電子メールのセキュリティを強化する DMARC の導入が進まない理由

2017.09.08

2012 年に DMARC (Domain-based Message Authentication, Reporting, and Conformance) が発表された当時、電子メールが完璧に認証されるユートピアのような世界がやって来ると考えた人も少なくありませんでした。



しかし、最新の調査結果(リンク先:英語)を見る限り、DMARC を導入している企業は少数であり、ユートピアはまだ訪れていないようです。



立ち上げ時には Microsoft、Facebook、Google、Yahoo、PayPal が強力に支持したにもかかわらず、Fortune 500 企業で自社ドメインに DMARC ポリシーを実装している企業は 39 社にすぎません。

124 社はパッシブな「none」監視モード (他の DMARC ドメインが自社の電子メールをどのように処理しているかを監視するだけ) で使用しており、337 社は全く使用していません。



DMARC を導入済みの業界は圧倒的にテクノロジー、金融、ビジネスサービスが多く、航空宇宙、エネルギー、エンジニアリングの各業界はごくわずかしか導入していません。



しかし、テクノロジーや金融でさえ導入している企業はまばらです。有名ドメインに対してフィッシングやなりすましを仕掛けるサイバー犯罪者にとって、これらの業界が最大の標的であることを考えると、この現状は不思議です。


調査報告書によれば、英国の FTSE 100 企業も同様で、3 分の 2 が DMARC を一切導入しておらず、完全な「reject」モードで使用している企業は 6 社だけでした。

電子メールセキュリティチームにとって DMARC は朗報であるはずなのに、何が問題なのでしょうか。



この夏の初めには、しびれを切らせた 1 人の米国上院議員が国土安全保障省 (DHS) 宛てに公開書簡を送り、なぜ多くの米国政府のドメインは DMARC を使用せず、国民に不利益をもたらしているのかを問いただすという出来事がありました。

問題は、DMARC が電子メールセキュリティチームにとって朗報では全くないことです。

DMARC は、電子メールドメインを使用する企業が、自社から送信されたとされる電子メールが他のドメインによってどのように処理されるのかを指示するポリシーを定義する方法です。



DMARC は、IP アドレスと暗号鍵認証に Sender Policy Framework (SPF) と DomainKeys Identified Message (DKIM) プロトコルを使用しており、フィッシング詐欺などの電子メールが認証されなかった場合の対処方法を受信側のドメインに対して指示します。

続いて DMARC は、ドメインの不正使用に関する詳細なレポートをドメイン所有者に提供するので、ドメイン所有者は電子メールの送信先となるユーザーの保護を強化できます。



言うまでもなく、この仕組みが最大の効果を発揮するのは、すべてのドメインで導入された場合です。多くの企業で DMARC が採用されなかった場合、企業が把握できる不正利用はごく一部に限定されてしまいます。

集合知の一種とも言える DMARC には、欠点があります。まず、電子メール管理者がクビになるような問題を引き起こすことなく DMARC を実装するには、多くの経験が必要です。SPF プロトコルで設けられている制限も役には立ちません。



また、外部の電子メールサービスを使用している場合、DMARC の管理に時間がかかるという課題もあります。

最大の欠点は、DMARC だけでは問題の一部しか解決できないという点です。広く採用されたとしても、犯罪者は乗っ取り機能を備えたツールボックスを使用したり、(認証をパスできる) 正規ドメインを使用して偽装メールを送信したりすることで、DMARC を迂回する方法を発見するでしょう。ドメインの不正利用だけが唯一の選択肢ではありません。



DMARC が広く採用されれば、変化がもたらされることは疑いようがありません。問題は、コストと労力をかけるだけの価値がその変化にあると企業が考えるかどうかです。悲観的なことは言いたくありませんが、セキュリティユートピアの存在を信じられなくなった企業もあるようです。

引用元

おすすめの記事はこちら