増え続けるなりすましメール、ユーザーの注意力だけに頼らない対策とは？

●多要素認証「MFA」を回避する攻撃手法「AiTM」登場
メールは日常業務に不可欠なコミュニケーションツールですが、それゆえにサイバー攻撃者にとっても魅力的で、最も使われる侵入手段となっています。知り合いや実在する企業・ブランドを偽るなりすましメールが横行し、ユーザーをだましてフィッシングサイトに誘導したり、多額の金銭を巻き上げる詐欺に巻き込んだりしているのです。

こうしたメール経由の脅威に対しては、長年、「いかに不審なメールを見分けるか」という観点から、リテラシー教育やフィルタリングといった対策が講じられてきました。しかし攻撃者は私たちの対応を理解した上で、それらをかいくぐり、一層巧妙ななりすましメールを送るようになっています。ですが今、そのいたちごっこに一石を投じ、なりすましメールを見破り、正しいメールを見分けやすくしていく可能性がある技術が普及しつつあります。そこで、2回にわたり、なりすましメール対策の特効薬となり得るDMARCとBIMIという技術について解説します。今回は「DMARC」を取り上げます。
○増加が続くメールによる脅威、古典的な「フィッシング」がいまだ主流

現在、日本では連日のようにサイバー犯罪の被害が報じられています。プルーフポイントは、全世界を流れるメールの約4分の1をチェックし、脅威を検出・ブロックする立場から、生の脅威動向をつぶさに観察し、それを「State of the Phish」レポートとして毎年発表してきました。

まず全体として言えるのは、フィッシングやマルウェアを添付されたメールなど、メールによる脅威が確実に、それもかなりの勢いで増加していることです。State of the Phishのデータによれば、2020年以降の3年間、倍以上のペースでメールによる脅威が増加しています。

特に着目したいのは、2021年後半から2022年にかけて、IDやパスワードといった認証情報（クレデンシャル）を盗むフィッシングメール、いわゆるクレデンシャル・フィッシングが非常に大きな割合を占めていることです。

といっても、フィッシング自体は非常にローテクで、2000年代から使われてきた古典的な手口です。それがここに来て急増している背景は2つ考えられます。

1つは、私たちが利用するIT環境の変化です。クラウドシフトが進み、情報資産のありかもどんどんオンプレミスからクラウドへと移行しています。攻撃者としては、ターゲットとなる資産が置かれたクラウドにアクセスするためのIDとパスワードを狙うのは必然と言えるでしょう。

もう1つは、サイバー犯罪のエコシステムが確立し、拡大していることです。昔のように、攻撃者が一人でマルウェアを開発し、ばらまいて攻撃するケースは今や珍しくなりました。ランサムウェアを開発するグループ、そのランサムウェアをばらまくために、最初の侵入に必要となる認証情報を大量に仕入れて売りさばくグループ、ユーザーをだますフィッシングメールをばらまくグループ……といった具合に分業化が進み、それぞれが「as a Service」、つまりサービスとして提供されるようになりました。

攻撃を実際に仕掛ける「アフィリエイト」と呼ばれる人々は、時にはワンコイン程度のサブスクリプションモデルという、驚くほど安価でこれらのサービスを組み合わせて攻撃を行います。そしてランサムウェアで身代金を手に入れたら、他のグループとレベニューシェアモデルで取り分を分け合っていくというエコシステムが確立してしまっています。

そして、サイバー犯罪の商業化、分業化が進むにつれ、昔はごく限られた攻撃グループしか用いなかった高度な手法が、安価に、手軽に使えてしまうようになっています。その一例が、多要素認証（MFA）を回避する、AiTM（Adversary-in-the-middle）と呼ばれる手法で、フィッシングをサービスとして提供する、PhaaS（Phishing as a Service）を提供する一部のグループが実装し始めています。

セキュリティ業界では、フィッシングメールへの対策として、IDとパスワードだけで認証を行うのではなく、スマートフォンの認証アプリや生体認証などを組み合わせたMFAを推奨してきました。それを受けて、MFAを採用する企業・組織も増えていますが、攻撃側はそれを見越して、AiTMという方法を使うようになりました。

