ここから本文です

「メールセキュリティに悪影響」MicrosoftのDMARCレポート停止をNCSCが批判

9/18(水) 10:00配信

TechTargetジャパン

 英国立サイバーセキュリティセンター(NCSC)の最新レポートによると、Microsoftは2017年後半にDMARC(Domain-based Message Authentication, Reporting and Conformance)プロトコル(訳注)に関するあらゆる形式のレポートを同社の全電子メールプラットフォームから送信するのを取りやめたという。

訳注:電子メールの送信ドメイン認証技術の一つ。送信元IPアドレスの正当性チェック(SPF)や送信元詐称を確認する電子署名付与(DKIM)を利用してメールを認証する。

 Microsoftの電子メールプラットフォームを全て合わせると、非常に大きな電子メール受信システムになる。NCSCはActive Cyber Defence(ACD)プログラムに関する最新の年次レポートに次のように示している。「Microsoftのレポート送信停止は、電子メールセキュリティについて判断するNCSCの能力に大きな悪影響を及ぼす。NCSCのこうした能力は、DMARCが原動力になっている。結果として、2017年と2018年の統計を比較する意味はほとんどなくなる」

 NCSCの2017年のレポートでは、電子メールの総数とDMARCに失敗した電子メール数の両方を含めて、同センターが観察した電子メールの量について議論している。だが、2018年は世界最大級の電子メールプロバイダーから十分なデータが得られなかったことから、2017年と同じ調査ができなかったという。

 「当センターを含む多くの機関が、このことについてMicrosoftと話し合っている。そのため、(訳注:DMARCに関する)この章が当初の予定よりもやや短くなっていることを申し訳なく思う」とNSCSのレポートには記されている。

 NCSCの「Mail Check」サービスはACDプログラムの重要な構成要素で、DMARCを含めて公共機関の電子メールなりすまし対策機能を監視する。

 同レポートによると、DMARCを利用する公共機関ドメインの数は2017年12月末には412だったが、2018年12月末には1369と3倍以上増加している。

 疑わしいメールが受信者の受信トレイに配信されないように「quarantine」(隔離)または「reject」(拒否)するというDMARCポリシーを適用するドメインの数も、192から572へと3倍に増加している。

 「これは明らかに、公共機関での電子メールセキュリティプロトコルの導入意欲が向上していることを示している。公共機関での導入を促進し、さらに強力なDMARCポリシーが選択されるようにするため、そして英国(およびさらに多くの国)の幅広い業界でも同様にこのプロトコルが導入されるようにするため、行うことはまだたくさん残っている」(同レポート)

 電子メールの業界団体M3AAWG(The Messaging, Malware and Mobile Anti-Abuse Working Group)で運用委員会の共同委員長を務め、DMARC規格を監督するIETF(Internet Engineering Task Force)作業部会の事務局長も兼任するセス・ブランク氏は、NCSCの記載について次のようにコメントした。「特に電子メールのフィッシングが重大かつ世界的な問題として深刻化している事実を踏まえ、このレポートは電子メールエコシステムの全ての関係者にとって、認知された規格とベストプラクティスに一貫して従うことがどれほど重要かを強調している」

 「DMARCのような規格からメリットを得ても、レポートを提供することでエコシステムに貢献しない関係者がいれば、全員の電子メールセキュリティがダメージを受ける。NCSCがこの送信停止を『コミュニティーへの大きな悪影響』と呼ぶのは間違っていない」(ブランク氏)

 「幸い、全世界の大多数の電子メールはDMARC規格とその義務を尊重している。フィッシング攻撃や電子メール詐欺を排除できるかどうかは、こうしたサポートが継続的に拡大し、深まることにかかっている」と同氏は話す。

 本誌のインタビューに答えて、Microsoftの広報担当者は次のように語った。「『Outlook.com』でDMARCのレポート送信を一時停止したのは、社内でエンジニアリングの統合を行うためだ。エンジニアリングの統合作業が完了したら、DMARCレポートの再開に取り掛かる」

 NCSCは同レポートで、DMARCは電子メールプロバイダーが送信ドメインのポリシーから要求される通りに電子メールを扱うことに依存していると指摘し、DMARCポリシーの要件に従うよう全ての電子メールプロバイダーに呼び掛けている。つまり、「拒否」というDMARCポリシーが適用される送信ドメインから来る、認証要件に適合しない電子メールは受信者アカウントに決して到達すべきではない。

 レポートによると、「拒否」レコードの処理方法は電子メールプロバイダーによって異なるという。「拒否」ポリシーが適用されても、全てのプロバイダーがその電子メールを完全に拒否するわけではない。

 ここに問題があると同レポートは指摘する。「拒否」されたメールがフィッシングメールで、それがスパムフォルダに振り分けられたとする。それでもユーザーがそのメールを見つけて開く可能性はゼロではない。

 NCSCによると、ユーザーがスパムフォルダに振り分けられた電子メールを開き、攻撃者の侵入経路となったインシデントが幾つかあったという。

 「業界は、ドメインのDMARCポリシーにもっと一貫性のある対応を行わなければならない。そのためには多くの作業が必要になる」とレポートは伝えている。

TechTargetジャパン

最終更新:9/18(水) 10:00
TechTargetジャパン

こんな記事も読まれています

あなたにおすすめの記事