高まるサプライチェーン攻撃のリスク、なりすましメール対策で対処を

そもそもメールは、いくつかの手口で送信者のなりすましが可能な仕組みです。メールソフト上に示される「表示名」の偽装に始まり、「o」と「0」など見た目の似た文字列を用いた類似ドメインを使う「タイプスクワッティング」、見た目は正しいメールアドレスに見せかけて返信先を偽装する「Reply-to偽装」、そして正規のメールアドレスに見せながら裏側では異なるアドレスから送信する「ドメインのなりすまし」などが代表的な手法です。

こうした複数の手法があるため、何か一つの対策を導入すればなりすましメールを見破ることができるという性質のものではありません。ユーザーのリテラシー向上のために継続的にトレーニングを実施したり、自社のドメインに似た類似ドメインを検索し、悪用される前に先んじてテイクダウンを行ったりと、さまざまな方面から取り組む必要があります。

中でも、ドメインのなりすましに対して有効な対策が、「DMARC」（Domain based Message Authentication Reporting and Conformance）と、それをベースにしてメールソフト・受信画面上にロゴを表示して正規のメールを判別しやすくする「BIMI」（Brand Indicators for Message Identification）です。

前述の通りメールでは、受信者が目にするメールアドレスは簡単に書き換えることができてしまいます。そこで、送信元のIPアドレスやドメイン名を宣言して検証する、SPFやDKIMといった「送信ドメイン認証」という技術によって、まったく別のメールシステムから送信されていることを確認できる仕組みが提唱され、特にSPFは広く普及してきました。ですが、攻撃者は、自らSPFやDKIMに対応することで、この仕組みをかいくぐるようになってきたのです。

DMARCはそれを克服するために提案された技術です。DMARCでは、SPFで認証しているドメイン（Envelope-From）と、メールのアプリ上で見えている送信元のドメイン（ヘッダー上の「From」）、あるいはDKIMで宣言されているドメインとが一致しているかどうかを確認します。この「アライメント」を取ることによって、なりすましメールかどうかを判断していきます。

さらに、本来のドメイン所有者が、「もし、私のところになりすましたメールを受け取ったらこうしてほしい」と宣言したポリシーに沿って、モニタリングしつつ配送したり、当該メールを隔離・削除したりといった対処を行います。