サイト内の現在位置

ばらまき型フィッシングメールについてv2

NECセキュリティブログ

2024年5月17日

NECサイバーセキュリティ戦略統括部 セキュリティ技術センターのA藤(ハンドルネーム)です。今週のセキュリティブログでは筆者の前回ブログ[1]の続きとして、実際に筆者が受信したフィッシングメールに対して、送信ドメイン認証(SPF/DKIM/DMARC)がどのように機能したかを分析した結果を共有したいと思います。

DMARCについては、2024年2月にGmailで対応が始まりnew window[2]日本の組織でも影響が出たことが記憶に新しい出来事かと思います。この対応により、日本でのDMARC導入組織数が増加したというような記事new window[3]も出ています。

前回のブログを投稿した2023年9月時点では筆者の利用しているメールサービスは送信ドメイン認証としてSPFのみに対応していたため、前回のブログには送信ドメイン認証としてSPFにのみ言及していました。その後、2023年10月から当該メールサービスがDMARCとDKIMに対応したので、DMARCとDKIMも含めた送信ドメイン認証がどのように機能しているか見ていきたいと思います。

なお、ドメイン認証技術(SPF/DKIM/DMARC)について説明した資料はWeb上に多くあるnew window[4]ため、ここでは説明を省略します。

目次

ドメイン認証結果の分析

2023年9月27日以降、筆者の利用するメールサービスが安定してDKIM・DMARC対応しているように見えたため、この日以降のメールを分析の対象としました。また、迷惑メールフィルター設定は全て無効にしており、ユーザー側で操作可能な範囲ですべてのメールが受信できるような設定にしています。なお、今回の分析対象のメールは基本的にフィッシングメールのみで総数は596件です。

ここで、ドメイン認証の結果の値によるメールの振り分けは、送受信側の設定に依存します。本ブログでは、ドメイン認証の結果がpassかnone※だった場合には、そのメールはフィルタされず受信されるとして考えます。

  • passは認証成功を、noneはドメイン認証が導入されていないことを意味します。

表 1 : SPFの結果

SPFの結果 件数
pass 352
hardfail 113
temperror 56
none 43
permerror 27
softfail 3
policy 2

表1からSPFのみではフィッシングメールのうち約66%がフィルタされないことになります。


表 2 : DKIMの結果

DKIMの結果 件数
pass 233
none 206
temperror 83
permerror 69
fail 5

表2から、DKIMのみではフィッシングメールの約73%がフィルタされません。


表 3 : SPFとDKIMの両方の結果 (9未満は省略)

SPFの結果 DKIMの結果 件数
pass pass 200
pass none 104
hardfail none 77
temperror temperror 54
pass permerror 45
permerror pass 24
hardfail temperror 18
hardfail permerror 18
none none 17
none temperror 10
none pass 9

表3から、SPFとDKIMの両方を組み合わせた場合、フィッシングメールの約55%がフィルタされません。


表 4 : DMARCの結果

DMARCの結果 件数
none 253
pass 180
temperror 85
fail 78

表4から、DMARCの結果としては、フィッシングメールのうち約72%がフィルタされません。


表5: SPFとDKIMとDMARCを組み合わせた結果(5未満は省略)

SPFの結果 DKIMの結果 DMARCの結果 件数
pass pass pass 166
pass none none 88
hardfail none none 75
temperror temperror temperror 54
pass permerror none 36
pass pass fail 22
permerror pass fail 18
hardfail temperror temperror 18
pass none fail 16
hardfail pass none 16
none none fail 12
pass pass none 12
none temperror temperror 10
pass permerror pass 9
none permerror none 6
none pass none 5
none none none 5

表5から、SPF・DKIM・DMARCを組み合わせた場合、フィッシングメールの約46%がフィルタされません。

SPFのみだと約34%のメールをフィルタ可能でしたが、DKIMと組み合わせるとヘッダーFromの詐称の可能性があるものの、約45%のメールをフィルタ可能です。SPFだけだった場合と比較すると、約11%多くのメールをフィルタ可能だと言えます。また、DMARCの結果からヘッダーFromの詐称のおそれなく、約28%をフィルタ可能と言えます。さらに、3つのドメイン認証技術が組み合わさることで、いずれかのドメイン認証技術で約54%のメールをフィルタ可能と言えます。

まとめ

今回は、前回のブログの続きとしてDKIM・DMARCについても分析してみました。結果から分かるようにDKIM・DMARCの導入は全てのフィッシングメールを消すことはできないものの、より多くのメールをフィルタ可能であったり、ヘッダーFromの詐称の恐れが無いことを判定することが可能になります。そもそもフィッシングメールが届かないようにするための機能の有効性を知っていただければと思います。

DMARCがあればフィッシングメールの約7割は拒否できるという記事new window[5]もあります。ただし、フィッシングメールを適切にフィルタするには、DMARCのポリシーも適切に設定されている必要があるので、DMARCに対応しているからと言って手放しで安心はできません。例えば、米のNSAからはDMARCのポリシーがnoneで設定されているとスピアフィッシングメールが届くため、quarantineかrejectにして対策するよう示したレポートnew window[6]が出されています。dmarcのポリシー設定は送信者側で対応する必要があるため、この点は送信者側の対応が進むことを待ちたいと思います。

また、ドメイン認証結果によるフィルタを回避する試みが続いているという報告new window[7]もあります。DMARCはあらゆるフィッシングメールをフィルタするものではないnew window[8]ので、引き続き受信者の方はフィッシングメールへの意識を高めていく必要があると思います。

今一度自身にフィッシングメールが届いていないか意識を変える一助になれば幸いです。

参考文献

執筆者プロフィール

A藤(えーとう)※ハンドルネーム
セキュリティ技術センター サイバーインテリジェンスグループ

脅威情報の収集やデータ分析業務を担当
情報処理安全確保支援士(RISS)を保持

執筆者の他の記事を読む

アクセスランキング