フィッシング被害が急増 企業で広がるDMARC対応
通信データの暗号化に必要な電子証明書の認証局を運営するデジサートは、「SSLを誰にとっても簡単に」の理念のもと、2003年に米国で立ち上げられた。法人向けに、TLS/SSLサーバ証明書やPKI(Public Key Infrastructure)、IoT、署名ソリューションなどを提供している。その日本法人がデジサート・ジャパンだ。
「当社のコンセプトは、“デジタルトラスト”です。顔が見えないインターネットの世界で、ウェブサイトやサービスの信頼を確立するソリューションを提供しています」
上村氏は、セッション冒頭で、2023年11月にセコム株式会社が発表した「日本人の不安に関する意識調査」に触れた。本調査では、「最近1年で不安を感じた出来事」の1位が、「偽メールや詐欺サイトを通じたフィッシング詐欺」となっている。2位の「無差別の通り魔事件」、3位の「空き巣などの住宅侵入」を上回り、フィッシングに対する消費者の不安がうかがえる結果だ。
実際、警視庁の発表:フィッシングと見られる不正送金によると、2023年のフィッシングと見られる不正送金の被害件数は、前年比4.5倍に急増したという。上村氏は「AI技術の発展により、正規メールとの区別が難しくなっている」と話す。
こうした状況を受け、EC事業者も対策を迫られている。たとえば、送信ドメイン認証のなりすましを防ぐ仕組み「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」への対応だ。
送信ドメインの認証には、IPアドレスによる認証「SPF」と、電子署名によって改ざんの有無を判断する「DKIM」がある。DMARCでは、この二つの認証が失敗したメールをどう扱うか、ポリシーを設定できる。
ポリシーは3種類ある。一つ目の「none」は、何も処理をせずにそのままメールを送信する設定だ。二つ目の「quarantine(隔離)」は、認証に失敗したメールを迷惑メールフォルダに分類し、三つ目の「reject(拒否)」は、認証できなかったメールを受信しないよう設定できる。送信者はDMARC認証のレポートを受け取れるため、どのようなメールが認証に失敗しているか確認可能だ。
Googleが2023年10月に発表したGmailの新ガイドラインでも、送信ドメインの認証が求められている。1日5,000件以上のメールをGmail宛に配信する場合は、「SPFとDKIMのメール認証の設定」「送信元ドメインでのDMARCポリシーを設定する」といった要件を満たさなければならない。同ガイドラインの発表による影響もあり、大手企業を中心にDMARCへの対応が進んでいる。
.jpg)
