Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webの努力を結果に結びつける最新メール仕様

 Webの努力を結果に結びつける最新メール仕様

最近、GmailでSPFだけではメールが届かないという話題を耳にしましたか?
メールセキュリティ仕様は、経産省、総務省、警察庁、金融庁、厚生省、文科省といった官庁から推奨され、多くの人々の関心を集めています。
メールを確実に受信箱に到達させ、なりすましメールを排除するために欠かせないからです。

今回の講義では、下記メールセキュリティ仕様について解説し、実際の設定や分析・監査に便利なPowerDMARCを紹介します。コカ・コーラやロールスロイス、英国政府など全世界8,858ドメイン、国内で大手企業を中心に175ドメインが導入しているこのSaaSは、月額2,000円から利用できます。

Webサイトの施策効果をコンバージョンに結びつけるために、確実にメールを配送し、且つ、なりすましメールを排除するため、これらの仕様は絶対に見逃せませんよね?

◆メールセキュリティの仕様と標準化
SPF・DKIM・DMARC・BIMI・MTA-STSなどのメールセキュリティ仕様があります。
これらのうち、BIMI以外はRFCで標準化されています。
BIMIについても、IETFで仕様化が進められ、GmailやAppleなどが既に対応しています。

◆ビジネスへの影響
Webサイトからの注文確認やメルマガ配送を確実に行い、なりすましメールを排除することで、Webサイトの施策を大きな結果に結びつけることが可能です。
特にB2Bサイトでは、2023年12月末で改正電帳法の猶予期間が切れるため、多くの企業が対応を進めています。

◆セキュリティの重要性
昨今のマルウェア感染源のファイルの2/3がPDFであることをご存じでしょうか?SPF/DKIM/DMARCの仕様が策定されてから8~17年が経過し、対応していない場合、民法709条の不法行為で過失責任を問われる可能性があります。また、2024年3月末までに対応が求められるPCI DSS4.0では、ECサイトにDMARCの実装が求められます。

◆官公庁と自治体の対応
官公庁や自治体の新しいシステム導入には、SPF/DKIM/DMARCの設定が仕様として必須です。

Yoichiro Takehora

August 30, 2023
Tweet

More Decks by Yoichiro Takehora

Other Decks in Technology

Transcript

  1. なりすましメールの損害賠償責任 5 A社 B社 A社になりすました サイバー犯罪者 ①A社になりすまして 情報・金銭要求 ②A社だと思って 情報・金銭を送付

    ③A社を装った 詐欺の損害賠償を請求 なりすましメールの損害賠償請求は「なりすまされた側」にされる可能性が! ウイルス対策ソフトを入れていないなどと同じく、「必要な水準の対策を取っていない」とみなされた場合、 不法行為を理由にA社は損害賠償責任を負います(民法709条)。 さらに、A社の取締役は、内部統制システム構築義務違反を理由に、会社に対する損害賠償責任を負う場 合があります。A社が取締役に対して責任追及しなければ、A社の株主による株主代表訴訟が起こされるこ ともあり得ます。 また、なりすまされた原因となった情報漏洩を惹起したA社の従業員も、A社から損害賠償を請求される可 能性があります。
  2. メールを使っていないドメインも危険! メルカリはSPFを設定していたが なりすましメールを送られた ↓ mercari.comにはSPFを設定済 mercari.jpには設定していなかった 6 出展:Yahoo! JAPANニュース 2022年4月3日

    クルクル回って120秒が詐欺の手口!メルカリを騙る 偽メールをタップしてみると なりすまし対策として、 普段メールを送らないドメインはSPFで明示的に 「メールを送信しないドメインである」と設定することが必要
  3. なりすましメール対策は推奨されている 送信ドメイン認証技術(SPF、DKIM及び DMARC)の導入を普及促進 2020年12月3日「フィッシング問題への取組に関する意見」より https://www.cao.go.jp/consumer/content/20201203_iken.pdf 7 内閣府 フィッシングの現状と被害防止対策 事業者におけるなりすましメール対策(DMARC)推奨 2022年11月4日「フィッシング対策セミナー2022」より

