グーグル、マイクロソフト、フェイスブックなど、フィッシング攻撃を無力化する新仕様を提唱
ネット企業大手が不正メール撲滅で一致団結Google、Microsoft、Facebookをはじめとする大手ネット企業がこのほど、対フィッシング攻撃用の新仕様に関する発表を行った。電子メール・プロバイダーは現在、自社で扱うメッセージが、なりすましたドメイン・アドレスを使用するフィッシング攻撃の一部となっているかどうかを自助努力によって吟味しているが今回の新仕様はその方法を合理化するものだ。
この仕様は過去2年間にわたりテストが繰り返され、現在は「DMARC(Domain-based Message Authentication, Reporting & Conformance)」と呼ばれている。今日、不正なメールかそうでないかの判定は特定企業の独断で決められることが少なくないが、DMARCの取り組みは、そうしたメールの選別方法に対して単一のポリシー・セットを適用するための本格的な試みでもある。
不正メールの送受を回避する目的で、ネット業界が「DomainKeys Identified Mail(DKIM)」を、また、Microsoftが「Sender Policy Framework(SPF:のちのSender ID)」を策定してから約10年が経過している。そうした中で、DMARC仕様が新たに登場してきたことは、旧来仕様だけでは高度化するサイバー攻撃(主として、フィッシング攻撃)を防ぎ切れない事実を端的に示すものだろう。
実際、犯罪者が有名企業のドメインをかたり、ユーザーに悪質なリンクをクリックさせようとするフィッシング攻撃は、現在も大きな社会問題となっている。その結果、自社の顧客をフィッシング攻撃から守るために金融機関などの大規模組織は電子メールによる顧客とのコミュニケーションを極力避けるというアナログな手段をとり始めている。
DMARCの下では、電子メールのハブ同士が、ある特殊なプロトコルを使用して当該メールにどの認証技術が用いられているかの情報を交換する。これにより、メールの受信側は、当該メッセージの出所について高いレベルの確証が得られる。
これは当たり前の手順のように思えるが、今日存在する無数の電子メール・プロバイダーは、それぞれ独自にセキュリティ機能を実装しており、アウトバウンドの(送信する)電子メール・トラフィックについてはセキュリティ確保を図っている。
しかし一方で、インバウンドの(サーバが受信する)全メールの信頼性を1つずつ検証/確認する仕組みは整えられていない。つまり、そうした検証/確認のためのポリシーやアルゴリズムにはプロバイダー間の統一性が確保されていなかったのである。
しかも、フィッシング攻撃の一環でなりすましが行われているという事実を、なりすまされているドメインを持つ組織に同業他社が通知してこなかったという重大な問題もある。これは、企業規模とは関係なく、あらゆる企業/組織が内包する問題でもある。
しかし、大手を中心とする電子メール・プロバイダーらの間で相互の信頼関係が確立されれば、DMARCがゆっくりと、そして着実に動き出し、スパマーやフィッシング詐欺師の撲滅につながるのではないかと期待されている。すなわち、ネット業界でのDMARC仕様の活用が進めば、スパム対策フィルタやメールの受信側がフィッシング攻撃を検知しやすくなり、結果として攻撃の無力化につながるというわけである。
その意味で、DMARCが成功するか否かは、同仕様を支持する企業がどの程度のペースで増加していくかにかかっているとも言える。現時点でこの取り組みに参加している企業は、Bank of America、PayPal、Yahoo、LinkedIn、Fidelity Investments、AOL、Agari、American Greetingsのほか、電子メール・セキュリティ企業CloudMarkなどだ。また、業界リサーチ団体のTrusted Domain Project(TDP)もDMARCの取り組みに参加している。
(John E Dunn/Techworld.com)
