2011年後半には、三菱重工業といった社会インフラに関わる企業や公官庁などが、メールを使った標的型攻撃によって、ウイルスの侵入を許してしまう事件が次々と発生した。このときに使われたメール(標的型メール)は非常に巧妙にできており、IPAや警察庁はその具体例などを公表し、注意喚起を行った。事件が発生した約1年後の2012年10月に実施されたセスペ試験では、この標的型メールに関する出題があった。
問題文には、「メーカY社のB氏のメールアドレスからメールが届いたが、直前までY社内でB氏と打合せをしており、疑問を抱いた。そのメールは、記載されている社名、部署名、氏名及びメールアドレスの全てが正しかったが、念のためB氏に確認したところ、やはり送信していないとのことだったので、不審なメールであると判断した」とある。攻撃対象になった企業の従業員に、取引先の従業員になりすましたメールが届いたのだ。これが標的型メールである。
送信ドメイン認証で防げない
この問題では、対策の一例としてSPFによる送信ドメイン認証を取り上げている。SPFによる送信ドメイン認証とは、受信側のメールサーバーが、届いたメールの送信元IPアドレスと、送信元メールアドレスのドメインが登録されたDNS上の情報(SPFレコード)が一致しているかどうかを確認する技術である。迷惑メール対策では、一致しないメールを一括削除したり、ユーザーに警告を出したりするときに使う。
しかし最近では、SPFによる送信ドメイン認証では標的型メールや迷惑メールの対策で有効に働かないケースがある。それは、「Gmail(ジーメール)」などのフリーメールを使ったメールが増えているからだ。Gmailでは、送信元のメールアドレスを企業が取得したドメインに設定でき、送信元のサーバーが米グーグルになる。このため、SPFの送信ドメイン認証だけでは、届いたメールが不正かどうかを判断できない。
