サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、日本の通信販売企業の内、売上高が上位20の企業におけるメール認証の調査を行いました。その結果、9割の企業がDMARC（Domain-based Message Authentication Reporting and Conformance）を導入しておらず、顧客に届くなりすましメール詐欺に対して有効な対策をとっていないことが判明しました。

 

TOP20の中でDMARCを導入している企業は1割でしたが、それらの企業においても、DMARCポリシーの内、推奨されている最も厳格なレベルである「Reject」が導入されていないことがプルーフポイントの調査により明らかになりました。昨今増加している国内Eコマースサイトにおける、なりすましメール詐欺の被害は、内閣府のフィッシング対策協議会の消費者委員会でも議題※１に上げられるなど、関心が高まっています。一方で、今回の調査結果からは、企業による効果的な防御策が講じられないために、ネットショッピングにおいて消費者が脅威にさらされる可能性があることが懸念されます。

 

購買需要が高まる年末年始が間近に迫っており、さらに今年は新型コロナウイルス感染症拡大の影響を受け、ネットショッピングはソーシャルディスタンスを保ちながらも買い物ができる手段として需要が高まっています。総務省統計局のデータによると※2、毎年増加していたネットショッピングの支出額は、緊急事態宣言が発出された今年の4月以降さらに増加しています。Eコマース市場の活況を背景に、サイバー犯罪者は、通信販売企業から顧客へのメールのやり取りを利用して、なりすましメール詐欺で消費者を狙う可能性が出てきます。

 

攻撃者は、ドメイン名を詐称する手法を用いて有名ブランドを装い、正規の送信者アドレスからメールを送信しているかのように消費者に接触します。これらの電子メールは、メールの受信者を騙してリンクをクリックさせて、不正に個人情報を取得できるように設計されており、金銭や個人情報を盗むことを目的としています。しかし、一般のインターネット利用者が正規の送信者と偽物の送信者を識別することは不可能に近く、企業側がDMARCを導入することで、従業員、顧客、パートナーを、正規のドメインになりすました攻撃者から守ることができます。DMARCポリシーには3つのレベルがあり、ポリシーが厳しいレベル順に「Reject」「Quarantine」「None」となっています。このうち最も厳しいレベルの「Reject」を導入することで、企業は攻撃者が狙うターゲットに、なりすましメールが届くのを積極的にブロックすることができます。

 

日本プルーフポイントのシニア エバンジェリスト、増田幸美は「リモートワークが当たり前になってから、日本では大規模な攻撃が起きています。それらのほとんどは、攻撃者がネットワーク内部で正規のユーザーとして振る舞っていることが原因です。マルウェアを使う攻撃よりも、フィッシングによりIDとパスワードを窃取する攻撃のほうが、簡単に侵入することができます。DMARCはメール詐欺に対する現時点で最も有効な対策です。ぜひDMARC導入に向けて一歩踏み出してほしいです」と述べています。

 

国内のEコマース市場では、なりすましメール詐欺に対して、効果的な防御策は講じられていないことが明らかになり、プルーフポイントでは、特に年末年始でネットショッピングの機会が増えるこれからの季節に、消費者が安全にネットショッピングを楽しめるよう、以下の点に注意することを推奨しています。

 

1. 強力なパスワードを使用する

パスワードの使い回しをしないでください。パスワード管理ツール（パスワードマネージャー等）の使用を検討して、安全性を確保しつつ、オンライン利用をシームレスにすることをお勧めします。

 

2. 保護されていないWiFiを使わない

フリーWiFiは安全ではありません：サイバー攻撃者は、保護されていないWiFiを使って転送されたクレジットカード番号、パスワード、アカウント情報などのデータを傍受することができます。

 

3. そっくりサイトに注意

攻撃者は、よく知られているブランド・企業を模倣した「そっくり」サイトを作成します。これらの詐欺サイトは、偽造品（または存在しない品）を販売したり、マルウェア(ウイルス)に感染させたり、お金や認証情報を盗んだりする可能性があります。

 

4. フィッシング攻撃をかわす

フィッシングメールは、認証情報やクレジットカード情報などの個人情報を収集する危険なウェブサイトに誘導します。SMSフィッシングやソーシャルメディアを介したメッセージにも注意しましょう。

 

5. リンクをクリックしない

ブラウザに正式なウェブサイトのアドレスを直接入力し、宣伝されているお得情報源に直接アクセスしてください。特別オファーコードについては、チェックアウト時に入力して、正規のものかどうかを確認してください。

 

6. 購入する前に確認する

詐欺的な広告、ウェブサイト、モバイルアプリは見破るのが難しい場合があります。新しいアプリをダウンロードしたり、見慣れないサイトにアクセスしたりする際には、オンラインレビューやユーザーの口コミをチェックすることに心がけましょう。

 

※１： 内閣府. フィッシング対策協議会消費者委員会本会議資料. 2020.11. P５

https://www.cao.go.jp/consumer/iinkai/2020/330/doc/20201105_shiryou1.pdf

※2: 総務省統計局. 統計Today　No.162(新型コロナウイルス感染症で変わるネットショッピング

図3　ネットショッピングの支出額の推移)

https://www.stat.go.jp/info/today/162.html

 

DMARCについて 

2012年に公開されたDMARCは、インターネット標準のメール認証プロトコルです。 

メールに表示される送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初で唯一の認証技術です。 

 

DMARC認証を実施する方法については、以下をご覧ください。

https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

 

Proofpointについて

Proofpoint, Inc.（NASDAQ:PFPT）は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。

詳細は www.proofpoint.com/jp にてご確認ください。

 

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。