Security NEWS TOPに戻る
バックナンバー TOPに戻る
本シリーズでは、「ソーシャルエンジニアリング最前線」として、2025年6月現在のフィッシングに代表されるソーシャルエンジニアリングに関する動向と企業・個人が取れる対策をまとめます。第4回は企業が行うべきフィッシング対策をまとめます。
フィッシング対策協議会が示す企業向けガイドライン 重要5項目
フィッシング対策協議会のガイドラインには重要5項目が掲げられています。
重要項目[1] 利用者に送信するメールでは送信者を確認できるような送信ドメイン認証技術等を利用すること
重要項目[2] 利用者に送信する SMS においては、国内の携帯キャリアに直接接続される送信サービスを利用し、事前に発信者番号等を Web サイトなどで告知すること
重要項目[3] 多要素認証を要求すること
重要項目[4] ドメイン名は自己ブランドと認識して管理し、利用者に周知すること
重要項目[5] フィッシングについて利用者に注意喚起すること
以下に特に重要な技術的要素を解説します。
フィッシング対策に重要なメール認証技術とは?SPF・DKIM・DMARCの導入ポイント
SPF・DKIM・DMARCの違いと仕組み
| SPF | DKIM | DMARC | BIMI |
| 正規のサーバー(IP アドレス)から送信されたかを検証 | 電子署名でメールを検証。メールヘッダー情報やメール本文も署名対象にできる | SPFとDKIMの検証結果を使って検証。認証に失敗したメールの挙動を定められる | 正規メールであることをユーザが視認できる。適切に認証されたメッセージの横にブランド固有のインジケーターを表示するための規格 |
- DKIM,SPFはいずれかの検証結果をDMARCの検証に使用するため、いずれかまたは両方の設定が必要となります。
- DMARCはDKIMまたはSPFいずれかまたは両方の検証結果がPASSであったうえで、送信元としてヘッダにあるドメインと実際の送信元ドメインが合致する場合にのみPASSする仕組みとなっています。
- DMARCの検証結果がFAILの場合の挙動は送信元としてヘッダに記載されているドメインがDMARCポリシーレベルとして指定することができます。
- BIMIはVMC/GMC/CMCという証明書を発行する規格で、発行された場合には一部のメールプラットフォームで自社のロゴなどを送信者情報に自社・組織アイコンを表示できます。DMARC等との相関性はありませんが、フィッシング対策およびブランディングの一つの方法として利用が始まっています。
本年1月に公開された情報では日本国内のDMARC導入済みの大企業はNikkei225企業で83%となっている一方、DMARCポリシーレベルは過半数が”none”(FAILした場合に監視)となっています注 1)。導入後、段階的にポリシーレベルを厳格化することが推奨されていることから、今後は少しずつ、quarantine(隔離)やreject(拒否)への移行が進むものと考えられます。
一方、大企業に限らず、DMARCの導入は日本全体としてどうなっているでしょうか。令和6年版情報通信白書では次の図の通りjpドメインに関しては20%程度の導入にとどまっているとされています。
令和6年版の情報通信白書に掲載されているデータは2年ほど前のデータとなります。
Nikkei225企業の過去の導入率が2023年1月公開のデータで31%注 2)、2024年1月公開のデータで60%注 3)、2025年1月公開のデータで83%と、2024年を境に大きく改善していることを考えると、2025年現在では全体としてDMARCの導入は進んでいる可能性が高いと考えられます。この2024年の大きな改善の契機となったのが2024年2月からのGmailでのDMARC運用厳格化です。この時はフィッシング対策のため大量にメールを送信するケースに対してDMARC運用が段階的に厳格化されました。これを機に大企業ではDMARCの導入が進んだと考えられます。中小企業や他の組織についても、自社ブランドのドメイン保護のため、DMARCおよびDKIM、SPFの導入、またDMARCのポリシーレベルの段階的な厳格化を進めることが必要となっています。
一方、受信側のメールサーバの設定はDMARC未設定の送信者への配慮を含めた過剰なフィルタリングによるメールの未配送を防ぐためにDMARC以外の要素も含めたフィルタリングを行っていることが多いため、フィッシングメールを誤配送するケースがあります。Gmailでも段階的に受信/配信ポリシーの厳格化を行ったことから、受信側のメールサーバの設定や運用も徐々に今後厳格化する必要が出てくるでしょう。
なりすましメールを防ぐためのドメイン管理とサブドメイン維持の重要性
さて、DKIMやSPFといった検証方法は、真の送信元のドメインがヘッダに書かれているメールアドレスのドメインと異なる場合、DMARCの検証ではFAILになります。現状、多くの場合のフィッシングメールはなりすましている送信元とは全く関係のないドメインから送信されるため、DMARCがFAILになります。しかし、仮にドメインやサブドメインが乗っ取られる、または廃止ドメインが悪用されるといった場合は、真の送信元ドメインとヘッダのドメインが合致するために DMARCがPASSし、最も厳格にDMARCを運用しているGmailなどのサービスでもメールを受信することが可能となります。
ドメインやサブドメインの乗っ取り(ドメイン/サブドメインテイクオーバー)や廃止ドメイン/サブドメインの悪用はWebサーバのドメインも有効性や信頼度にも影響します。ドメインやサブドメインはいったん更新を行わないと一定期間登録ができない状態に置かれた後に洗顔による登録が可能となります。この瞬間に悪意のある第三者がドメイン・サブドメインを横取りすることをドロップキャッチと呼びます。過去に使用されていたドメイン・サブドメインは検索エンジンからの流入や他サイトのリンクからの流入などからソーシャルエンジニアリングの舞台として利用しやすい点を理解する必要があります。
