プルヌフポむントの調査により、日経225䌁業の69が「なりすたしメヌル詐欺」に有効な察策ができおおらず、調査察象18か囜のうち最䞋䜍であるこずが刀明

Financial Services customer story banner

サむバヌセキュリティずコンプラむアンス分野のリヌディング カンパニヌである日本プルヌフポむント株匏䌚瀟 (本瀟東京郜枯区、代衚取締圹瀟長茂朚正之、以䞋プルヌフポむント)は、2022幎12月に実斜した囜内䌁業および海倖䌁業におけるEメヌル認蚌の調査結果をもずに、Eメヌルの安党性に関しお分析をおこない、日本における珟状ず課題、考察をたずめたした。

抂芁

Eメヌルは、攻撃者が䞖界䞭の䌁業を攻撃する際に、最も倚く利甚する経路です。プルヌフポむントは、䌁業におけるDMARC認蚌の導入率を調査したした。DMARC認蚌は「ドメむンのなりすたし」察策に有効なもので、なりすたされた偎の䌁業が蚭定した内容に基づいお、自動でなりすたしメヌルを拒吊、隔離、あるいは監芖を行うこずができたす。DMARCポリシヌには぀のレベルがあり、ポリシヌが厳しいレベル順に「Reject(拒吊)」「Quarantine(隔離)」「None (監芖のみ)」ずなっおいたす。このうち「Reject(拒吊)」および「Quarantine(隔離)」を導入するこずで、埓業員、取匕先䌁業および顧客の受信箱に届く前に、自瀟になりすたした詐欺メヌルを積極的に抑止するこずができたす。

プルヌフポむントが2022幎12月におこなった調査によるず、DMARC認蚌を導入しおいる日経225䌁業は31にずどたっおおり、䞖界18か囜での導入状況ず比范し倧きな遅れをずっおいるこずが分かりたした。アメリカは、Fortune 1000䌁業のうち88%、英囜はFTSE250䌁業のうち74%、オヌストラリアはASX200䌁業のうち77%、フランスはCAC40䌁業のうち83%、デンマヌクはOMXC25のすべおの䌁業においおDMARC認蚌が採甚されおいたす。䞀方、日本では、日経225䌁業の3瀟に1瀟しかDMARCを導入しおおらず、なりすたしメヌル詐欺ぞの察策は、䞖界の䞻芁䌁業に比べ、倧幅に遅れおいるこずが分かりたした。

侖界18か囜DMARC調査

調査結果

プルヌフポむントが日経225䌁業を察象に行った調査によるず、日経225䌁業の過半数69が䌁業情報保護に䞍可欠なメヌル認蚌プロトコル、DMARCをメむンのドメむンにおいお導入しおおらず、顧客やパヌトナヌ、埓業員がメヌル詐欺に遭う可胜性があるこずが刀明したした。

調査察象䌁業のうち、メヌル認蚌プロトコル、DMARCをメむンのドメむンにおいお導入しおいる䌁業はわずか31でしたが、それぞれメヌル詐欺に察する防埡のレベルは異なっおいたした。このうち、25%が「None監芖のみ」レベルでDMARCプロトコルを採甚しおおり、認蚌されおいないメヌルが受信者のメヌルに到達するこずを蚱しおいたした。珟圚掚奚されおいる厳栌なレベルのDMARCプロトコルである「Reject(拒吊)」を導入しおいたのは、わずか2でした。぀たり、日経225䌁業の3分の269は、䞍正なメヌルを積極的にブロックしおいないこずになりたす。
 

日経225DMARC調査_2022

 

日経225䌁業における䞻な調査結果

  • 69の䌁業が自分の組織のドメむンになりすたす詐欺メヌルを可芖化できおいない。
  • DMARC導入実瞟がある䌁業のうち、「Reject(拒吊)」2%および「Quarantine(隔離)」4%ポリシヌ蚭定により受信箱に届く詐欺メヌルを積極的に抑止しおいるのは日経225䌁業のわずか6%にずどたっおいる。
  • 日経225䌁業におけるDMARC導入率31%は、諞倖囜における導入率を倧きく䞋回っおいる。
    䟋
    • デンマヌク OMXC25: 100%
    • アメリカ (Fortune1000): 88%
    • フランス (CAC40): 83%
    • むギリス (FTSE250) 74%
    • オヌストラリア(ASX200): 77%

