Male Hands Pressing on Tablet

米国政府がDMARCを義務化:正しい方向への第一歩

October 17, 2017
Robert Holmes

電子メール認証を政府全体に導入するよう求める7月のRon Wyden上院議員からの公開書簡に応え、DHS(米国国土安全保障省)は月曜日、政府機関からのメールを受け取る人および政府のWebサイトを訪れる人向けにセキュリティを強化すると発表しました。

DHS、ニューヨーク州地区検察局及びGlobal Cyber Allianceが招集したミーティングで、Jeanette Manfra次官補は、政府機関に2つのセキュリティプロトコルの使用を求める、拘束力を持つ指令を出すと述べました。そのプロトコルとは、詐欺師による偽メールの送信を防ぐDMARCと、Webトラフィックを暗号化するHTTPSです。

これは、日々サイバー犯罪と闘っている市民や組織にとって歓迎すべきニュースです。

サイバー犯罪者にとって、世界中の政府機関は主要なターゲットです。彼らはIDを偽装して一般大衆、企業あるいは政府機関そのものから個人情報や金銭を盗もうとしています。税申告シーズンに多発するIRS(米国内国歳入庁)を騙る詐欺が、最もよくその状況を表しています。

Proofpointのような企業は、長年にわたってDMARCの利用を呼びかけてきましたが、企業での採用数が増えるに従い、各国の公的機関の対応の後れが目立ってきていました。今回の新しい指令は、2016年6月に英国政府が発表した類似のガイドラインの影響を受けています。このガイドラインにより、英国の全ての公的機関は2016年10月1日までにDMARCレコードを公開し、ドメインを不正利用した詐欺的メールの防止を開始しなければなりませんでした。

DMARCの導入に直接携わった経験がある人ならば、DHSのスケジュールがいかに困難かがわかるでしょう(以下を参照)。どの政府機関が対象になるかは正確にはわかりませんが、いずれにせよ作業量は膨大です。米国国務省ですら、2/3の部門はまだDMARCレコードを公開しておらず、モニタリングモードから先へ進んでいる部門は皆無です。政府機関のメールインフラは複雑化している場合が多く、DMARCをリスク無しに(言い換えれば、正規のメールをブロックしないように)導入するためには、膨大な経験値とリソースが必要です。

それでも、導入のメリットは明らかです: よく米国のIRSと比較されるHMRC(英国歳入関税庁)は、数年前からメール認証を採用し、推進しています。一時は英国で最もフィッシングの被害に遭っていたHMRCですが、世界的に見ても、メールチャネルにおける消費者の信頼を得るためにメール認証を導入した最初の政府機関のひとつです。2016年11月には、当時のサイバーセキュリティの責任者が、DMARCによって300万通のフィッシングメールをブロックしたと発表しました。

DMARCの導入は、公的機関を騙ろうとするサイバー犯罪者にとっては大きな障壁となります。犯罪者が公的機関のドメインを偽装できないようにし、疑いを持たない受信者に対してメールを送ることを防止します。DMARCが無ければ、サイバー犯罪者は公的機関の職員を騙してハッキングのためのドアを開けさせたり、機関のパートナーを欺いたり、米国市民を引っ掛けたりするための強力なツールを得ることになります。

政府機関と市民の間のコミュニケーションを保護することは最重要事項であり、この新しい指令は同じセキュリティ標準をより多くの企業に広げる役に立ち、その結果メールとWeb技術についての総体的なセキュリティが可能になります。

Proofpointは、認証に関する専門知識が一般に不足している事を認識しており、政府機関に対し、DHSによって設定された締め切りまでにDMARCを導入するための課題を克服するためのサポートを提供する用意があります。犯罪者がドメインを偽装し、組織の代わりに疑いを持たない受信者へ向けてメールを送信しないようにするために、以下のリンクから無償のメール認証キットをダウンロードしてご利用下さい。https://www.proofpoint.com/us/email-authentication-kit また、私達のDMARC生成ウィザードもご利用頂けます。 https://stopemailfraud.proofpoint.com/dmarc-start/.