するための仕組みはアップデートし続けなければならないので、まずはこのBIMI対応を目指し、自社の電子メール送信の屋台骨を強化することは無駄ではないはずです。

　BIMI対応に至るまでには、恐らく多くの関係部署との協議が必要になるでしょう。とはいえプロモーションの効果を向上させつつ、セキュリティ的にも効果があるという意味では、対応を推し進めやすい仕組みだと思います。まずは自分のメールボックスを見て、他社がどの程度BIMI対応メールを送っているかをチェックしてみてはいかがでしょうか。同業他社が対応していたら……急ぐべきかもしれませんね。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。