    https://www.antiphishing.jp/pdf/apcseminar2022npa.pdf 警察庁 経済安全保障推進法 サイバー攻撃対策等の様々な分野の研究開発の促進とその成果の適切な 活用は不可欠。このため協議会設置、調査研究業務の委託(シンクタンク)等を措置 令和4年法律第43号「経済安全保障推進法」より https://www.cao.go.jp/keizai_anzen_hosho/index.html 厚労省 経産省 各業界のISAC(情報共有組織)でDMARCを推奨 医療ISAC Webサイトより https://m-isac.jp/一般社団法人医療isac/サービス/dmark/ 金融庁 銀行関連団体にDMARC実装を推奨 フィッシング対策への取組 https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/004_03_00.pdf
  4. 関係する法律・制度 インボイス制度(2023年10月1日 開始) • 適格請求書を電子化する際、電帳法と同様になりすましメール対策をする必要がある 改正電子帳簿保存法(2024年1月1日 義務化) • メールで請求書や領収書などを送信する場合に、電子データとして保存が必要 •

    メールで送信する際に、なりすましメールで請求書や領収書を送れないように対策を 打つ必要がある • 対策していない場合には、民法709条の不法行為の「過失」に該当し、損害を受けた 企業や顧客から損害賠償請求を受ける可能性がある PCI DSS 4.0対応(2024年3月31日 迄) • クレジットカードの加盟店側も、SPF/DKIM/DMARCの設定をして、なりすまし メールを防ぐ必要がある 8 6月 7月 8月 9月 10月 11月 12月 2024 1月 2月 3月 4月 インボイス開始 電帳法義務化 PCI DSS4.0対応
  5. 官公庁・自治体と取引する企業はDMARC必須 9 ベースとなる規格 … NIST SP 800-171 米国政府機関が定めたセキュリティ基準を示すガイドライン。この中でSPF/DKIM/DMARCを使うことが規定され ている。日本は、アメリカの同盟国として、この規格に準拠してセキュリティ対策や基準を定める。 NISC(内閣サイバーセキュリティセンター)

    「7.2.1(1)-2」で 「SPF/DKIM/DMARC等の送信ドメイン認証技術による送信側と受信側の対策を行う」と規定。 「政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)」 防衛庁 日本では、2019年4月から防衛省および防衛装備庁においてNIST SP 800-171と同程度の新防衛調達基準の試 行導入がスタート。 地方自治体 「(14)電子メールのセキュリティ管理」で、「SPF/DKIM/DMARCを実施しなければならない」と規定 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和5年3月版) ー 総務省 https://www.soumu.go.jp/main_content/000870997.pdf
  6. セキュリティポスチャ(セキュリティに対する態勢) • 組織やシステムが情報セキュリティに対してどのような態勢を取っているか を示す概念 • セキュリティポリシー • 組織がセキュリティに関してどのような方針を持っているか。 • セキュリティ対策

    • ファイアウォール、侵入検知システム(IDS)、暗号化などの技術的な対策。 • 人的要素 • 従業員教育やセキュリティ意識の高揚。 • プロセス • インシデント対応、監査、レビューなどのプロセス。 • コンプライアンス • 法的要件や業界標準に対する準拠状況。 • リスク評価 • 現在のセキュリティリスクを評価し、それに対する対策を計画する。 • モニタリングとレポーティング • セキュリティ状況を継続的に監視し、必要な報告を行う。 12
  7. 技術仕様 SPF: RFC4408 DKIM: RFC4871 DMARC: RFC7489 BIMI: draft in

    IETF MTA-STS: RFC8461 ※お詳しい場合は、34ページまでスキップして下さい 16
  8. SPFだけしか設定していないと… SPF:v=spf1include:_spf.goog le.com~all DNS 送信MTA 送信MTA Gmail Gmail [email protected] [email protected]

    会社のMTAとしてGmailを使っていると、攻撃者もGmailのアカウントを 作れば同じサーバを利用できるので、SPFを通過できてしまう 受信 MTA・MDA 19 OK! OK!?
  9. DKIM(Domain Keys Identified Mail) google._domainkey:v=DKIM1;k=rsa;p=MI GfMA0GCSqGSIb3DQEBAQUAA4GNADCBi QKBgQCQxcLY5Rg+AQq87XtdJA/ Gmail Gmail [email protected]

