プルーフポイントの調査により、日経225企業の「なりすましメール詐欺」に対する対策が世界各国に比べ、大きく出遅れていることが判明
サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社:東京都港区、代表取締役社長:茂木正之、以下プルーフポイント)は、2021年12月に実施した国内企業および海外企業におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析をおこない、日本における現状と課題、考察をまとめました。
概要
Eメールは、攻撃者が世界中の企業を攻撃する際に、最も多く利用する経路です。プルーフポイントが2021年12月におこなった調査によると、日経225企業の76%がDMARC認証を導入しておらず、「なりすましメール詐欺」に対する効果的な防御策を講じていないことが明らかになりました(2020年8月の調査では77%がDMARC認証未導入)。
世界における主要企業との比較では、欧米企業のDMARC導入が過去1年~1年半の間でオーストラリアが23%増、イギリスが22%増、フランスが16%増、アメリカが15%増と急増しているのに対し、日経225企業の導入率1%増とほとんど変化がみられず、「なりすましメール詐欺」への対策が遅れていることが分かります。
分析では、企業のドメイン全体でのDMARCメール認証の導入状況を調査しました。DMARC (Domain-based Message Authentication Reporting and Conformance) は、メールをドメインレベルで保護するオープンなメール認証プロトコルで、今年公開10周年を迎えます。企業がDMARCを導入していない場合、サイバー犯罪者がその企業のドメインになりすますことができるため、メール詐欺の脅威にさらされる可能性があります。
調査結果
プルーフポイントでは、日経225企業におけるDMARC認証の対策状況について調査を行いました。その結果、日経225企業の4社に1社(24%)しかDMARC認証を設定しておらず、76%がドメインのなりすまし詐欺に対して対策ができていないことが分かりました。また、DMARCの導入実績がある企業のうち、DMARCのReject(拒否)ポリシーおよびQuarantine(隔離)ポリシーを導入しているのは日経225社全体のわずか3%にとどまっています。DMARCポリシーには3つのレベルがあり、ポリシーが厳しいレベル順に「Reject(拒否)」「Quarantine(隔離)」「None(モニタリングのみ)」となっています。このうち「Reject(拒否)」および「Quarantine(隔離)」を導入することで、従業員、取引先企業および顧客の受信箱に届く前に、自社になりすました詐欺メールを積極的に抑止することができます。
プルーフポイントはさらに、世界の主要企業のDMARC対策状況と比較を行い、欧米企業と比べて、日本企業のメールセキュリティ対策に大きな遅れがあることが分かりました。欧米では主要企業の70%~80%がこの認証技術を導入しているのに対し、日本では日経225企業の24%(2020年8月:23%)しか導入が進んでいません。 2021年12月における各国企業のDMARC導入率は、アメリカはFortune1000のうち82%(2020年9月:67%)とトップで、ついでフランスとオーストラリアが各75%(2020年4月:フランス:59%、オーストラリア:52%)、イギリスは72%(2020年3月:50%)となっています。
日経225企業における主な調査結果:
- 4社に1社(24%)しかDMARC認証を導入していない。
- 76%の企業が自分の組織のドメインになりすます詐欺メールを把握できていない。
- DMARC導入実績がある企業のうち、「Reject(拒否)」および「Quarantine(隔離)」ポリシー設定により受信箱に届く詐欺メールを積極的に抑止しているのは日経225企業のわずか3%にすぎない。
- 日経225企業におけるDMARC導入率24%は、欧米における導入率を大きく下回っている。
- アメリカ (Fortune1000): 82%
- フランス (CAC40): 75%
- オーストラリア(ASX200): 75%
- イギリス (FTSE100 & FTSE250): 72%
調査結果に対する考察
日本プルーフポイント株式会社 サイバーセキュリティ エバンジェリストの増田 幸美は次のように述べています。「攻撃の多くは『人』の脆弱性をついておこなわれます。昨今、大規模なランサムウェア攻撃、サプライチェーン攻撃などが猛威をふるっており、多くの攻撃は侵入の際に『人』の脆弱性を狙います。フィッシングメールは、信用する企業や組織になりすまし、『人』の脆弱性をついておこなわれるメール詐欺です。DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる唯一の認証技術です。DMARCを導入することにより、ドメイン詐称の詐欺メールを完全に封じ込めることが可能です。サイバーセキュリティ対策は自分の組織を守るためのものだけではありません。自分の組織になりすまして取引先や顧客などのサプライチェーンを狙う攻撃に対するサイバーセキュリティ対策も必要です」
GmailやYahooメールなど、消費者が使うメールサービス側では、DMARC認証を完全にクリアしているドメインからのメールにその企業のブランドロゴを表示するBIMIをすでに搭載しています。これにより、消費者はそのメールが安心できるものかどうかを簡単に判断することが可能です。つまりDMARC認証を企業側が導入すれば、消費者が簡単にドメイン詐称を見破ることができます。
企業がDMARC認証を始めるには、DNSにレコードを追加するだけで済み、導入のメリットも明らかですが、それでも日本のDMARC対応がなかなか進まない理由は、そもそもこの認証について知名度が低いという理由があります。また欧米諸国ではDMARCが義務化されていますが、日本の法規制では義務化されていないという点があげられます。
DMARC認証をもっとも厳しい「Reject(拒否)」レベルで実装するのは、企業によっては難しい場合がありますが、「None(モニタリングのみ)」レベルからであればすぐに始めることができます。「None(モニタリングのみ)」レベルでも、攻撃者が詐称しているドメインがレポートされるようになるため、攻撃者はそのドメインを使うことを敬遠するようになり、効果が見込めます。
DMARCを導入することにより、自組織になりすまして送る詐欺メールを防ぐことができ、自組織だけでなく付き合いのあるパートナー組織や一般消費者を守ることが可能です。これにより、自組織のブランドを守ることにつながります。
DMARC認証を実施する方法については、以下をご覧ください。
DMARCスタートガイド:
https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc
Email Fraud Defense: DMARCを用いたなりすましメール対策/類似ドメインの可視化
https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense
DMARCについて
2012年に公開されたDMARCは、今年2022年1月30日で10周年を迎えたインターネット標準のメール認証プロトコルで、既存の標準技術であるSPFおよびDKIMをベースにしており、メールに表示される送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初で唯一の認証技術です。なりすまされた側の企業が、自組織になりすましたメールがどれだけ世に出ているかを可視化できるだけでなく、そのなりすましメールを削除したり、隔離したりするなどの処理を指定することができます。
BIMIについて
BIMI (Brand Indicators for Message Identification) は、ドメインから送信される認証済みメールにブランドのロゴを追加するためのメール標準の技術仕様です。BIMI に対応するメール クライアントの受信トレイでは、DMARC認証をパスしたメールの場合は、送信者のブランドのロゴが表示されます。BIMI では、ブランドのロゴとロゴの所有権がVMC(Verified Mark Certificates)によって検証されるため、受信者は受信トレイに表示されるロゴが正当なものであることを確認できます。
Proofpoint | プルーフポイントについて
Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。
© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。
本件に関する報道関係者からのお問い合わせ先
バーソン・コーン&ウルフ・ジャパン
担当:樫村/関
TEL: 070-4504-0794/070-4504-0783
Email:proofpointJP@bcw-global.com