【判っているようで解らない、メールの話(全3回)】
第3回:フィッシングメールを検知したい?
バックナンバー
index
2024/12/11 ※更新
最近のフィッシングメールの傾向
フィッシングメールとは送信者を詐称したメールを使って公式サイトを模倣した偽サイトに受信者を誘導し、ユーザIDやパスワード、クレジットカードから有効期限等を盗み出す詐欺的な攻撃方法です。
こちらは最近私が受け取ったフィッシングメールを抜き出したものです。
皆さんもこのようなメールを受け取ることが多いかと思います。有名企業を騙るフィッシングメールは昔から存在していましたが、2018年ごろから徐々に通数や種類が増え始めました。
この頃から実際のメール文章をそのままコピーした本物のメールとほぼ同じ内容に変わり、メール本文を見ただけで判別するのが難しくなってきました。また件名を見ると、つい開きたくなるような(急いで対応しないといけないような)キーワードが並び、攻撃者が受信者に開かせるための工夫を重ねていることが伺われます。
実際にメールを開いて注意して見てみると、本文がテキストメールの場合は記載されているリンク先のドメイン部分が関連の無いドメインであることがわかります。ただし、本文がHTMLで記載されている場合には表示されているリンク先と実際のリンク先が異なっているため、カーソルをリンクに重ねてみないと実際のリンク先が判断できません。
さらに一般的なメールソフトでは表示されませんが、メッセージソースのヘッダーに記載される送信ドメイン認証の結果を確認することができれば、このメールが送信元を詐称していることが判明します。
このように普段から気を付けなければいけないポイントを意識しておけば、ある程度はフィッシングメールの被害を未然に防ぐことができると考えている方もいるかもしれません。しかし、フィッシングメールは日々進化を続けており、ビジネスメール詐欺のように周到に準備された手口で特定のメール受信者を騙すような手法も急増しています。すべての従業員が怪しいメールを即座に判断することはほぼ不可能ですし、今後さらに難しくなっていくと考えられます。
おまかせ検知によるフィッシングメールの検知、隔離
手口も巧妙化していて誰もが騙されてしまう危険性があるフィッシングメールに対し、被害に遭わないための対策はあるのでしょうか。自分は大丈夫と思っていても、それでは企業全体、全従業員へセキュリティ意識の浸透は出来ているでしょうか。従業員のセキュリティ意識の強化は重要な事ですがそれには時間を要します。まずはシステムによる対策が有効です。セキュリティソフトを導入することにより、フィッシングメールの疑いがあるメールを検知・除外することができます。
IIJの統合メールセキュリティソリューション「IIJセキュアMXサービス」では、現在複数のセキュリティベンダーのアンチウイルス、アンチスパムエンジンを搭載して脅威メールを判定しています。各社の異なる検知技術を多層に重ねることで特定ベンダーの技術だけに頼らない多角的な分析が可能です。脅威となるフィッシングメールを迷惑メール、あるいはウイルスメールとして検知することができます。
セキュリティ運用などでよく行われている送信元(ドメインやメールアドレス、IPアドレス等)や特定キーワードのブラックリストを登録、更新といった日々の業務は、IIJセキュアMXサービスを導入することで不要になります。世界中の数十億を超えるメールボックスに届く脅威メールの最新情報をもとに、リアルタイムに各社の検知エンジンが学習し、更新され続けているため、一般的に世の中に出回る脅威メール情報とは比較にならないほど早く、タイムリーにそれらの最新脅威メールの対策がなされているためです。
さらにIIJセキュアMXサービスのIIJ推奨のおまかせ設定のままで、あらゆる脅威メールが検知、隔離されます。Microsoft 365をご利用のお客様がフィッシングメールのすり抜けに悩まれて本サービスを追加メールセキュリティ対策として導入後、今まですり抜けてきたメールが確実に検知されるようになったと大変驚かれていました。
複数の送信ドメイン認証技術を用いたフィッシングメールの検知