    [email protected] Gmailを使っていても、DKIMを設定することで、メールに秘密鍵で「署名」が 自動で行われる。その「署名」を開ける鍵はDNSに「公開鍵」を登録する 秘密鍵 秘密鍵 公開鍵 NG OK DNS 送信MTA 送信MTA 受信 MTA・MDA 21
  10. SPF&DKIM vs S/MIMEの違い SPF DKIM S/MIME電子署名 なりすましドメイン検知 〇 〇 〇

    メール改ざん検知 × 〇 〇 fromアドレス詐称検知 × 〇 〇 メール暗号化 × × 〇 構成 MTAがSPFに対応している必 要あり 送信側MTA、受信側MDAが DKIMに対応している必要あ り 送信側メールクライアント、 受信側のメールクライアン ト、双方が対応している必 要あり DNSへの登録 SPFレコード登録が必要 公開鍵登録が必要 不要 S/MIMEは、個人で設定が必要 SPF、DKIMは、組織で一括設定が可能で、透過的になりすましやメール改 竄に対策を打てます 22
  11. Fromアドレスを検証しないとどうなる? 24 なりすましメールを送る側が、 ①自分のメールサーバをSPFに登録 ②ドメインにDKIMを正しく設定 ③Fromアドレスだけ書き換える そうして送ったら…届いてしまうんです! =だから DMARC Alignment

    でチェックする Fromのアドレスのドメインが、 SPFやDKIMのドメインと合致しているかどうかをチェック この3点セットで確実に迷惑メールに対策できます SPF:自社ドメインで設定 DKIM:自社ドメインで設定 From:[email protected] SPF:違うドメインで設定 DKIM:違うドメインで設定 From:[email protected]
  12. DMARCの役割 1. DMARCアライメント • 人が自由に変更できるFromアドレスのドメインと、メールヘッダのドメイ ンが一致しているかを確認する。 2. 送信側ドメイン所有者が処理を決める • DMARCを実装していないと、受信側MTAが処理を決める

    • DMARCを実装すると、検査に合格できないメールが受信できなくなるわけでは なく、検査の結果どうするかを受信側が決める • DMARCを実装することで、ドメイン所有者側が処理を決める • 決定の主導権をこちらが握る 3. メールの監査に必要なレポートを受信する • 検証の合格・適合/不合格・不適合のメール通数 • どのIP、どのホストから送信されたのか • Fromアドレス、Return-PathやDKIMの鍵はどうなっていたのか 26
  13. DMARCのSPF・DKIMの検証パラメータ • p=none • 認証に失敗したメールに対して、何も判断を変更しない事を受信サーバ に指示=受信側MTAで判断していいよ、という意味 • noneを設定することで、「違反していても、受信してください」という意 味になるのではない。 •

    p=quarantine • 認証に失敗したメールを隔離するよう受信サーバに指示 • 迷惑メールフォルダに振り分けられる • p=reject • 認証に失敗したメールは無条件に拒否するよう受信サーバに指示 • SPF、DMARC、どちらかが合格・適合すればいい • 撲滅するなら、reject 31
  14. BIMI(Brand Indicators for Message Identification) ブランド想起 メールを送信する度に顧客は受信箱でロゴを見るため、 ブランドイメージを強化することができます。 メールが確実に届く 迷惑メールフォルダに入らず、セキュリティに弾かれるこ

    ともないため、確実に顧客の受信箱に届きます。 安全性を視覚的に確認 BIMIはメールセキュリティに対応している証拠であり、 視覚的な安心感を与えることができます。 DMARCベース BIMIを導入するにあたって、その基盤であるDMARCを 導入することで、より多くのメールセキュリティを構築 することができます。 35 受信メールにロゴを表示できる機能 SPF、DKIM、DMARCを設定し、違反しているメールを 排除する設定をしている場合に利用可能 これがBIMI
  15. BIMIの効果 • Amazon Red ShiftとEntrustの調査 • 開封率39%増 • 著名企業のプロモーションメール •