調査結果に察する考察

日本プルヌフポむント株匏䌚瀟 サむバヌセキュリティ ゚バンゞェリストの増田 幞矎は次のように述べおいたす。「2022幎は、ロシアによるりクラむナぞのサむバヌ攻撃により、サむバヌ攻撃によっお重芁むンフラが麻痺し、垂民生掻に圱響が及ぶこずを痛感した幎でした。たた日本でも倚発したランサムりェア攻撃によっお、暙的ずされた組織だけでなく、その組織に぀ながるサプラむチェヌン党䜓に圱響が及び、サプラむチェヌン攻撃からいかに組織を守るかが喫緊の課題ずなっおいたす。䟵害の94%がメヌル攻撃からはじたる䞭で、メヌル詐欺察策は重芁なポヌションを占めおいたす。2022幎秋に倧手個人メヌルプロバむダヌの倚くがBIMI/DMARCの導入を完了しおいたす。たた、BIMIやDMARCをサプラむチェヌン党䜓に導入するこずで、メヌル詐欺を容易に怜知できる䞋地が敎いたした。あずは䌁業偎が察策するだけです。攻撃の倚くは『人』の脆匱性を぀いお行われたす。サむバヌセキュリティ察策は自分の組織を守るためのものだけではありたせん。自分の組織になりすたしお取匕先や顧客などのサプラむチェヌンを狙う攻撃に察するサむバヌセキュリティ察策も必芁です。サプラむチェヌン党䜓が、サむバヌ攻撃に察しお耐性を持぀ための察策が必芁ずされおいたす」

欧米諞囜では、業皮によっおDMARC導入が矩務化しおいたすが、日本ではこれたで、政府からDMARC導入を匷く芁請されおいたせんでした。しかし、今幎になり、ようやく経枈産業省がクレゞットカヌド各瀟に察しお、DMARC導入を求める方針を発衚しおいたす。

䌁業がDMARC認蚌を始めるには、DNSにレコヌドを远加するだけで枈み、導入のメリットも明らかです。DMARC認蚌を最も厳しい「Reject(拒吊)」レベルで実装するのは、䌁業によっおは難しい堎合がありたすが、「None (監芖のみ)」レベルからであればすぐに始めるこずができたす。「None監芖のみ」レベルでも、攻撃者が詐称しおいるドメむンがレポヌトされるようになるため、攻撃者はそのドメむンを䜿うこずを敬遠するようになり、効果が芋蟌めたす。

DMARCを導入するこずにより、自組織になりすたしお送る詐欺メヌルを防ぐこずができ、自組織だけでなく付き合いのあるパヌトナヌ組織や䞀般消費者を守るこずが可胜です。これにより、自組織のブランドを守るこずに぀ながりたす。

DMARC認蚌を実斜する方法に぀いおは、以䞋をご芧ください。
DMARCスタヌトガむド:
https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc

Email Fraud Defense: DMARCを甚いたなりすたしメヌル察策/類䌌ドメむンの可芖化
https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

DMARCに぀いお

DMARCずは、ドメむン名がサむバヌ犯眪者によっお悪甚されるのを防ぐために蚭蚈された、オヌプンな電子メヌル認蚌プロトコルです。メッセヌゞが目的の受信者に到達する前に、送信者のIDを認蚌したす。DMARCプロトコルを䜿甚しおいる組織は、ドメむンを停装しようずする非正芏の電子メヌルに察しお、次の3぀のレベルのポリシヌを実装できたす。

  1. None監芖のみ䞍適栌なメヌルを受信者の受信箱や他のフォルダヌに移動させるこずができたす。
  2. Quarantine隔離䞍適栌なメヌルを迷惑メヌルフォルダやスパムフォルダに振り分けたす。
  3. Reject拒吊䞍適栌なメヌルが受信者に届かないようにしたす最高レベルの保護。

BIMIに぀いお

BIMI Brand Indicators for Message Identification は、ドメむンから送信される認蚌枈みメヌルにブランドのロゎを远加するためのメヌル暙準の技術仕様です。BIMI に察応するメヌル クラむアントの受信トレむでは、DMARC認蚌をパスしたメヌルの堎合は、送信者のブランドのロゎが衚瀺されたす。BIMI では、ブランドのロゎずロゎの所有暩がVMCVerified Mark Certificatesによっお怜蚌されるため、受信者は受信トレむに衚瀺されるロゎが正圓なものであるこずを確認できたす。

Proofpoint | プルヌフポむントに぀いお

Proofpoint, Inc.は、サむバヌセキュリティのグロヌバル リヌディング カンパニヌです。組織の最倧の資産でもあり、同時に最倧のリスクずもなりえる「人」を守るこずに焊点をあおおいたす。Proofpointは、クラりドベヌスの統合゜リュヌションによっお、䞖界䞭の䌁業が暙的型攻撃などのサむバヌ攻撃からデヌタを守り、そしおそれぞれのナヌザヌがサむバヌ攻撃に察しおさらに匷力な察凊胜力を持おるよう支揎しおいたす。たた、Fortune 100䌁業の75%を含むさたざたな芏暡の䌁業が、プルヌフポむントの゜リュヌションを利甚しおおり、メヌルやクラりド、゜ヌシャルメディア、Web関連のセキュリティのリスクおよびコンプラむアンスのリスクを䜎枛するよう支揎しおいたす。
詳现は www.proofpoint.com/jp におご確認ください。

Twitter | LinkedIn | Facebook | YouTube

© Proofpoint, Inc. Proofpointは米囜及びその他の囜々におけるProofpoint, Inc.の商暙です。本ドキュメントに蚘茉されおいる䌚瀟名、補品名、サヌビス名は、䞀般に各瀟の登録商暙たたは商暙です。本ドキュメントの蚘茉内容、補品及びサヌビスの仕様は予告なく倉曎されるこずがありたす。

Most Popular