IIJセキュアMXサービスではマルチセキュリティベンダーの多層脅威メール検知技術に加えて、独自実装した送信ドメイン認証フィルターとDMARCチェックフィルターを使うことで送信元詐称なフィッシングメールを検知します。送信ドメイン認証技術であるSPF、DKIM、DMARCを全て用いることで、より確実に送信元詐称を見破ります。これによりセキュリティベンダー各社の脅威メール検知技術をまれにすり抜けてくるフィッシングメールを検知、ブロックすることが可能となります。
送信ドメイン認証フィルターでは、例えば以下のような対応が可能になります。
- 特定企業・組織のドメインを差出人としたメールが送信ドメイン認証に失敗していたら、すべて隔離する、または表題に注意喚起する文字列を追加する
- 特定企業・組織のドメインを差出人としたメールが送信ドメイン認証に成功していたら、すべて受信する
自組織のドメインを送信ドメイン認証に対応しておくことで、自社ドメインを詐称して送られてきたメールは送信ドメイン認証フィルターを用いて本文の内容に関わらず、送信元詐称(なりすまし)メールということが判別できるので、受信者のメールボックスまで届く前に安全に隔離することができます。
逆に送信ドメイン認証にパスする正しい送信元から送られてきたメールは、迷惑メールフィルター等で誤検知されることなく、送信ドメイン認証にパスした時点で安全に受信許可されて確実に受信することが可能になります。
2024年6月に当社が発表した定期技術レポート「Internet Infrastructure Review」によると、送信ドメイン認証技術の一つであるSPF∗の普及率は94%(SPF=noneの6%を引いた数字)と高く、2021年6月に集計した89%から上がっており、SPFの認証結果に基づくフィルター等は一定の効果が期待できます。
出典:IIR vol.63
しかしその一方で、SPFのフィルターをかいくぐるタイプのフィッシングメールも増加していることから、SPFを補完するDKIMやDMARCなどの認証結果も考慮にいれたIIJセキュアMXサービスの送信ドメイン認証フィルターを用いることで、対策を強化することができます。
∗SPF (Sender Policy Framework)
有名企業、有名ドメインを詐称したフィッシングメール対策にはDMARCチェックフィルターが役立ちます。ドメインのオーナーが指定したDMARCポリシーに従い、認証に失敗したフィッシングメールを隔離、拒絶といった指定された処理を自動で行います。
IIJセキュアMXサービスでは、この他にも添付ファイルフィルター、マクロ除去フィルターなどの豊富な独自フィルターを提供し、フィッシングメールだけでなく、様々な脅威メールのリスクを低減することができます。
海外拠点のフィッシングメール対策にも有効な手段
日本本社と比較してセキュリティ対策が手薄になりがちなグループ会社や海外拠点などのサプライチェーンを標的にしたサイバー攻撃は、フィッシングメールをはじめとするメールを起点とした攻撃が後を絶ちません。
IIJセキュアMXサービスはクラウド上でメールセキュリティを強化する統合メールセキュリティサービスのため、様々なメール脅威への対策をワンストップで実現します。すでに海外でも多数の提供実績があり、多くの海外拠点のお客様のメールの課題を解決しています。
日本本社から海外拠点のセキュリティ対策を行う一歩としても、IIJセキュアMXサービス導入によるメール脅威対策は大変有効な手段です。海外拠点への導入に関する様々なサポートはIIJとIIJグループの海外現地法人がお手伝いします。
今なら、海外拠点のセキュリティ対策の導入ポイントを詳しく解説したホワイトペーパーを、無料でご提供しています。
執筆者:久保田 範夫
IIJ メールセキュリティエバンジェリスト
1997年IIJ入社。IIJの米国法人IIJ Americaに出向し、ネットワーク、セキュリティサービスの企画、構築、運用を担当。帰国後は大規模エンタープライズ向けにネットワークインテグレーションを経て、メールサービス部門にてサービスの企画、設計、運用に従事。
メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。
