[新製品・サービス]

TwoFive、なりすましメールを可視化するクラウドサービス「DMARC / 25」

2017年6月21日(水)日川 佳三(IT Leaders編集部)

メール専門会社のTwoFiveは2017年6月21日、企業や団体になりすました不正メールへの対策を支援する新サービス「DMARC / 25」を発表し、その第一弾として、メール送信状況を解析するクラウドサービス「DMARC / 25 Analyze」を発表、同日提供を開始した。価格は非公開で、顧客からの問い合わせに対して定価をアナウンスする。

 なりすましメール対策の仕組みであるDMARCによって得られる大量のXML形式の認証結果情報(DMARCレポート)をクラウド上で集計・解析し、Webベースのレポートとして可視化するサービスである(図1)。このサービスを利用すれば、DMARCレポートを可視化するアプリケーションを自前で開発しなくても、なりすましの状況を分かりやすく把握できる。

図1 DMARC / 25 AnalyzeのWebレポート画面の例
拡大画像表示

 Webのレポートを参照することによって、自社のドメインが不正に利用されていないかどうかを確認でき、なりすましの疑いがあるメール送信を検知できる。自社のなりすましメールを検知した場合、自社のメールを受信する可能性のある顧客やパートナ企業に警告を通知するなどして被害を抑止できる。

写真1 TwoFive社長の末政延浩氏

 DMARC / 25 Analyzeの使い方は簡単である。DMARCでは、メール受信サーバーがDMARCの認証結果情報(DMARCレポート)を生成し、これを正規のメール送信者のメールアドレスに転送する仕掛けがある。この転送先メールアドレスは、メール送信者のDNSのDMARCレコードに書く仕組みになっている。このメールアドレスをDMARC / 25 Analyzeのメールアドレスに書き換えることでDMARC / 25 Analyzeを利用できる。

写真2 「迷惑メール対策推進協議会」の委員長であるインターネットイニシアティブの櫻庭秀次氏

 なりすましメール対策の重要性について、TwoFive社長の末政延浩氏(写真1)は「マルウエアの侵入経路の多くがメール」である点を指摘。また、国内でDMARCの普及に取り組んでいる「迷惑メール対策推進協議会」の委員長であるインターネットイニシアティブの櫻庭秀次氏(写真2)は、「今や、なりすましメール対策をしていないと、勝手に自社ドメインを使われる」と指摘し、なりすましメール対策に未対応のドメインばかりを選んでなりすましメールを送った攻撃例を報告した。

第二弾はメールゲートウエイ

 今後の予定としては、なりすましメールを抑え込む施策として、2018年3月末までに「テイクダウンサービス」を提供する。同サービスでは、企業の依頼を受けて、なりすましメールを送信している組織やシステムへの送信停止の要望、悪質なメール送信者のブラックリストであるRBLへの登録の働きかけ、迷惑メールのフィルタリングベンダーへのフィードバック、などを実施する。

 さらに今後、DMARC / 25 Analyzeに次ぐ新サービスとして、自社のメールシステムをDMARCに対応させるためのメールゲートウエイサーバー製品を提供する。メール送信者向けの「DMARC / 25 Sender」と、メール受信者向けの「DMARC / 25 Defender」である。いずれも、オンプレミスで動作するサーバーソフトとして提供するほか、SaaS型クラウドサービスとしても提供する。

 なお、TwoFiveではDMARC / 25 Analyzeの提供開始に合わせて、なりすましメール対策の背景や知識、ノウハウ、事例などをまとめたWebサイト「なりすまし対策ポータル ナリタイ」(https://www.naritai.jp/)を公開した。

送信ドメイン認証結果を用いてアクセス制御とレポーティングを実施

 なお、なりすましメール対策のDMARCとは、SPFとDKIMという2つの送信ドメイン認証/なりすましメール対策を前提に、「SPFとDKIMを集大成させた」(櫻庭氏)対策である(図2)。前提となるSPFとDKIMはいずれも、メールの送信者が正規の送信者かどうかを調べる送信ドメイン認証技術で、SPFはIPアドレス、DKIMは電子署名で認証する。

図2 DMARCは、いわゆる身元証明に利用できる。SPFとDKIMという2つの送信ドメイン認証技術を使う
拡大画像表示

 メール受信者側でSPFを使う場合、SMTPセッションのMAIL FROMコマンドの引数(エンベロープFROM)で得られる送信元ドメイン名からDNSをひき、DNSのSPFレコードに登録されているメール送信サーバーのIPアドレスを調べる。このIPアドレスと実際のメール送信元IPアドレスが一致するかどうかを判定する。

 メール受信者側でDKIMを使う場合、メール本文に含まれるDKIMヘッダーから得られる送信元ドメイン名からDNSをひき、DNSのDKIMレコードに登録されている公開鍵を得る。これを使ってDKIMヘッダーに含まれる電子署名を検証して判定する。

 DMARCは、SPFとDKIMの認証結果を元に、アクセス制御やレポーティングを自動で行えるようにする仕組みである。SPFとDKIMの認証に失敗したメールの受信を拒否するといったアクセス制御を機械的に処理できるようになるほか、認証結果をメール送信者に伝えて情報を共有できるようになる。

 DMARCではまた、SPFとDKIMの判定とは別に、メール本文中のFROMヘッダー(なりすましメールが詐称する部分)に書かれているドメイン名が、SPFが判定に用いるドメイン名(エンベロープFROM)やDKIMが判定に用いるドメイン名(DKIMヘッダーに含まれるドメイン名)と一致するかどうかも判定する。

 これらの後に、メール本文中のFROMヘッダーに書かれているドメイン名に対してDNSをひき、DNSのDMARCレコードを参照する。DMARCレコードには、なりすましメールの処置の方法として、メール受信者側で受信を拒否してもよいといった、アクセス制御ルールが宣言されている。さらに、レポートの送信先メールアドレスが書かれている。

 DMARCの近々の動向として、メールの中身を調べてアクセス制御に利用するという使い方が、現状ではいわゆる“通信の秘密”に抵触するのではないかという点について、「法的整理で道筋ができつつある」と櫻庭氏は言う。2017年秋を待つことなく、何らかの成果が発表される、としている。
 

関連記事

TwoFive、なりすましメールを可視化するクラウドサービス「DMARC / 25」メール専門会社のTwoFiveは2017年6月21日、企業や団体になりすました不正メールへの対策を支援する新サービス「DMARC / 25」を発表し、その第一弾として、メール送信状況を解析するクラウドサービス「DMARC / 25 Analyze」を発表、同日提供を開始した。価格は非公開で、顧客からの問い合わせに対して定価をアナウンスする。

PAGE TOP