    英国で39%、米国で21%の開封率の増加 • メールにBIMIのロゴの表示がない企業と表示がある企業の対比調査 • ロゴがない企業 … 24%の開封率低下 • ロゴがある企業 … 34%の開封率増加 • 売上への影響 • ロゴがない企業 … 39%の売上低下 • ロゴがある企業 … 32%の売上増加 • 無名のブランドのメール • BIMIでロゴを表示させて開封率61%増 https://dotkeeper.com/en/improve-open-rates-by-displaying-your-logo- in-emails-with-bimi-vmc/ 38
  16. メールの暗号化をどうするか? SPF DKIM S/MIME電子署名 なりすましドメイン検知 〇 〇 〇 メール改ざん検知 ×

    〇 〇 fromアドレス詐称を検知 × 〇 〇 メール暗号化 × × 〇 構成 MTAがSPFに対応している必 要あり 送信側MTA、受信側MDAが DKIMに対応している必要あ り 送信側メールクライアント、 受信側のメールクライアン ト、双方が対応している必 要あり DNSへの登録 SPFレコード登録が必要 公開鍵登録が必要 不要 SPF、DKIMは、暗号化のための仕組みではない 40
  17. MTA-STS(MTA Strict Transport Security) 送信MTA SMTPS 受信MTA/MDA POPS・IMAPS MTA-STS 42

    送信MTA SMTPS 受信MTA/MDA POPS・IMAPS MTA-STS 中継MTA MTA-STS
  18. MTA-STS(MTA Strict Transport Security) • どのMTA からの配送でもTLS が利用される • ドメインのMX

    ホストが正当性を提示する • TLS が利用できなかった際の振る舞いを定義する • 送信者のSMTPS、受信者のPOPS・IMAPSと、MTA間のMTA- STSによって全メール配送経路の暗号化が可能に • 添付ファイルを送るのに、パスワード付ZIPファイルを送らなくて 良い • PPAP問題 • S/MIMEのようにメールの暗号化を個人で設定・運用せず、組織 で透過的に設定・運用可能に 43
  19. MTA-STSのポリシー • reportモード • 認証に失敗した場合でも、メールが送信される。 • 認証に失敗した場合には、指定されたアドレスにエラーレポートが送信さ れる • テスト運用で指定

    • enforceモード • MTA-STSポリシーでの配送を強制 • 認証に失敗した場合は、メールの配送は行わない。 • 本番運用で指定 45
  20. PowerDMARCなら解決可能です 52 Permerror解決 PowerSPF SPF Flatteringという機能で内包リスト群を1つのリストに生成します。 これによってDNS Lookupが常に2回で済むようになり、 permerrorを解決・予防します。 MailAuth

    アナライザ 生成されたアドレスにメールを送るだけでSPF・DKIM・DMARCが 正しく設定されているかがわかるツールです。 DKIMの設定漏れも検出可能です。 XMLファイルの可視化 整理されたGUI 見にくいXMLファイルをパースしてデータを グラフィカルに表示します。 DMARCのポリシー設定などもGUIを用いて ミスなく設定可能です。 なりすまし排除 ブラックリスト CiscoのTalosと提携しており、不審なIPアドレスは ブラックリストに入れることができます。 Premiumプランなら、1回10万(税抜)で IPアドレスのテイクダウンも可能です。
  21. PowerSPF SPFには運用上の課題がある • 仕様上、DNS Lookupの参照リストが10を超えるとエラーとなり、 設定していないのと同じ扱いになる • 仕様上、Void Lookupが2つを超えるとエラーとなり、 設定していないのと同じ扱いになる

    54 機能解説 ➡どちらも、SPFの仕様を利用したDoS攻撃防止のため PowerSPFならエラーを回避できる SPF Flattering機能により、サードパーティのサービスの includeの内包リスト群を、先にDNS Lookupを行い展開して、 1つの大きなIPリストとして生成します。 これによりDNS Lookupが1回で済むようになります。
  22. PowerBIMI 62 機能解説 GUI画面で設定が完結 • BIMIに使う画像はサービス上にアップロードするだけでOK • VMC(Verified Mark Certificates)に対応しており、アップロード可能

