なりすましメール（フィッシングメールとも言う）とは、他人のメールアドレスを装って送付される悪質なメールを指す言葉だ。メールに記載されたURLから偽のECサイトなどに遷移させてログインIDやパスワードを盗んだり、添付したファイルを開封した際にマルウェアを感染させたりするなどの方法で攻撃を仕掛けてくる。

なりすましメールの巧妙な点は、実在するメールアドレスを装っているため、一見しただけでは本物のメールと区別が付かないところだ。実は、メールソフトに表示される送信者名やアドレスは、送信者側で任意に書き換えられる。これを悪用し、実在の企業やサービスから送られたメールだと勘違いさせるのが典型的な手段だ。

「なりすましメール」という言葉自体は以前から広く知られていたが、コロナ禍を機にその被害が大きく増加している。なりすましメールに関する情報収集や提供などを行う団体のフィッシング対策協議会が発表した調査によると、2020年に受領されたフィッシング報告件数は224,676件となり、2019年に比べ実に約4倍もの増加を記録したという。翌2021年は2020年比でさらに約2.3倍も増加している。

特に、AIやIoT、ビッグデータに関する業種では需要が増え続け、それに伴いセキュリティ人材も同様に、人材不足に悩まされることだろう。

なりすましメールは、個人はもちろん企業としても十分な対策を講じるべき脅威である。特に近年は「Emotet」と呼ばれるマルウェアの被害が増えていることもあり、なりすましメールを起点に企業が保有する大量の個人情報が流出するなどの被害も発生しかねない。

「Emotet」の詳細はこちら！

具体的に対策する際は、送信ドメイン認証技術を活用することをおすすめする。これは、メール送信者情報のドメインが正しいものかどうかを検証する技術である。具体的には大きく以下の3種類の方法で検証が可能だ。

SPF

SPF（Sender Policy Framework）とは、メール受信者が送信者のIPアドレス情報を照合することにより、正規のドメインか否かを検証する仕組みである。

具体的には、まずメール送信者はSPFレコードと呼ばれるIPアドレスをDNSサーバー（ドメイン名とIPアドレスを変換する仕組みを提供するサーバー）にあらかじめ登録しておく。その後、メール受信者は送信者にDNSルックアップ（SPFレコードの返答を要求すること）し、受信したメールに記載されたIPアドレスと照合するという流れで検証が行われる。シンプルかつ普及率の高い検証方法だが、DNSルックアップは参照回数が10回までに制限されているため、頻繁な活用ができないというデメリットがある。

DKIM

DKIM（DomainKeys Identified Mail）は、メール受信者が送信者のドメインの公開鍵情報を照合することにより、正規のドメインか否かを検証する仕組み。

まず、メール送信者はメールに秘密鍵情報を付与して暗号化した電子署名を付与し、その際SPF同様にDNSサーバーに電子署名の公開鍵情報を登録しておく。その後、メール受信者は送信者にドメインの公開鍵情報を要求し、受信したメールの電子署名の秘密鍵復号に使うという流れで検証が行われる。ただし、電子署名を付与しているため処理の負担が大きく、大量のメールをやりとりする場合に相性が悪いという点はデメリットだ。

DMARC

DMARC（Domain-based Message Authentication、Reporting and Conformance）とは、前述した2種類の方法による認証が失敗した場合、その対応策として活用が可能な処理方法だ。

メール送信者がDMARCポリシー（SPFやDKIMの認証に失敗した場合、受信メールをどのように扱うのか記載したもの）をDNSサーバーに記録しておくと、メール受信者は送信者にDMARCポリシーを要求。その内容に基づいて受信したメールを受け取るか、隔離するか、もしくは棄却する、といった判断を行う。

DMARCはSPFやDKIMと異なり、受信側がメールをどのように取り扱ったのかをレポートとして送信側へ提出できる。送信側は自身のアドレスを装う不正な第三者の存在を認知でき、今後のメール取り扱い対策を変更するきっかけになるという点がメリットだ。

SPF、DKIM、DMARCはそれぞれなりすましメールへの対処法が異なるために、組み合わせることでセキュリティ性の向上が期待できる。なりすましメールの被害を未然に防ぐためには、効果的に組み合わせて活用することが重要だ。