サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、2021年4月に実施した日本の主要銀行※１におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析をおこない、現状と課題、考察をまとめました。

※１：中央銀行、都市銀行７行、ネット銀行を含む新しい形態の銀行9行、その他１行の計１８行

概要

Eメールは、昨今のサイバー脅威において最も多く利用される攻撃経路です。プルーフポイントが2021年４月におこなった調査によると、日本の主要銀行の７２％が、「なりすましメール詐欺」に対して、現時点で最も強力でプロアクティブに防御ができる対策の一つであるDMARC認証を導入していないことが明らかになりました。

分析では、企業のドメイン全体でのDMARCメール認証の導入レベルを調査しました。DMARC (Domain-based Message Authentication Reporting and Conformance)は、メールをドメインレベルで保護するオープンなメール認証プロトコルです。企業がDMARCを導入していない場合、サイバー犯罪者がその企業のドメインになりすますことができるため、メール詐欺の脅威にさらされる可能性があります。

調査結果

プルーフポイントでは、日本の主要銀行１８行におけるDMARC認証の設定状況について調査を行いました。その結果、日本の主要銀行の72％がDMARC認証を導入しておらず、なりすまし対策ができていないことが明らかになりました。DMARCを導入している銀行は28％にとどまり、そのほとんどが「None」ポリシーを導入し（22％）、「Reject」ポリシーを導入しているのはわずか６％にすぎない1行でした。一方、Forbes Global 20００の金融サービス業における調査では、DMARC認証を導入しているのは47％、「Reject」ポリシーを導入しているのは全体の17％と、日本より高い結果となり、世界の銀行に比べて、日本の銀行はなりすましメール詐欺の対策が遅れていることが分かります。

DMARCポリシーには3つのレベルがあり、ポリシーが厳しいレベル順に「Reject」「Quarantine」「None」となっています。このうち最も厳しいレベルの「Reject」を導入することで、従業員、取引先企業および顧客の受信箱に届く前に、自社になりすました詐欺メールを積極的にブロックすることができます。

日本の主要銀行における主な調査結果：

1. ２８％（５行）しかDMARC認証を導入していない。
2. 7２％の日本の主要銀行がドメイン詐称を把握できていない。
3. DMARCを導入している銀行のうち、なりすましメールを積極的にブロックする「Reject」ポリシーを設定しているのは、わずか1行で、全体の6％に過ぎない。
4. 日本の主要銀行のDMARC導入率が28％、「Reject」ポリシー導入率が6％に対して、Forbes Global 20００の金融サービス業ではそれぞれ47％、17％と、大きな差が見られ、日本の銀行のなりすまし対策に遅れがみられる。

調査結果に対する考察

日本プルーフポイント株式会社　サイバーセキュリティ エバンジェリストの増田 幸美は次のように述べています。「サイバー攻撃者はこれまでシステムの脆弱性をついて攻撃をおこなっていました。しかし、OSのアップデートが頻繁になるにつれ、システムの脆弱性をつくことが難しくなりました。その結果、昨今の攻撃は『人』の脆弱性をついて侵入しようとする手法に変わっており、『人』の脆弱性をついたフィッシングメールなどで窃取した認証情報を用いて不正アクセスする事案が非常に増えています。2020年夏以降、日本を狙ったこれまでにない量のフィッシングメールの攻撃キャンペーンが猛威を振るっています。フィッシングメールは、信用する企業や組織のブランドになりすましておこなわれるメール詐欺です。DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる唯一の認証技術です。自分の組織を守るだけでなく、自分の組織が関わるサプライチェーン全体を、自分になりすました詐欺から守るためにも、DMARCを導入してほしいと思います」

DMARC認証を始めるには、DNSに１レコードを追加するだけで済みますが、それでも日本のDMARC対応がなかなかすすまない理由は、そもそもこの認証について知らないという理由のほかに、縦割り組織が影響している可能性があります。

Eメールの複雑なエコシステムを持つ大規模な組織にとっては、DMARC認証を厳しい”Reject(拒否)”レベルまで引き上げることは難しい場合があります。各業務組織において、それぞれがサードパーティのメール サービス プロバイダを使っていることがあり、それらの事象をIT部門やセキュリティ部門が把握できないことがあるためです。そのような場合には、DMARCレポートに付加されている情報に専門家の洞察を追加することで、組織は送信者をより迅速かつ正確に特定することができます。これによりDMARC認証の導入プロセスを加速化し、正当なメールをブロックしてしまうリスクを低減しつつ、詐欺メールを効果的にブロックすることができます。

DMARCの専門知識を持つプロフェッショナル サービス コンサルタントは、組織がすべての正当な送信者を特定し、認証問題を解決し、メール サービス プロバイダと協力して、適切に認証がおこなわれているかどうかを確認するのに役立ちます。サードパーティのメール サービス プロバイダを含むすべての正当なメール送信者を適切に特定し、認証の問題を修正することで、組織はDMARCポリシーで”Reject(拒否)”を実施する前に、高い信頼性のレベルに到達することができます。

DMARCを導入することにより、自組織になりすまして送る詐欺メールを防ぐことができ、自組織だけでなく付き合いのあるパートナー組織や一般消費者を守ることが可能で、ひいては自組織のブランドを守ることにつながります。

DMARC認証を実施する方法については、以下をご覧ください。

DMARCスタートガイド:

https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc

Email Fraud Defense: DMARCを用いたなりすましメール対策/類似ドメインの可視化

https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

DMARCについて

2012年に公開されたDMARCは、インターネット標準のメール認証プロトコルです。

メールに表示される送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初で唯一の認証技術です。

Proofpointについて

Proofpoint, Inc.（NASDAQ: PFPT）は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。

詳細は www.proofpoint.com/jp にてご確認ください。

＜本件に関する報道関係者からのお問い合わせ先＞

バーソン・コーン＆ウルフ・ジャパン

担当：中根／樫村

TEL： 070-4504-0784／070-4504-0794

Email：proofpointJP@bcw-global.com

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。