    • GUI画面上で全ての設定が可能 BIMI取得までの手続きをお手伝いします 商標登録がお済みでなければ、弊社の顧問弁護士を紹介できます。 弊社はDigiCertの代理店ですので、VMCの販売・発行・承認を お手伝いします。 導入完了まで伴走して対応します。
  23. データプライバシー 65 機能解説 PowerDMARCはCCPAに適合しています。 (ISO 27001/PCI-DSS/GDPR/California Consumer Privacy Act) メールについて

    • お客様のメールを読みません。 • お客様のインバウンドまたはアウトバウンドの メールにアクセスすることは一切ありません。 • ドメインのアクティビティのみを監視します。 • お客様のメールの内容を見ることはありません。 DMARC集計レポートについて • DMARC集計レポートは、個人情報や個人を特定 できる情報(PII)は一切含みません。 レポートは、毎日の概要を提供するものです。 • レポートを送信したメール受信者 • お客様のドメインから送信されたメール数 • DMARC、SPF、DKIMに合格/失敗したメール • お客様のドメインからメールを送信した IPアドレス DMARCフォレンジックレポートについて • DMARCフォレンジックレポートは、誰かがお客様のドメインに なりすまそうとした場合や、お客様のメールが何らかの理由で、 DMARC、SPF、DKIMに失敗した場合にのみ送信されます。 • これらは個人情報や機密情報を含んでいる可能性がありますが、 メール受信者は通常、フォレンジックレポートで個人情報を 送信することはありません。 • お客様の「From」ドメイン • メールを受信した時間 • お客様のドメインからメールを送信したサーバの IPアドレス • DMARC、SPF、DKIMの合格/失敗の結果 • 失敗したメールのヘッダ • PowerDMARCには、フォレンジックレポートを暗号化する オプションがあります。 これを絶対的に安全なものにするために、独自のPGP鍵 ペアを使用して、レポートを暗号化することができます。
  24. 無料トライアル期間 無料でお試し頂けるトライアルを用意しております。 66 トライアル申込 トライアル期間 基本2週間 ご契約 設定そのまま移行 Premiumプランでトライアルを開始する為、全機能を確認頂くことができ、 契約時にはダウングレードも可能です。

    無料トライアルで登録できるドメイン数は制限がありません。 トライアルは最長1ヵ月まで延長可能です。 トライアル用のアカウントは、ドメイン・担当者様のお名前・メールアドレスを 教えて頂ければ、即日発行可能です。 トライアル中に設定頂いた内容は、契約後もそのままご利用頂けます。
  25. テクニカルサポート体制 PowerDMARCは海外のサービスなので、代理店である Spelldataが日本語でサポートします。 68 標準サポート…全てのプランに含まれるメールによるサポート 標準応答時間:1~2営業日 対応問題:アクセスに関する問題、ログインに関する問題、パスワードのリセット、プラット フォームのバグや問題 初期設定サポート(1時間) 最初の各項目の設定をオンラインで一緒に行います。通常10分程度で終わります。

    24時間365日サポート…Premiumプランに含まれるサポート エスカレーション(段階的な拡大)のための専任アカウントマネージャ 常時インシデント対応・管理・テクニカルサポート その他、 SPF/DKIM/DMARCの結果の解釈と最適化、及びp=rejectに移行するための 使用方法に関するサポートとしてマネージドサービスまたは実装サービスがございます。
  26. 24時間365日サポートについて 影響度合い 応答時間 目標解決時間 定義 P1-緊要 1時間 4時間以内 システムが完全にダウンしている状態。 実質的な作業はできず、システムは操作不能な状態。