ドメイン・サブドメインは自社のブランドを示す一つの資産であるということや、ドロップキャッチのような手法があることを理解する必要があります。そのうえで、登録されたドメインは可能な限り長期間にわたって維持できるよう、場合によっては運用停止後も保持を行うなどの対策も検討する必要があります。
サービス別に選ぶフィッシング対策に強い認証方式の選定ポイント
フィッシング協議会のガイドラインにもありますが、サービスの内容に応じた認証機構の選択が必要となります。特に第2回で触れたようにAiTMを用いたセッション情報の窃取により不正アクセスの手段を攻撃者が入手できるため、SMSやAuthenticatorアプリを使用した多要素認証が防御策となりえないケースが増えています。特に昨今話題の証券口座不正アクセス・取引事件のように、資産(ポイントを含みます)の移動をサービスとして提供する場合には耐フィッシング性の高い認証機構の導入を検討する必要も出てきています。
FIDO2・WebAuthnによるパスワードレス認証のメリット
多要素認証の中でも耐フィッシング性の高い技術とされているものがFIDO2、WebAuthn対応のパスワードレス認証となります。代表的な様式は以下の2つです。
- FIDO2対応の認証器
- FIDO2/WebAuthn対応のパスキー
いずれもパスワードは不要で、セッションによる認証のコントロールも行いません。認証サーバやWebサイトに対して紐づく公開鍵と、デバイス単位で保存する秘密鍵を生体認証経由で取り出して送信、公開鍵と照合してログインの承認を行う仕組みとなります。
まとめ:進化するソーシャルエンジニアリング攻撃と企業が取るべき対策
SQAT.jpでは過去もフィッシング対策に関する記事を公開しています。
「フィッシングとは?巧妙化する手口とその対策」
現在もフィッシングに限らず多様なソーシャルエンジニアリング攻撃が私たちの身の回りに増えてきています。1年前であれば多要素認証で充分であった認証機構も、今やAiTM攻撃のために耐フィッシング性を考慮する必要があります。1年前はその名前に言及すればよかったVishing(ビッシング)は今、自動音声通話詐欺の形で身近なものになっています。ClickFixや偽CAPTCHAのような手口もここ最近増加しています。マルバタイジングによる被害も目にすることが増えてきました。生成AIを悪用するケースも今後増えていくでしょう。生成AIサービスのガードレールの不備による悪用も増えることが想定されます。
本連載記事はわずか1年ほどの期間に起きた変化を読者の皆さんにお知らせする目的で公開しています。こうしている間にも、ソーシャルエンジニアリング攻撃の新しい手口が出てきているかもしれません。ソーシャルエンジニアリング攻撃は定量的な防御策の評価が難しいため、実際の被害が身近なところで発生しない限り、なかなか経営レベルでの問題として取り上げられづらい傾向にあります。とはいえ、企業や組織を動かすのは「人」です。第1回の記事にも書いた通り、人には人特有の脆弱性があります。攻撃者は人の脆弱性を悪用することに特化してソーシャルエンジニアリング攻撃を実行しています。対する我々は、人の脆弱性を知り、脆弱性を補うために何をすればよいかを検討しながら組織的に対応していくことが重要でしょう。
ソーシャルエンジニアリング対策としてのペネトレーションテスト活用法とは
ここ1年ほどの間に弊社ブロードバンドセキュリティ(BBSec)では、ペネトレーションテスト的なアプローチを用いたソーシャルエンジニアリング攻撃への防御策の評価を何度か実施しています。AiTMへの防御、フィッシング耐性、SSO環境の堅牢性といった従来の脆弱性診断では取り扱わない領域についても、お客様のスコープとシナリオなどに応じて検証のご提案をしております。
お問い合わせ
お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。
【連載一覧】
―第1回「ソーシャルエンジニアリングの定義と人という脆弱性」―
―第2回「実例で解説!フィッシングメールの手口と対策」―
―第3回「フィッシングメールの最新トレンドとソーシャルエンジニアリング攻撃の手口」―
【関連記事】
・【重要】楽天証券・SBI 証券をかたるフィッシングメールにご注意!
・IPA 情報セキュリティ10大脅威からみる―注目が高まる犯罪のビジネス化―
・フィッシングとは?巧妙化する手口とその対策
・「情報セキュリティ 10 大脅威」3 年連続ベスト 3 入り、ビジネスメール詐欺を防ぐ手立ては?
【参考情報】
注:
1)フィッシング対策協議会「送信ドメイン認証技術「DMARC」の導入状況と必要性について」
2)https://www.proofpoint.com/jp/newsroom/press-releases/nikkei225-dmarc-implementation-rathio-2023
3)https://www.proofpoint.com/jp/blog/email-and-cloud-threats/Global-DMARC-Adoption-Rate-Survey-2023
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」
「Webサイトの脆弱性はこう狙われる!OWASP Top 10で読み解く攻撃と対策」
「企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-」
最新情報はこちら
