ブランドとレピュテーションを守る
学習の目的
この単元を完了すると、次のことができるようになります。
- 現在どのようなメールセキュリティが実装されているかを判断する。
- 最も一般的なメールセキュリティの脅威について説明する。
- フィッシングやスプーフィング詐欺の兆候を認識する。
- メールに DMARC を導入して実装する。
メールはあなたのライフライン
メール (電子メール) は、メッセージを送受信する方法として生み出されました。今日のビジネスの世界で、おそらく最も重要で広く使用されている通信システムです。あなたをクライアント、顧客、従業員、見込み客、ベンダーとつなげ、ビジネスのほぼすべての部分に関わっています。メールでメッセージを送信すると、受信者は送信者があなたであると信じて、内容を信頼します。メールはあなたのレピュテーションに直接関係しており、あなたの成功を左右する理由の 1 つがこのレピュテーションです。これはあなたのブランドに欠かせない要素です。
ここで、次のような難しい問題があります。基盤となるメールプロトコルの SMTP (Simple Mail Transfer Protocol) は、30 年以上前に設計されました。当時、私たちのほとんどはメールを使用するどころか、聞いたこともありませんでした。SMTP には、今日のメールシステムが日常的に直面するセキュリティの脅威に対応する機能が備わっていませんでした。最新のメールセキュリティは、クライアント、従業員、ビジネスなど、ブランドとレピュテーションを構成するすべての要素を保護します。
あなたのメールシステムがハッキングまたは侵害された場合を想像してみてください。サイバー犯罪者は、あなたになりすまし、ウイルスを広め、機密情報にアクセスし、あなたを信頼している人々に損害を与える可能性があります。多くのビジネスが急停止することになります。被害は壊滅的なものになる恐れがあります。ブランドとレピュテーションを守ることは、規模に関係なく、すべての組織にとって重要な目的でなければなりません。組織のメールセキュリティを考慮するには、DMARC を実装する必要があります。詳しく見てみましょう。
DMARC を味方につける
ドメイン名スプーフィングとは、誰かが SMTP サーバーとメールソフトウェアを使用して、あなたのメールアドレスからメールを「送信」することを言います。メールセキュリティとレピュテーションをメールとドメインのスプーフィングから守るために、DMARC (Domain-based Message Authentication, Reporting, and Conformance) を使用できます。DMARC を使用すると、送信者はメッセージが保護されていることを示し、受信者に DMARC で使用される認証方法のいずれかが成功または失敗した場合にどうすべきかを伝えることができます。
DMARC のより具体的なメリットとして、次のようなものがあります。
- ユーザーに届く前にフィッシングメールを阻止する
- フィッシングメールがシステムに侵入するリスクを減らす
- フィッシング試行のリアルタイムアラート
あらゆる種類のスプーフィング/フィッシング攻撃が DMARC で解決されるわけではありません。阻止できるのは、組織のドメイン名を使用しているメールのみです。したがって、他のメールセキュリティメカニズムを実装する必要があります。
また、DMARC は送信者と受信者のどちらか一方だけでは成り立ちません。DMARC がより効果的に機能するためには、送信側と受信側の両組織がプロセスに参加する必要があります。顧客とサプライヤーが DMARC を使用している場合は、両者がメールドメインスプーフィングから保護されます。どちらか一方のみが使用している場合は、両者とも保護されません。送信側組織は、DMARC ポリシーの作成と実装を担当します。受信側組織は、DMARC 検証を有効にする必要があります。この情報を広め、DMARC の導入を勧めてください。組織が所有するすべてのドメインを、独自の DMARC ポリシーで保護する必要があります。
幸いにも、DMARC は簡単に実装できます。Global Cyber Alliance (GCA) からシンプルな実装ガイドラインが提供されています。このガイドラインから、メールドメインの確認と DMARC の有効化、GCA DMARC Setup Guide (GCA DMARC 設定ガイド) の使用、DMARC Bootcamp Online Library (DMARC ブートキャンプオンラインライブラリ) へのアクセスが可能です。