    P2-高 2時間 24時間以内 主要な機能が致命的な障害を起こし、業務に大きな支障を きたしている状態。 P3-中 8時間 2営業日以内 ダウンタイムが伴わない、操作の中断が許容されるエラーが 発生している状態。 P4-低 24時間 5営業日以内 明確化や追加情報が必要とされる状態。 69
  27. マネージドサービスについて 70 DMARCの包括的な概要と、PowerDMARCプラットフォームの 使用方法を説明します。 オンボーディング PowerDMARCのアカウントの設定とドメイン登録をサポートします。 DMARCレコードを発行すると、メール配信に影響を与えることなく レポートを受け取れます。 設定 PowerDMARCのシステムは、お客様のデータを24時間365日監視し、

    お客様になりすまそうとする者を含めた全ての送信元を特定します。 モニタリング お客様のドメインのセキュリティステータスに応じて、 DMARCポリシーを「p=quarantine」にアップグレードします。 ポリシー アップグレード 本番運用の準備ができたらポリシーを「p=reject」に設定します。 その後もお客様のドメインに不審な活動がないかを監視し、リアル タイムで警告を発し、不正なIPを削除していきます。 100% エンフォースメント
  28. • 2021年9月に日本正規代理店になったことを発表しました。 • UIの日本語化を担当しました。 • 日本の改正民法債権法に基づいて、品質保証をします。 • 契約を日本法で締結します。 • 金額はほぼ同じです(為替レートによって変動します)。

    Spelldata は PowerDMARC の日本正規代理店です 72 • メール通数に制限がありません。 本家ではプランによってメール通数に制限がかかります。 • PowerSPFを特別にお手頃価格で使える Plusプランをご用意しています。 代理店限定
  29. プラン別費用 73 ※2023年6月27日現在 プラン Premium Plus Basic 企業規模 大企業向け 中小企業向け

    個人・小企業向け 価格(月額) お問い合わせ 3,300円 2,000円 価格(年額) - 2か月分お得 お問い合わせ 33,000円 20,000円 DMARCレポート集計 ◦ PowerSPF ◦ × SOC2およびISO27001の 認証と準拠 ◦ × SLA 連続稼働率99.995% × アラート機能 ◦ × 脅威インテリジェンス ◦ × こんな方におすすめ 安全かつ確実に DMARCを設定し、 メール環境を整えたい SPFのルックアップ 回数制限を回避したい DMARCレポートの 状況を確認したい
  30. BIMI登録費用 74 その他費用 金額 備考 VMC証明書取得 219,000円/1ドメイン 商標登録 (商標未登録の場合) 120,000円/1区分

    200,000円/2区分 280,000円/3区分 権利取得したい区分を 選んで申請する 合計 1区分…339,000円/2区分…419,000円/3区分…490,000円 マネージドサービス 30,000円/時 ※商標が未登録の場合、別途商標調査や商標登録用のロゴ作成などに費用がかかる場合がございます。 ※必要な際に使用する時間分だけ購入頂くサービスです。
  31. 導入スケジュール 77 1. トライアル アカウント発行 2. Zoomで 一緒に設定 4. 分析

    ミーティング 即日 約1時間 (最短10分) 1時間 現状の把握と 問題点を明確にします 6. \ご契約/ 7. 契約プランに 移行 設定そのまま 移行OK 3. データ蓄積 5. 更に運用テスト 1週間 1週間
  32. To Do List ロードマップ 1月 2月 3月 4月 5月 6月

    7月 8月 9月 10月 81 インボイス事業者 登録締め切り インボイス制度 開始 DMARCでp=rejectに する BIMIを設定 ロゴが表示されるよう にする プレスリリースで、正しい メールは自社ロゴが表示され る旨を通知 DMARCで p=quarantineを10% からスタート DKIM実装開始 SPF/DKIM不適合 洗い出し対応 メール運用ポリシーの策定・ 社内通達
  33. 連携図 82 法務部 経理部/購買部 IT部門 電帳法・インボイス 制度対応 民法709条対応、 PCI DSS

    4.0対応 マーケティング部 /営業部 メール到達率・開封 率向上 広報部 御社顧問弁理士 BIMIで使う商標ロゴ 各事業部 関連会社 Spelldata プロジェクトの 支援 社会やお客様に対する 御社のコミットメントの広報 各システム毎の SPF・DKIM洗い出し