フィッシングメールやウイルスメールといった、送信者をなりすます迷惑メールが後を絶たない。SPFやDKIMといった、なりすましを見抜くための技術である送信ドメイン認証の普及が進んでいるが、これらだけでは不十分。そこで登場した新技術が「DMARC」だ。企業がDMARCを導入すれば、自社の社員や自社サービスの利用者などをなりすましメールから守れる。自社から送るメールの信頼性も高められる。

全体の4割が迷惑メール

 総務省によると、迷惑メールはインターネットを流れるメールの4割近くを占めているという。

インターネットを流れるメールの4割近くが迷惑メール
インターネットを流れるメールの4割近くが迷惑メール
通信事業者10社の全受信メール数と迷惑メール数およびその割合の推移。迷惑メールの数は減少傾向だが、いまだに全体の4割近くを占めている。総務省の公開情報を基に編集部で作成した。
[画像のクリックで拡大表示]

 近年、特に問題なのがフィッシングメールやウイルスメールだ。「迷惑メールの総量は減少傾向だが、危険度は増している」。以前から迷惑メール対策に取り組んでいる、インターネットイニシアティブ(IIJ)ネットワーク本部 アプリケーションサービス部 担当部長の櫻庭 秀次氏は警鐘を鳴らす。「フィッシングやウイルスは『迷惑』では済まない。実害が発生している」(同)。

 例えば2017年1月以降、マイクロソフトをかたるフィッシングメールが続出している。

送信者をなりすます「フィッシングメール」が危険
送信者をなりすます「フィッシングメール」が危険
迷惑メールの中で特に危険なのがフィッシングメール。クレジットカード番号やパスワードなどを盗まれる恐れがある。2017年前半にはマイクロソフトをかたるフィッシングメールが多数出回った。画像はフィッシング対策協議会提供。
[画像のクリックで拡大表示]

 典型例は、同社製品のプロダクトキーの認証を求めるもの。メールの受信者に対して、「あなたが使用している製品は違法コピーの疑いがあるので、認証しないと使えなくなる」と脅す。

 メールに記載されたURLにアクセスすると、偽の認証サイトが表示される。そこでは、Microsoftアカウントやパスワード、住所、氏名、電話番号、クレジットカード番号などの入力を求められる。これらを入力すると、すべて攻撃者(詐欺師)に送信される。

▼フィッシング
偽のメールやWebサイトなどを使って個人情報をだまし取る詐欺の手口。フィッシング詐欺ともいう。
▼ウイルスメール
ウイルスを添付したメール。ウイルス本体をメールに添付せず、ウイルスが置かれたWebサイトのURLが記載されている場合もある。
▼迷惑メール
未承諾の広告メールを指す場合が多いが、ウイルス添付メールやフィッシング詐欺メールなど、受信者が迷惑だと思うメールすべてを指すことが多い。
▼SPF
Sender Policy Frameworkの略。IPアドレスを使って、メールの送信元ドメインを確認する。
▼DKIM
DomainKeys Identified Mailの略。電子署名を利用してメールの送信元ドメインを確認する。
▼送信ドメイン認証
メールのやり取りにおいて、届いたメールの正当性を受信する側が確認すること。送信元の詐称(なりすまし)を見抜くために利用する。
▼DMARC
Domain-based Message Authentication, Reporting&Conformanceの略。2015年3月に仕様の基本部分がRFC 7489として公開された。