【ビジネスメール詐欺(BEC)対策 コラム】

ビジネスメール詐欺:
DMARCなどドメイン認証の
すり抜けを狙った手口

海外では既に数年前から多額の被害が報告されていましたが、日本国内においても昨年末には大手航空会社での「ビジネスメール詐欺(以下、BEC)」による金銭被害が複数の報道機関で報じられました。この報道に前後して、BECメールの着弾や被害を受けられた法人・団体からのご相談が急激に増えています。

本記事では、BECを中心にメールセキュリティに関するテーマを取り上げ、攻撃の手法(前編)と対策方法(後編)を解説していきます。

DMARC認証とは?

「なりすまし」メールの対策として、最初に挙げられるのが「ドメイン認証」と言えるでしょう。DMARCとは、メールにおけるドメイン認証を利用し認証を行う仕組みです。メールアドレスのドメインを見て、それが正規なサーバから発信されているか否かを検証します。(下図1)「@trendmicro.co.jp」ではない犯罪者が、その正規ドメイン名でメールを送信しても、受信側との認証でなりすましと判断されるので、正規のサイトを騙る攻撃が行いにくくなります。

図1:DMARC/DKIM/SPFでのドメイン認証 概念図

DMARCはメールの送信ドメイン認証技術であるSPF(送信元メールサーバのIPアドレスによる確認)、DKIM(電子署名による確認)を使い、受信側であるドメイン管理者が受信したメールをどう扱うかをいわば宣言するための仕組みです。

1)メールヘッダーの送信者情報=from:のドメインとSPF/DKIM認証した送信ドメインが同一か確認
2)送信者が認証に失敗した際の取扱い(P=: none / quarantine /reject )を指定可能
3)送信者が認証結果を受け取る事が可能

DMARCはヘッダーのfromに記載されたドメインの一致も確認するため、なりすましメール対策に有効なソリューションとして期待されています。

ドメイン認証は優れた仕組みですが、課題の一つに普及率が挙げられます。いずれの認証方式であれ送信者側だけでなく、受信者側も同じ認証に対応して無ければなりません。自社でDMARCを導入しても、取引先や顧客などがDMARC対応していなければ利用が出来ません。

国内のDMARC普及率を本年2月に総務省が公表しました。MXレコードを有するドメインで比較算出すると、残念ながら1%にも満たないのが現状です。

DMARC認証をすり抜ける手口

サイバー犯罪者がDMARCをすり抜ける手口として「類似ドメイン」を使う方法があります。例として、「trendmicro.co.jp」になりすます場合を見てみましょう。

図2:模倣ドメインによるDMARCの無効化例

【すり抜けのポイント】
・「なりすまし」たいターゲット(本物) @trendmicro.co.jp
・「なりすまし」たドメイン(偽物) @trendrnicro.co.jp

ターゲット企業「支払側A」からの金銭の獲得を狙うサイバー犯罪者は、取引先などに「なりすまし」詐称されたメールとして、例えば請求書や口座変更依頼などをターゲット企業の特定の人間に送ります。

DMARC認証を導入済みのターゲット企業はこのメールを受信すると、DMARCプロセスに基づき、送信者のDNSに公開鍵を要求します(この場合DKIM)。もし、@trendmicro.co.jpでなければ、DNSからの公開鍵が合わずに拒否されます。

そこで攻撃者は、後々ディスプレイネームで表示される際にも、人間が視認した時に見落としやすい新たな攻撃用のメールドメインを作成しDMARC登録をします。上記の例では、「m(エム)」を「rn(アール/エヌ」」に変えたドメイン名で、これは「模倣ドメイン」と呼ばれています。

ターゲットに対して送るニセの請求書を、DMARC登録された「trendrn(アール/エヌ」icro」にすれば、受信側サーバはDMARC(DKIM)の手順に則り「@trendrn(アール/エヌ」icro.co.jp」のDNSに公開鍵を要求するので、正規に認証が成立します。

他にも同様に人間の目をだますための模倣ドメインとして下記のような例が使われます。
・「0(ゼロ)」と「O(オー)」
・「「o(オー)」と「a(エイ)」
・「S(エス)」と「5(ゴ)」 etc

信頼性が高いとされるドメイン認証が成立することで、その後の人の目のチェックも油断が生じやすくなる面もあるでしょう。 サイバー犯罪者は、技術的な対策に対して、それを使う人を騙すテクニックを使用して忍び込んでくるのです。

ドメイン認証が普及することで大きくセキュリティの向上は見込まれますが、一方で認証だけでは防ぐことが難しい攻撃も実在します。多層防御の考え方に基づき、なりすましメールから派生するリスクを軽減する必要があります。

次回(後編)は、こうしたDMARC認証のすり抜けを狙う“なりすましメール”を検知するトレンドマイクロのメールセキュリティ技術をコラムで紹介します。

吉田 睦
プロダクトマーケティング本部
国内大手SIを皮切りに、ハイエンドUnixサーバでのプロダクトマネージャや企業向けミッドレンジストレージのOEM提供など外資系ベンダーにて日本向けにシステムインフラを広める製品エキスパートとして活躍。2009年トレンドマイクロへ入社し、以降10年近く、ゲートウェイ・セキュリテイ系一筋に製品責任者として、また、オンプレミスのみならずクラウドメールセキュリティの立ち上げにも従事。

記事公開日 : 2018.6.19
 この記事は、公開日時点での情報です

TREND MICROはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2018年6月現在のものです。内容は予告なく変更になる場合がございます