サイト内の現在位置

ばらまき型フィッシングメールについてv2

NECセキュリティブログ

2024年5月17日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターのA藤（ハンドルネーム）です。今週のセキュリティブログでは筆者の前回ブログ[1]の続きとして、実際に筆者が受信したフィッシングメールに対して、送信ドメイン認証（SPF/DKIM/DMARC）がどのように機能したかを分析した結果を共有したいと思います。

DMARCについては、2024年2月にGmailで対応が始まり new window [2]日本の組織でも影響が出たことが記憶に新しい出来事かと思います。この対応により、日本でのDMARC導入組織数が増加したというような記事[3]も出ています。

前回のブログを投稿した2023年9月時点では筆者の利用しているメールサービスは送信ドメイン認証としてSPFのみに対応していたため、前回のブログには送信ドメイン認証としてSPFにのみ言及していました。その後、2023年10月から当該メールサービスがDMARCとDKIMに対応したので、DMARCとDKIMも含めた送信ドメイン認証がどのように機能しているか見ていきたいと思います。

なお、ドメイン認証技術（SPF/DKIM/DMARC）について説明した資料はWeb上に多くある new window [4]ため、ここでは説明を省略します。

ドメイン認証結果の分析

2023年9月27日以降、筆者の利用するメールサービスが安定してDKIM・DMARC対応しているように見えたため、この日以降のメールを分析の対象としました。また、迷惑メールフィルター設定は全て無効にしており、ユーザー側で操作可能な範囲ですべてのメールが受信できるような設定にしています。なお、今回の分析対象のメールは基本的にフィッシングメールのみで総数は596件です。

ここで、ドメイン認証の結果の値によるメールの振り分けは、送受信側の設定に依存します。本ブログでは、ドメイン認証の結果がpassかnone※だった場合には、そのメールはフィルタされず受信されるとして考えます。

※
passは認証成功を、noneはドメイン認証が導入されていないことを意味します。

表 1 : SPFの結果

SPFの結果	件数
pass	352
hardfail	113
temperror	56
none	43
permerror	27
softfail	3
policy	2

表1からSPFのみではフィッシングメールのうち約66%がフィルタされないことになります。

表 2 : DKIMの結果

DKIMの結果	件数
pass	233
none	206
temperror	83
permerror	69
fail	5

表2から、DKIMのみではフィッシングメールの約73%がフィルタされません。

表 3 : SPFとDKIMの両方の結果（9未満は省略）

SPFの結果	DKIMの結果	件数
pass	pass	200
pass	none	104
hardfail	none	77
temperror	temperror	54
pass	permerror	45
permerror	pass	24
hardfail	temperror	18
hardfail	permerror	18
none	none	17
none	temperror	10
none	pass	9

表3から、SPFとDKIMの両方を組み合わせた場合、フィッシングメールの約55%がフィルタされません。

表 4 : DMARCの結果

DMARCの結果	件数
none	253
pass	180
temperror	85
fail	78

表4から、DMARCの結果としては、フィッシングメールのうち約72%がフィルタされません。

表5: SPFとDKIMとDMARCを組み合わせた結果（5未満は省略）

SPFの結果	DKIMの結果	DMARCの結果	件数
pass	pass	pass	166
pass	none	none	88
hardfail	none	none	75
temperror	temperror	temperror	54
pass	permerror	none	36
pass	pass	fail	22
permerror	pass	fail	18
hardfail	temperror	temperror	18
pass	none	fail	16
hardfail	pass	none	16
none	none	fail	12
pass	pass	none	12
none	temperror	temperror	10
pass	permerror	pass	9
none	permerror	none	6
none	pass	none	5
none	none	none	5

表5から、SPF・DKIM・DMARCを組み合わせた場合、フィッシングメールの約46%がフィルタされません。

SPFのみだと約34%のメールをフィルタ可能でしたが、DKIMと組み合わせるとヘッダーFromの詐称の可能性があるものの、約45%のメールをフィルタ可能です。SPFだけだった場合と比較すると、約11%多くのメールをフィルタ可能だと言えます。また、DMARCの結果からヘッダーFromの詐称のおそれなく、約28%をフィルタ可能と言えます。さらに、3つのドメイン認証技術が組み合わさることで、いずれかのドメイン認証技術で約54%のメールをフィルタ可能と言えます。

まとめ

今回は、前回のブログの続きとしてDKIM・DMARCについても分析してみました。結果から分かるようにDKIM・DMARCの導入は全てのフィッシングメールを消すことはできないものの、より多くのメールをフィルタ可能であったり、ヘッダーFromの詐称の恐れが無いことを判定することが可能になります。そもそもフィッシングメールが届かないようにするための機能の有効性を知っていただければと思います。

DMARCがあればフィッシングメールの約7割は拒否できるという記事 new window [5]もあります。ただし、フィッシングメールを適切にフィルタするには、DMARCのポリシーも適切に設定されている必要があるので、DMARCに対応しているからと言って手放しで安心はできません。例えば、米のNSAからはDMARCのポリシーがnoneで設定されているとスピアフィッシングメールが届くため、quarantineかrejectにして対策するよう示したレポート new window [6]が出されています。dmarcのポリシー設定は送信者側で対応する必要があるため、この点は送信者側の対応が進むことを待ちたいと思います。

また、ドメイン認証結果によるフィルタを回避する試みが続いているという報告 new window [7]もあります。DMARCはあらゆるフィッシングメールをフィルタするものではない[8]ので、引き続き受信者の方はフィッシングメールへの意識を高めていく必要があると思います。

今一度自身にフィッシングメールが届いていないか意識を変える一助になれば幸いです。

参考文献

[1]
ばらまき型フィッシングメールについて: NECセキュリティブログ | NEC
https://jpn.nec.com/cybersecurity/blog/230908/index.html
[2]
DMARC を使用してなりすましと迷惑メールを防止する - Google Workspace 管理者ヘルプ
https://support.google.com/a/answer/2466580?hl=ja
[3]
大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功 | 日経クロステック（xTECH）
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08889/
[4]
JPNIC ニュースレター No.84 なりすましメール対策のためのDMARCとその導入・運用 - JPNIC
https://www.nic.ad.jp/ja/newsletter/No84/0800.html
[5]
7割超のフィッシングはDMARCで止める、すり抜けたメールにも多層防御で対抗 | 日経クロステック（xTECH）
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110900008/
[6]
NSA Highlights Mitigations against North Korean Actor Email Policy Exploitation
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-email-policy-exploitation/
[7]
フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2024/03 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202403.html
[8]
FAQ - DMARC Wiki
https://dmarc.org/wiki/FAQ#Does_DMARC_block_all_types_of_phishing_attacks.3F