一般的なフィッシングでは、本物そっくりの偽のWebサイトを用意して被害者を誘導し、IDとパスワードを盗み取ります。AiTMでは本物のサイトを完全にミラーリングして、リバースプロキシのサーバ上で処理して表示させるため、ユーザーが入力したIDやパスワードだけでなく、MFAで用いられるセキュリティコードなども根こそぎ詐取します。セッションCookie情報も窃取され、認証トークンを盗まれることによって、攻撃者は多要素認証を迂回できてしまいます。ユーザーから見ると、いつもと同じWebサイトに普通にアクセスし、同じような挙動でログインしている感覚であるため、攻撃に気付くのは非常に困難です。

さらなる問題は、この手法が「as a Service」として、一定の利用料さえ支払えば誰でも簡単に使えてしまうようになったことです。かつてAiTMは、ロシア政府などを後ろ盾とした攻撃グループなど、ごく限られた高度な攻撃グループが用いる手法でした。

しかし今や、PhaaSを展開するグループが、リバースプロキシを構築できる仕組みを月額数百ドル程度で提供し始めています。その一つである「EvilProxy」と呼ばれるグループでは、Microsoft 365へ攻撃するサービスを31日間で600ドルという価格で提供しています。

こうした動きも相まって、昔はほんの少ししか見られなかったMFAを回避するフィッシング攻撃が激増しました。今や、クラウドアカウントの侵害に成功した攻撃のうち30％が、MFAを無効化させる手法を用いて侵害に成功しています。

プルーフポイントとしては引き続き、MFAは重要な対策であり、活用を推奨しています。ただ、たとえMFAを使っていたとしても、それを迂回してくる攻撃は存在しており、絶対ではない点に留意していただきたいと思います。

●横行するなりすましメール、主要な3つの手口
こうした変化も相まって、メール経由の脅威はますます増加しています。

現在、日本で注目を集めている脅威はランサムウェアですが、手法はそれだけではありません。例えば、ビジネスメール詐欺（BEC）による被害額は、FBIによると、1件当たり約12万4000ドル（約1600万円相当）に上っています。警察庁も同様に、フィッシング詐欺が3年ぶりに増加し、不正送金の被害額も15億円を超えるとして注意を呼びかけています。

なぜメールがこれほど、攻撃者にとって効果的なツールになっているのでしょうか。それは、「なりすまし」が容易だからです。知り合いや取引先、いつも使っているサービスなどの名前をかたり、重要な要件であるかのように思わせてリンクをクリックさせ、フィッシングサイトや悪意あるサイトに誘導する手口は、アナログですが残念ながら効果的です。

メール詐欺には、大きく分けて2パターンあり、単に「なりすます」だけのメール詐欺と、メールのアカウントを実際に乗っ取られてしまう「なりかわる」詐欺があります。

後者のアカウントの乗っ取りである「なりかわる」詐欺を行うには、事前にIDとパスワードを盗み取ることが必要です。そのため、アカウントを乗っ取り「なりかわる」ために、まずは“なりすました”メールによるフィッシングで攻撃が始まることがしばしばです。つまり、なりすましメールは、メール経由の脅威や侵害の大きな大きな入口となっているのです。

なりすましを見破るには、相手の手法を知ることが重要です。現在主に使われているなりすまし方法は、大きく3つに分類できます。

1つ目は、メールの送信元として表示される「From」欄を偽装する「表示名の詐称」です。実際には攻撃者のメールアドレスから送られているにもかかわらず、メーラーやメールシステムで表示する表示名には、実在する知り合いやサービスのように見える表示名が表示される、比較的ローテクな手口です。

この方法に対しては、よく言われてきたことですが「メールアドレスをよく確認すること」といったリテラシーを高めるべく、教育・研修を実施することが有効です。

2つ目は「タイポスクワッティング」とも呼ばれる、よく似た偽のドメインを用いる方法です。ぱっと見ただけでは区別の付きにくい、正規のドメインに似たドメインを攻撃者が取得し、そこからなりすましメールを送る手口です。

本来のドメインでは「O」（オー）という文字を「0」（ゼロ）と表記するような方法が典型例で、ユーザーに対する教育・トレーニングのほか、正規ドメインの所有者から類似ドメインのテイクダウンを申し立てることで対処することになります。

