プルーフポイントの調査により日経225企業の75%および日本政府が「なりすましメール詐欺」に有効な対策ができていないことが判明

2021年3月01日

サイバーセキュリティとコンプライアンス分野のリーディングカンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、2021年2月に実施した国内企業および日本の1府12省庁におけるEメール認証の調査結果をもとに、Eメールの安全性に関して分析をおこない、日本における現状と課題、考察をまとめました。

概要

Eメールは、攻撃者が世界中の企業を攻撃する際に、最も多く利用する経路です。プルーフポイントが2021年2月におこなった調査によると、日経225企業の75％が、「なりすましメール詐欺」に対する効果的な防御策を講じていないことが明らかになりました。2020年8月の調査時（77％）より2％改善しましたが、未だに日経225企業の4社に1社（25％）しかDMARC認証を導入していません。

分析では、企業のドメイン全体でのDMARCメール認証の導入レベルを調査しました。DMARC (Domain-based Message Authentication Reporting and Conformance)は、メールをドメインレベルで保護するオープンなメール認証プロトコルです。企業がDMARCを導入していない場合、サイバー犯罪者がその企業のドメインになりすますことができるため、メール詐欺の脅威にさらされる可能性があります。

調査結果

プルーフポイントでは、日経225企業および日本の1府12省庁におけるDMARC認証の対策状況について調査を行いました。その結果、日経225企業の4社に1社（25％）しかDMARC認証を設定しておらず、75％がドメインのなりすまし詐欺に対して対策ができていないことが分かりました。また、DMARCの実績がある企業のうち、DMARCのRejectポリシーを導入しているのはわずか7社で、これは日経225社全体の3％に過ぎません。DMARCポリシーには3つのレベルがあり、ポリシーが厳しいレベル順に「Reject」「Quarantine」「None」となっています。このうち最も厳しいレベルの「Reject」を導入することで、従業員、取引先企業および顧客の受信箱に届く前に、自社になりすました詐欺メールを積極的にブロックすることができます。日本の1府12省庁においては、DMARC認証を導入しているのはわずか3省庁のみということが分かりました。

日経225企業における主な調査結果：

4社に1社（25％）しかDMARC認証を導入していない。
75％の企業がドメイン詐称を把握できていない。
DMARC導入実績がある企業のうち、Rejectポリシー設定により受信箱に届く詐欺メールを積極的にブロックしているのはわずか7社で、日経225企業全体の3％にすぎない。
日経225企業におけるDMARC導入率（25%）は、Forbes Global 2000における導入率54％（Rejectポリシー導入は16％）と比べ、はるかに低い。

日本政府1府12省庁における主な調査結果：

12省庁のうち、DMARC認証を導入しているのはわずか3省庁のみ。
DMARCのRejectポリシーを設定しているのは1省庁のみ。3省庁のうち2省庁は、不正トラフィックを監視しているだけで、日本国民に届く詐欺メールを積極的にブロックしているわけではない。
内閣府、警察庁、消費者庁、金融庁のドメインを分析した結果、いずれもなりすまし対策がされておらず、これらの機関になりすました詐欺メールが日本国民に届くのを防げていない。

調査結果に対する考察

日本プルーフポイント株式会社　サイバーセキュリティエバンジェリストの増田幸美は次のように述べています。「以前は、サイバー攻撃者はシステムの脆弱性をついて攻撃をおこなっていましたが、OSのアップデートが頻繁になるにつれシステムの脆弱性をつくことが難しくなりました。その結果、昨今の攻撃者は『人』の脆弱性をついて侵入しようと試みます。そのため、『人』の脆弱性をついたフィッシングメールなどで窃取した認証情報を用いて不正アクセスする事案が非常に多くなりました。日本では、2020年夏以降、これまでにない量のフィッシングメールの攻撃キャンペーンが日本を襲っています。フィッシングメールは、信用する企業や組織のブランドになりすましておこなわれるメール詐欺です。DMARCはメールに表示されている送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる唯一の認証技術です。自分の組織を守るだけでなく、自分の組織が関わるサプライチェーン全体を、自分になりすました詐欺から守るためにも、DMARCを導入してほしいと思います」

DMARC認証を始めるには、DNSに１レコードを追加するだけで済みますが、それでも日本のDMARC対応がなかなかすすまない理由は、そもそもこの認証について知らないという理由のほかに、縦割り組織が影響している可能性があります。

Eメールの複雑なエコシステムを持つ大規模な組織にとっては、DMARC認証をもっとも厳しい”reject(拒否)”レベルまで引き上げることは難しい場合があります。各業務組織において、それぞれがサードパーティのメールサービスプロバイダを使っていることがあり、それらの事象をIT部門やセキュリティ部門が把握できないことがあるためです。そのような場合には、DMARCレポートに付加されている情報に専門家の洞察を追加することで、組織は送信者をより迅速かつ正確に特定することができます。これによりDMARC認証の導入プロセスを加速化し、正当なメールをブロックしてしまうリスクを低減しつつ、詐欺メールを効果的にブロックすることができます。

DMARCの専門知識を持つプロフェッショナルサービスコンサルタントは、組織がすべての正当な送信者を特定し、認証問題を解決し、メールサービスプロバイダと協力して、適切に認証がおこなわれているかどうかを確認するのに役立ちます。サードパーティのメールサービスプロバイダを含むすべての正当なメール送信者を適切に特定し、認証の問題を修正することで、組織はDMARCポリシーで”Reject(拒否)”を実施する前に、高い信頼性のレベルに到達することができます。

DMARCを導入することにより、自組織になりすまして送る詐欺メールを防ぐことができ、自組織だけでなく付き合いのあるパートナー組織や一般消費者を守ることが可能で、ひいては自組織のブランドを守ることにつながります。

DMARC認証を実施する方法については、以下をご覧ください。

DMARCスタートガイド:
https://www.proofpoint.com/jp/resources/white-papers/getting-started-with-dmarc
Email Fraud Defense: DMARCを用いたなりすましメール対策/類似ドメインの可視化
https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense

DMARCについて

2012年に公開されたDMARCは、インターネット標準のメール認証プロトコルです。
メールに表示される送信元アドレス(header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初で唯一の認証技術です。

Proofpointについて

Proofpoint, Inc.（NASDAQ: PFPT）は、サイバーセキュリティのグローバルリーディングカンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。