DMARC の採用が順調：それでもメールのセキュリティ課題は山積

Google’s DMARC Push Pays Off, but Email Security Challenges Remain

2025/02/08 DarkReading — Google と Yahoo が大量メール送信者に対して Domain-based Message Authentication Reporting and Conformance (DMARC) 標準の実装を強制してから１年が経った。この間に DMARC 採用率は２倍に増えたが、メールを介した脅威は減ることなく、ペイロード配信やフィッシング・サイトへのリダイレクトなどが横行している。

Google と Yahoo が、大量メール送信者 (毎日 5,000 件を超えるメールを送信する企業と定義) に対して、DMARC の使用を義務付け始めたのは、2024年2月のことである。このメール認証標準では、Sender Policy Framework (SPF) と DomainsKeys Identified Mail (DKIM) という２つの認証仕様を用いて、承認されたメール・サーバからメールが送信され、真の当事者から送信されたことを確認するものだ。このテクノロジーにより、正当な企業やブランドによるメールの偽装が、はるかに困難になる。

サイバー・レジリエンス企業 Red Sift が、2月5日に発表したデータによると、この１ 年間で DMARC 採用ドメインは約 230 万件ほど増加したが、それでも約 87% のドメインには DMARC レコードがない。また、採用の状況もまちまちで、オーストリア／日本／インドネシアの組織では最も高い成長が見られ、上場企業での採用が高まっている。

DMARC の採用率が２倍になったことは大きな成功だが、いま以上に民間部門は頑張る必要があると、Red Sift の Managing Director of Resilience Strategy である Sean Costigan は言う。

彼は、「多くの分野で DMARC は、サイバー成熟度の指標とみなされているが、まだ初期の段階にある。たとえば、ヘルスケアでは、40% から 50% の採用率を超えるのに苦労している。DMARC が広範に採用され適切に管理されるなら、なりすまし／フィッシング／などのサイバー犯罪が減っていく」と付け加えている。

たとえば、Google では疑わしいメールが大幅に減少した。2024年に Gmail ユーザーが受信した未認証メールは 2,650 億件となり、約 65% も減少した。Google の Group Product Manager である Neil Kumaran によると、ホリデー・シーズンは 2024年もフィッシング攻撃が急増する時期のはずだったが、ユーザーが遭遇した詐欺は 35%も減少したという。

Neil Kumaran は、「これらの改善は、メール・エコシステム全体の健全性を大幅に向上させるものだと考えている。これらの要件を、あらゆる業界が受け入れ、すべての人々にとって健全なエコシステムが増えるべきだ。多くの人々が、DMARC は重要であると認識するようになったことを、実際に目にしてきた」

DMARC の採用が加速する可能性

DMARC の採用ペースを加速させているのは、大規模なメール送信者の存在だけではない。最新の PCI DSS (Payment Card Industry Data Security Standard) バージョン 4.0 では、クレジットカード情報を扱う全ての組織において、DMARC の採用が義務付けられている。EU の Digital Operational Resilience Act (DORA) では、メールのなりすましを阻止／報告する機能として、DMARC が必須となっていると、Red Sift の Costigan は言う。

Costigan は、「多くのケースにおいて、強制的な規制や法律が、大半の組織にとっての転換点となる。合理的で積極的なサイバー・セキュリティを実施しなければ、コストを要する規制措置や集団訴訟の可能性に直面するだろう。当然、メール・セキュリティと DMARC は、その一部である」と述べている。

セキュリティ意識向上およびトレーニング会社 KnowBe4 の、Data-Driven-Defense Evangelist である Roger Grimes は、「全体として、この認証の仕様は、意図したとおりに機能しており、そのことが、急速な採用の背景となっている。DNSSEC や IPSEC などのサイバー・セキュリティ標準は、だいぶ前から存在しているが、それらと比べて DMARC は、かなり速いペースで採用されている。この 10年の間に導入された、最も広く実装されているサイバー・セキュリティ標準として、DMARC は唯一無二の成功を収めている」と述べている。

ギャップを悪用するサブドメイン攻撃

しかし、脅威が減少したわけではない。攻撃者は、常に適応していると、Grimes は言う。通常において攻撃者は、類似のドメインの使用や、独創的な句読点による混乱などを引き起こし、認証済みのドメインからメッセージを送信することでエンド・ユーザーを騙していく。

Roger Grimes は、「DMARC が作成され、広く採用され始めてから、正当なドメインからのものだと主張する、フィッシング・メールの件数と割合は大幅に減少し、おそらく以前の数パーセント程度になった。しかし、残念なことにフィッシング攻撃者たちは、類似の名前を持つ不正なドメインを作成し、それに DMARC を適用し、DMARC 検査に合格するようにしている」と指摘している。

DMARC の回避で悪用される手法は、”サブドメイン” である。攻撃者たちは、未登録のドメインを含む SPF レコードを探し出し、孤立したドメインを乗っ取り、大規模なスパム・キャンペーンを実行している。あるケースでは、”msnmarthastewartsweeps.com” の SPF レコードに２つのドメインが含まれ、それらのドメイン・レコードにリストされている承認済みのメール・サーバは、認証済みのメールを送信できるようになっている。Sender Policy Framework では、”include” キーワードにより、それらのドメインの認証済みメール・サーバのリストが、信頼できるものとして指定できる。その結果として、”msnmarthastewartsweeps.com” の場合には、約 18,000 のドメインが承認されている。

メール・セキュリティに BIMI が登場

前述のとおり、いくつかの問題が残されているが、それでも DMARC を使用することで、エンタープライズ・メールの可視性は大幅に高められる。その理由は、DMARC に取り込まれる、メールの失敗を追跡するためのレポート機能により、ユーザー企業やサービス・プロバイダーが支援されるからである。それに従い、ユーザー企業のポリシーは「無し」から「隔離」へ、そして「拒否」へと、迅速に移行していくべきだと、専門家たちは述べている。

さらに、次のステップとして、メール受信者に対してロゴを表示する BIMI (Brand Indicators for Message Identification) への移行も検討する必要がある。この BIMI は厳格な DMARC を必要とするものであり、Red Sift のデータによると、現時点で準拠しているドメインは約 3分の1 に過ぎないという。

Google の Kumaran は、「これらのテクノロジーは、いずれも悪意のメールの問題を解決するものではないが、ユーザー企業とメール・サービス・プロバイダーに対して、信頼性の高いシグナルを提供するため、不要なメッセージや潜在的な攻撃をフィルタリングできる。DMARC を採用することで、認証されたメールは良性であり、認証されていないメールは悪性であるという結論には至らない」と述べている。

彼は、「これらの認証により、メッセージの発信元が確実になり、分類作業の精度が向上し、ユーザーへの保護を実際に提供できるようになる。攻撃の 100% が、実際に証明されることは、きわめて望ましい振る舞いだと思える。なぜなら、それにより、人々を保護する仕事に対して、そして、防御に携わる人々に対して、より強力なシグナルを提供できるからだ」と、締め括っている。

Google と Yahoo の方針により、DMARC の普及は進んでいます。しかし、すべての攻撃を防げるわけではありませんので、多層的なメール防御対策を講じることが不可欠です。DMARC については、「Gmail／Yahoo の DMARC が始まった：セキュリティの優位性をビジネスの優位性に」もあります。よろしければ、DMARC で検索と併せて、ご参照ください。