3つ目は、「ドメインのなりすまし」（ドメインスプーフィング）で、日本のなりすましメールの約40％を占めるとも言われています。この場合、差出人欄にある表示名やメールアドレスをはじめ、ユーザーがメーラーから見ることができる情報は正規のものとまったく変わりがありません。

しかし、裏側に隠れている「ヘッダー情報」を詳細に見ていくと、実は攻撃者のメールアドレスから送られていることがわかります。似た手法として、返信先を攻撃者のメールアドレスに指定する「Reply-to詐欺」と呼ばれる手法が使われることもあります。

残念ながらドメインのなりすましに対しては、いくらユーザーに教育し、「疑わしいところがないか気を付けましょう」と意識してもらっても、そうそう見分けが付きません。そうした手口に対し、ドメインをなりすましたメールを完全にブロックすることができる技術が「DMARC」です。

さらにDMARCを厳しいレベルで運用した後に搭載することができる「BIMI」（後編でご紹介します）を実施することにより、ドメインなりすましだけでなく、表示名詐欺や類似ドメインも含めた、なりすましメール全般を見破るヒントを提供することができます。

●なりすましを見破り、被害を未然に防ぐ「DMARC」
DMARCとは「Domain-based Message Authentication Reporting and Conformance」の略称です。横行するスパムメールやフィッシングメールを撲滅することを目的に、GoogleやFacebook、Microsoft、そしてプルーフポイントの事業体であるReturnPathなど約20社が集まって2012年に策定しました。

メールという技術は今から40年程前に策定された、古くからある技術です。到達性を意識して作られており、From欄の書き換えなどを許す仕様になっていることが、攻撃者やサイバー犯罪者に悪用される実情がありました。

これに対しDMARCは、SPFやDKIMといった送信ドメイン認証技術を活用しながら、なりすましメールを見破り、適切に扱う手段を提供します。

SPFは送信元のIPアドレスをもとに、また、DKIMはメールに付与される電子署名をもとに検証を行い、ユーザーの目に見える送信元情報と、その裏側にあるヘッダーに記録された本当の送信元情報が合致しているかどうかをチェックする技術です。

その結果、もし「なりすましされている」と判断すれば、本来のドメイン所有者がDMARCで指定しておいたポリシーに沿って、受信側でそのメールを扱います。DMARCのポリシーは、監視だけ行う「none」、隔離フォルダに入れる「quarantine」、削除する「reject」という3つの中から指定でき、自社をかたったなりすましメールの扱いをコントロールできるようになります。

DMARCを活用することで、これまでなりすましを受けた側には手出ししようがなかった部分を制御できるため、非常にプロアクティブな防衛手段と言えるでしょう。また、自社のドメイン、自社のブランドを守るだけでなく、取引先や顧客、サプライチェーン全体を守ることができるため、サプライチェーンリスク対策の基本です。

現に、ある弁護士事務所では、自社をかたったメールが顧客や取引先に1日当たり約10万通もばらまかれていた状況でDMARCを導入したところ、一気になりすましメールが減少しました。自社の名前を悪用される事態を防ぐのはもちろん、受け取った側がだまされてフィッシングサイトにアクセスしたり、マルウェアに感染してしまったりするケースも未然に防げたことになります。

また、特にコンシューマー向けサービスを提供している企業の場合、自社になりすましたメールがばらまかれると「御社からこんなメールが届いたのですが、これは開いても本当に大丈夫なんですか？」といった問い合わせがコールセンターに寄せられるのが常でした。

しかしDMARCに対応することで、そもそもなりすましメールを受け取るケースが減り、問い合わせ件数も大幅に削減するといった効果が得られます。その分、本当に重要な問い合わせ対応に注力できるでしょう。

何よりサイバー攻撃者側も、DMARC対応の有無を気にしているようです。例えば、「Cosmic Lynx」と呼ばれるBECを働くロシアの犯罪集団は、DMARCが設定されていないドメインを狙うことで知られています。自分たちの活動が補足され、足が付くことを恐れていることが一因でしょう。このようにDMARCに対応することで自社がサプライチェーン攻撃に、悪用されにくくなるという効果も得られます。

増田 幸美 そうた ゆきみ 日本プルーフポイント株式会社 チーフ エバンジェリスト。 早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。 この著者の記事一覧はこちら