経済産業省と総務省、警察庁は2月1日、クレジットカード会社などに対し、DMARC(ディーマーク)の導入をはじめとするフィッシング対策の強化を要請した。「なりすまし」メールなどを検出し、クレジットカード番号などの搾取を狙う迷惑メールが利用者に届かなくなるようにする環境の整備を急ぐ。
DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、電子メール認証プロトコルの1つで、正当な組織から送信されたように装った「なりすまし」のメールを検知し、送信先に届く前にブロックする仕組みのこと。SPF(Sender Policy Framework、送信者のドメインを利用したなりすましメッセージを阻止する技術)やDKIM(DomainKeys Identified Mail、第三者が電子メール内のデータを改ざんしていないことを確認する技術)など単体の技術を組み合わせることで、「なりすまし」と判断した迷惑メールの取り扱いを正規のメール送信者が指定することができる。
民間のメールシステム会社が2022年5月に実施した調査によると、日経平均株価の選定銘柄である225社のうちDMARCを導入している企業は約半数(49.8%)だった。
フィッシング対策協議会によると、2022年12月のフィッシング報告件数は前月比4730件減の6万5474件。前月比は3カ月連続のマイナスとなったが、Amazonを名乗るフィッシング報告が前月に続いて急増し、報告数全体の51.7%に上っている。月に1000件以上の大量のフィッシング報告が寄せられたブランドも9つあり、全体の89.9%を占めた。
同協議会の調査用メールアドレス宛に12月に届いたフィッシングメールの85.7%は、実在するサービスのメールアドレス(ドメイン)になりすましていた。フィッシングサイトのURLをQRコードにしてメールに埋め込む手法が増加。キャッシュレス決済の正規サービスに誘導し、送金させるケースも報告されている。
同協議会によると、DMARCで排除できるフィッシングメールは63.0%だが、報告の多くは受信時にDMARCポリシーに従ってメールをフィルターしていないサービスの利用者から届いている。このため、オンラインサービスを提供している事業者には、DMARCなどによるドメイン保護を呼び掛けている。
経産省などの要請は、こうした状況を踏まえた措置。クレジット会社などに対しては、利用者向けに公開する全てのドメイン名(メール送信をしないドメイン名を含む)についてDMARCを導入するよう促した。導入に当たっては、受信者が「なりすまし」メールの受信を拒否するポリシーの運用も求めている。
文:M&A Online編集部