Over Half of UK Banks Are Exposing Customers to Email Fraud
2023/06/27 InfoSecurity — 英国の大手金融機関の大半において、DMARC の導入が不十分であるため、顧客を電子メール詐欺から守れていないと、セキュリティ専門家たちが警告している。DMARC (Domain-based Message Authentication, Reporting and Conformance) プロトコルとは、メッセージが配信される前に送信者の身元を認証することで、電子メールを介した詐欺やなりすましの防止に有益なものである。
ただし、そこで提供されるものとして、監視 (monitor)/隔離 (quarantine)/拒否(reject) の3つのレベルがある。不審なメッセージが、ユーザーに読まれないようにするためには 拒否(reject) が必要となる。隔離 (quarantine) はスパム・フォルダへの誘導に使われ、監視 (monitor) の場合は受信トレイへの誘導が行われる。
Proofpoint の分析によると、英国の銀行 150行の DMARC 戦略においては、その 30% が未導入であり、まったく保護されていないことが判明した。また、18% は、最も弱い DMARC ポリシーである [監視] を採用しており、事実上、顧客に対しては何の保護も提供されていない。DMARC の [拒否] ポリシーを導入している銀行は、調査対象の半数以下である 47% だった。
Proofpoint の Cybersecurity Strategist である Matt Cooke は、「銀行および金融機関は、膨大な量の個人データや金融データを保管しているため、サイバー犯罪者にとって格好の標的となっている。銀行部門における継続的なデジタル化と、顧客によるモバイル・アプリ利用の増加に伴い、これらの機関においては、潜在的なサイバー脅威から保護するための、サイバー・セキュリティ対策を優先することが極めて重要である。顧客のデータと資金を保護するために、企業は警戒を怠らず、進化する脅威の状況を先取りすることが不可欠だ」と述べている。
DMARC は、顧客や従業員といったステークホルダーに対する、フィッシングの脅威を軽減するだけではなく、BEC (business email compromise) の脅威の増大に取り組む上でも重要であると、Proofpoint は主張している。
BEC の詐欺師は、フィッシングの手口を使って、CEO/財務チームメンバー/サプライヤーなどのメールアカウントを乗っ取り、メールの流れを監視し、個人になりすまし、企業に対して膨大な資金の不正な送金を要求するものである。
文中でも DMARC 自身について説明されていますが、NIC の用語集がわかりやすかったです。銀行などでは、送信元メールサーバの IP アドレスなどの正当性について、確認することが必須だと思いますが、DMARC の浸透率は低いようですね。
IoT OT Security News 
You must be logged in to post a comment.