[新製品・サービス]

成りすましメール対策でDMARCレポートの可視化サービス、日本プルーフポイント

2017年12月12日(火)日川 佳三(IT Leaders編集部)

日本プルーフポイントは2017年12月12日、なりすましメール対策の仕組みであるDMARCによって得られる認証結果レポートを分かりやすく可視化するクラウドサービス「Proofpoint Email Fraud Defense」(Proofpoint EFD)を発表、同日提供を開始した。ビジネスメール詐欺(Business Email Compromise、以下BEC)対策を主な目的とする。価格はオープンで非公開だが、Proofpoint EFDを無償で評価できる環境を提供する。

 前提となるDMARCとは、なりすましメール対策技術である。特徴の1つは、メール本文中で送信者を示している部分(FROMヘッダー)を詐称しているメールを検知して、なりすまされた企業あてにレポートを送ってくれることである。このレポートはXML形式であり、DMARCレポートと呼ばれる。

 今回開始するクラウドサービスのProofpoint EFDは、なりすましメールを受信した組織から、なりすまされた企業あてに送られる報告(DMARCレポート)を、なりすまされた企業に変わって収集し、Webベースのレポートとして可視化するサービスである。このサービスを利用することにより、なりすまされた状況を分かりやすく把握できるようになる。

図1●Proofpoint EFDを使うことで分かること(出所:日本プルーフポイント)図1●Proofpoint EFDを使うことで分かること(出所:日本プルーフポイント)
拡大画像表示

 DMARCレポートを可視化するクラウドサービスは他にもあるが、Proofpoint EFDでは、DMARCに関連したメール運用についてアドバイスを提供するマネージドサポートを提供できる。さらに、同社のメールゲートウェイ製品「Proofpoint Email Protection」を使っている場合は、メールゲートウェイが出力するメール認証結果を可視化する機能も提供する。

 日本プルーフポイントによると、昨今のなりすましメールの動向として、ビジネスメール詐欺(BEC)が増えている。不正プログラムの添付やフィッシングサイトのURLなどを含まず、純粋にメールの本文のみで勝負をかける詐欺メールである。マルウェアなどの既存の攻撃手法と組み合わせて使われるケースが多く、例えば攻撃の最後に「送金先の変更を指示するメール」を送るといった使い方がある。

未登録のメール送信サーバーを発見し、登録をアドバイス

 マネージドサポートでは、DMARCを使う際に必要なDNSレコードの記述方法などについてアドバイスを実施する。メール受信者がなりすましメールを検知した場合のメールの処理方法や、DMARCの構成要素の1つである送信ドメイン認証技術(SPFとDKIM)の設定についてアドバイスする。例えば、正しいメールサーバーと思われるがSPFの設定に漏れているIPアドレスなどを調べて提示してくれる。

 マネージドサポートの狙いの1つは、DMARCの設定において、自社になりすましたメールの処理方法として「reject」(受信拒否)を宣言することである。DMARCの運用を始めたばかりでrejectを宣言すると、なりすましメールではない正しいメールもrejectされてしまう恐れがあるので、運用を通じてメール送信サーバーのIPアドレスの設定を見直すなど、調整していく。

 Proofpoint EFDの使い方は簡単である。DNSの設定だけで使えるようになる。DNSに設定するDMARCレコードの中で、DMARCレポートの受信メールアドレスを記述できるので、ここにProofpoint EFDのメールアドレスを記述する。

DMARCは、SPFとDKIMを包含した成りすましメール対策

 DMARCは、SPFとDKIMという2つの送信ドメイン認証技術を前提としている。SPFとDKIMはいずれも、メールの送信者が正規の送信者かどうかを調べる送信ドメイン認証技術であり、SPFはメール送信サーバーのIPアドレスが正しいかどうかを認証し、DKIMは電子署名を使って認証する。

図2●DMARCの仕組み(出所:日本プルーフポイント)図2●DMARCの仕組み(出所:日本プルーフポイント)
拡大画像表示

 SPFによる認証は、SMTPセッションのMAIL FROMコマンドの引数(エンベロープFROM)に含まれるドメイン名からDNSをひき、DNSのSPFレコードに登録されているメール送信サーバーのIPアドレスを調べる。IPアドレスが一致するかどうかを判定する。

 DKIMによる認証は、メール本文に含まれるDKIMヘッダーで表現されたドメイン名からDNSをひき、DNSのDKIMレコードに登録されている公開鍵を入手。これを使ってDKIMヘッダーに含まれる電子署名を検証して判定する。

 DMARCでは、SPFとDKIMの判定とは別に、メール本文中のFROMヘッダー(なりすましメールが詐称する部分)に書かれているドメイン名が、SPFが判定に用いるドメイン名(エンベロープFROM)やDKIMが判定に用いるドメイン名(DKIMヘッダーに含まれるドメイン名)と一致するかどうかを判定する。

 これらの後に、メール本文中のFROMヘッダーに書かれているドメイン名に対してDNSをひき、DNSのDMARCレコードを参照する。DMARCレコードには、なりすましメールの処置方法として、メール受信者側で受信を拒否してもよいといった、アクセス制御ルールが宣言されている。さらに、レポートの送信先メールアドレスが書かれている。

関連キーワード

DMARC / SPF / DKIM

関連記事

成りすましメール対策でDMARCレポートの可視化サービス、日本プルーフポイント 日本プルーフポイントは2017年12月12日、なりすましメール対策の仕組みであるDMARCによって得られる認証結果レポートを分かりやすく可視化するクラウドサービス「Proofpoint Email Fraud Defense」(Proofpoint EFD)を発表、同日提供を開始した。ビジネスメール詐欺(Business Email Compromise、以下BEC)対策を主な目的とする。価格はオープンで非公開だが、Proofpoint EFDを無償で評価できる環境を提供する。

PAGE TOP