Global Cyber Alliance による Protect Your Email and Reputation ツールボックスでは、DMARC レポートを分析する無料ツールが提供されています。また、Web サイトまたはドメインになりすまそうとしている人がいないかインターネットを監視するのに役立つリソースも含まれています。Global Cyber Alliance による Protect Your Email and Reputation ツールボックスの「Trademark Protection (商標保護)」セクションにリストされているツールを商標保護に役立てることができます。
DMARC とは何か理解できました。次は DMARC があなたを何から守ってくれるのかを説明します。ほとんどのメール攻撃は、フィッシングやスプーフィングによって発生します。実際、サイバー攻撃の 90% 以上は、フィッシングメールから始まります。
フィッシング
フィッシングメールは、信頼できるソースからの「正当な」要求のように見せかけることで、騙して機密情報を引き出したり、金銭にアクセスしようとします。フィッシングメールは洗練されていて検出が非常に難しい場合があります。不正なメールであると見分けることができる差異はわずかです。送信者のメールが不審であることに気が付かないかもしれません。会社名のスペルが 1 文字違っていたり、配色が少し違うこともあります。最も情報に通じている人でさえ、フィッシング詐欺に遭う可能性があります。
スプーフィング
サイバー犯罪者がフィッシングで使用する一般的で簡単な方法の 1 つは、「メールスプーフィング」と呼ばれます。スプーフィング攻撃では、人またはプログラムがデータを偽装して別の人になりすまし、不正に有利な立場を得ます。スプーフィング攻撃者は、貴重な情報を共有するように受信者を説得したり、受信者に代わってタスクを実行しようとしたりします。その手口は多くのフィッシング詐欺と同じくらい洗練されていて、スプーフィング攻撃者が被害者とバーチャル人間関係を築くことも珍しくありません。ユーザーのコンピューターネットワーク内に侵入すると、スプーフィング攻撃者は多くの場合マルウェアを実行し、いくつかのシステムを侵害して重大な損害を与えます。
フィッシングとスプーフィングだけではないメール脅威
一般的なメール脅威と言えばフィッシングとスプーフィングですが、それだけではありません。他によく見られるメール詐欺として、次のものがあります。
- ビジネスメール詐欺 (BEC): 送金取引を行い、海外にサプライヤーがいる企業を狙った詐欺の一種です。この詐欺では、CEO、サプライヤー、または弁護士になりすまし、通常は財務部門への送金を要求してきます。メールは本物であるように見え、ファーストネームで呼んでくることもあります。さらに悪いケースであれば、詐欺師が CEO、サプライヤー、または弁護士のメールアカウントにアクセスできることもあります。信頼できる相手から送信されたメールに見えるからといって、本物だと思い込まないことです。何らかの要求があれば、確認するようにしてください。
- スパム: 私たち誰もがスパムを受信し、無視しようとします。すべてのスパムに悪意があるわけではなく、その多くは単なる迷惑メールです。ただし、スパムメールには 2 種類あります。1 つは、スパム送信者自身が商品やサービスを販売しようとするものです。迷惑ではありますが、比較的無害なカテゴリに分類されます。もう 1 つは、ウイルスに感染したコンピューターから大量に送信されるものです。心配すべきなのはこのタイプです。
自分は見分けることができると思っているかもしれません。場合によっては、そのとおりかもしれませんが、このようなフィッシングメールは非常にリアルで説得力のあるものに見えます。昨今の被害状況を見れば、相変わらずこの詐欺に騙される人々がいることがわかります。それが、ハッカーがこうした活動を止めない理由です。ベストプラクティスは、従業員、顧客、ビジネスを守る強固なメールセキュリティを実装することです。
まとめ
あなたのメールはあなたを表します。メールはあなたのブランドとレピュテーションの重要な要素です。あなたのメールシステムに侵入してあらゆる種類の情報にアクセスしようと、最大限の努力を惜しまない人たちがいます。DMARC はビジネスを守るための最良の方法であり、その実装に役立つリソースが数多く提供されています。