【判っているようで解らない、メールの話(全3回)】
第3回:フィッシングメールを検知したい?
バックナンバー
index
2023/05/19
最近のフィッシングメールの傾向
フィッシングメールとは送信者を詐称したメールを使って公式サイトを模倣した偽サイトに受信者を誘導して、ユーザIDやパスワード、クレジットカードから有効期限等を盗み出す詐欺的な攻撃方法です。
こちらは最近私が受け取ったフィッシングメールを抜き出したものです。
皆さんも、このようなメールを受け取ることが多いかと思います。有名企業を騙るフィッシングメールは昔から存在していましたが、2018年ごろから徐々に通数や種類が増え始めました。
それ以前のフィッシングメールは文章が日本語的にどこか違和感を覚える内容が多く、目で見て怪しいと判断することも比較的容易にできましたが、この頃から実際のメール文章をそのままコピーした本物のメールとほぼ同じ内容に変わってきたために、メール本文を見ただけで判別するのが難しくなってきました。
また件名を見ると、つい開きたくなるような(急いで対応しないといけないような)キーワードが散りばめられている内容になっており、攻撃者が受信者に読んでもらうための創意工夫を重ねていることが伺われます。
さて、実際にメールを開いてみると、本文は通常のメールと見間違えてしまうほど違和感がありません。日本語の文章も特におかしなところはないようです。しかし注意して見てみると、本文がテキストメールだった場合は記載されているリンク先のドメイン部分が関連の無いドメインであることがわかります。ただし、本文がHTMLで記載されている場合には表示されているリンク先と実際のリンク先が異なっているため、カーソルをリンクに重ねてみないと実際のリンク先が判断できません。
さらに一般的なメールソフトでは表示されませんが、メッセージソースのヘッダーに記載される送信ドメイン認証の結果を確認することができれば、このメールが送信元を詐称していることが判明します。
普段から気を付けなければいけないポイントを意識しておけば、ある程度はフィッシングメールの被害を未然に防ぐことができると考えている方もいるかもしれません。しかし、フィッシングメールは日々進化を続けており、ビジネスメール詐欺のように周到に準備された手口で特定のメール受信者を騙すような手法も急増しています。すべての従業員が怪しいメールを即座に判断することはほぼ不可能ですし、今後さらに難しくなっていくと考えられます。
そこで、当社では統合メールセキュリティソリューション「IIJ セキュアMXサービス」をご提案いたします。ここからはIIJセキュアMXサービスを使って、より確実に昨今の詐欺メールをはじめとしたフィッシングメールを検知、止める方法についてご紹介します。
IIJセキュアMXサービスで脅威メールのお任せ検知
IIJセキュアMXサービスでは、現在複数のセキュリティベンダーのアンチウイルス、アンチスパムエンジンを搭載して脅威メールを判定しています。各社の異なる検知技術を多層に重ねることで特定ベンダーの技術だけに頼らない多角的な分析が可能となり、脅威となるフィッシングメールを迷惑メール、あるいはウイルスメールとして検知することができます。
セキュリティ運用などでよく行われている送信元(ドメインやメールアドレス、IPアドレス等)や特定キーワードのブラックリストを登録、更新といった日々の業務は、IIJセキュアMXサービスを導入することで必要なくなります。
世界中の数十億を超えるメールボックスに届く脅威メールの最新情報をもとに、リアルタイムに各社の検知エンジンが学習し、更新され続けているため、一般的に世の中に出回る脅威メール情報とは比較にならないほど早く、タイムリーにそれらの最新脅威メールの対策がなされているためです。
これによりIIJ推奨のおまかせ設定のままで、あらゆる脅威メールが検知、隔離されます。Microsoft 365をご利用のお客様がフィッシングメールのすり抜けに悩まれて本サービスを追加メールセキュリティ対策として導入された後、今まですり抜けてきたメールが確実に検知されるようになったと大変驚かれていました。
送信ドメイン認証技術を用いたフィッシングメールの検知
IIJセキュアMXサービスではマルチセキュリティベンダーの多層脅威メール検知技術に加えて、独自実装した送信ドメイン認証フィルターとDMARCチェックフィルターを使うことで送信元詐称なフィッシングメールを検知します。送信ドメイン認証技術であるSPF、DKIM、DMARCを全て用いることで、より確実に送信元詐称を見破り、セキュリティベンダー各社の脅威メール検知技術をまれにすり抜けてくるフィッシングメールを検知、ブロックすることが可能となります。
送信ドメイン認証フィルターでは、例えば以下のような対応が可能になります。
- 特定企業・組織のドメインを差出人としたメールが送信ドメイン認証に失敗していたら、すべて隔離する、または表題に注意喚起する文字列を追加する
- 特定企業・組織のドメインを差出人としたメールが送信ドメイン認証に成功していたら、すべて受信する
自組織のドメインを送信ドメイン認証に対応しておくことで、自社ドメインを詐称して送られてきたメールは送信ドメイン認証フィルターを用いて本文の内容に関わらず、送信元詐称(なりすまし)メールということが判別できるので、受信者のメールボックスまで届く前に安全に隔離することができます。
逆に送信ドメイン認証にパスする正しい送信元から送られてきたメールは、迷惑メールフィルター等で誤検知されることなく、送信ドメイン認証にパスした時点で安全に受信許可されて確実に受信することが可能になります。
本年6月に当社が発表した定期技術レポート「Internet Infrastructure Review」によると、送信ドメイン認証技術の一つであるSPF∗の普及率は89%(SPF=noneの11%を引いた数字)と高く、昨年6月に集計した87.9%からさらに上がっており、SPFの認証結果に基づくフィルター等は一定の効果が期待できます。
しかしその一方で、SPFのフィルターをかいくぐるタイプのフィッシングメールも増加していることから、SPFを補完するDKIMやDMARCなどの認証結果も考慮にいれたIIJセキュアMXサービスの送信ドメイン認証フィルターを用いることで、対策を強化することができます。
∗SPF (Sender Policy Framework)
SPFによる認証結果割合
有名企業、有名ドメインを詐称したフィッシングメール対策にはDMARCチェックフィルターが役立ちます。ドメインのオーナーが指定したDMARCポリシーに従い、認証に失敗したフィッシングメールを隔離、拒絶といった指定された処理を自動で行ってくれます。
IIJセキュアMXサービスでは、この他にも添付ファイルフィルター、マクロ除去フィルターなどの豊富な独自フィルターを提供し、フィッシングメールだけでなく、様々な脅威メールのリスクを低減することができます。
日々のブラックリスト登録などの運用は費用対効果が薄く、昨今ますます巧妙に偽装されたフィッシングメールの脅威をもはや防ぐことはできません。
IIJセキュアMXサービスを導入することでマルチセキュリティベンダーによる脅威メール検知技術でおまかせフィッシングメール対策を実施する事が可能です。
送信ドメイン認証フィルター、DMARCチェックフィルターによる送信ドメイン認証技術を用いた送信元詐称メール検知を組み合わせてフィッシングメールの脅威から従業員を守りましょう。
【無料】海外拠点のセキュリティ対策のホワイトペーパーをご提供中
今なら、海外拠点のセキュリティ対策の導入ポイントを詳しく解説したホワイトペーパーを、無料でご提供しています。
執筆者:久保田 範夫
IIJ メールセキュリティエバンジェリスト
1997年IIJ入社。IIJの米国法人IIJ Americaに出向し、ネットワーク、セキュリティサービスの企画、構築、運用を担当。帰国後は大規模エンタープライズ向けにネットワークインテグレーションを経て、メールサービス部門にてサービスの企画、設計、運用に従事。
メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。
