about-dmarc

DMARCとは|なりすましメールを防ぐ仕組みを解説

2022/08/18

昨今、なりすましメールによるインターネット詐欺は珍しくありません。なりすましメールは有名な企業やサイト、業者を装うものがほとんどで、個人で見分ける事は難しく、被害を防ぐため電子メールでは「DMARC」をはじめとしたあらゆる認証技術が用いられています。

本記事では、なりすましメールを防ぐDMARCについて詳しく解説します。DMARCは送信元が受信者を守る機能があるので、なりすましメールが心配な人はチェックしてみてください。

セキュリティ対策に不安がある人はこちら

DMARCとは

DMARCとは電子メールの送信ドメイン認証技術の1つで、なりすましメールの被害を防ぐために用いられます。電子メールの送信ドメイン認証技術は、DMARCの他にSPFとDKIMがあります。この2つの認証技術は、受信者を保護するものですが、DMARCはSPFとDKIMの認証技術に加えて、送信者側にとって便利な機能が備わっています。

SPFとDKIMはあくまで受信者側を保護するものである一方で、SPFやDKIMでは正当なメールすら受信を拒否する恐れがあります。そのため、DMARCでは以下3つの機能が加わりました。

・送信元が認証に失敗したメールの取り扱いの指定が可能
・送信者が受信者から認証結果を知ることができる
・第三者による代理署名は許容しない


それぞれの機能について詳しく解説します。

送信元が認証に失敗したメールの取り扱いの指定が可能

SPFやDKIMでは、認証できなかったメールの取り扱いは受信者に一任されます。そのため、受信者側がなりすましメールを受信する設定にしている場合、正当な送信者は自分を装うメールを阻止できません。

DMARCでは、正当な送信元で受信者側が認証に失敗したメールの取り扱いを判断できます。送信者側がDMARCを活用すると、自分になりすましている恐れがあるメールの取り扱いを以下の3つから指定できます。

・メールを受信してもらう
・メールを隔離してもらう
・メールの受信を拒否してもらう


DMARCは正当な送信者が自分を装うなりすましメールを阻止できる手段なのです。

送信者が受信者から認証結果を知ることができる

DMARCを活用すると、送信側は受信元のプロバイダよりSPFや DKIMの認証結果レポートを受け取ることが可能です。認証結果レポートでは、自分になりすましたメールがないか確認できます。

レポートで確認されたなりすましメールは、正当な送信元で認証しないように設定でき便利です。また認証結果レポートはリアルタイムでの受け取りが可能なので、速やかに送信元を保護することができます。

第三者による代理署名は許容しない

DMARCは第三者が代理署名を行ったメールを認証しないため、基本的に送信元はメール配信ソフトの利用ができません。メール配信ソフトは不正なメールに使われることが多いからです。メール配信ソフトを使うと代理署名になるので、なりすましメールの阻止に有効といえます。

これだけ見ると、送信側は「DMARCはメール配信ソフトを使えず不便」と感じるでしょう。しかし、DMARCを活用する場合、メール配信ソフトで正しいドメインを設定すれば問題ありません。

DMARCの必要性

DMARCはなりすましメールの被害を食い止めるだけではなく、自社を装うメールへの抑止にもなります。そのため、DMARCはなりすましメールによる自社の信頼を損なわないツールといえるでしょう。

しかし、「DMARCは必要なの?」と考える人もいると思います。なりすましメールの被害事例はさまざまなものがあり、なかには身に覚えがあるパターンがあるかもしれません。具体的に事例を見ると、DMARCの必要性を痛感します。

なりすましメールの被害事例

なりすましメールの被害事例は、大きく分類するだけでも以下の3パターンがあります。

・宅配業者を装った事例
・金融機関を装った事例
・エモテットへ感染する事例


なりすましメールによる被害事例を詳しく紹介します。

宅配業者を装った事例

2020年から急増しているのが、宅配業者を装ったなりすましメールです。宅配業者を装った偽のSMSを受信させ、個人情報を盗み携帯会社のキャリア決済が不正利用されるケースが増えています。

このパターンでは、文面に「お荷物のお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください」と記載して偽サイトのURLへ誘導します。偽サイトの指示通りにIDやパスワード、暗証コードを入力するとキャリア決済のログイン情報が盗まれ悪用されてしまいます。

金融機関を装った事例

銀行などの金融機関を装ったなりすましメールも珍しくありません。金融機関になりすましたメールでは、以下の文章で不安をあおり偽サイトのURLへ誘導します。

・○△銀行を装う偽メールに注意して、安全のために設備ロックを行なってください
・お客様の○×銀行口座に対し、第三者からの不正なアクセスを検知しました
・お客さまの○□銀行の口座に異常ログインの可能性がございます


偽サイトの指示通りにログインIDやパスワードを入力すると、自分の銀行口座が悪用されてしまいます。

銀行等金融機関を装ったなりすましSMSに注意!急増する手口と対処方法

エモテットへ感染する事例

なりすましメールに記載されたURLにアクセスして、エモテットに感染するパターンもあります。エモテットとはマルウェアの一種で、なりすましメールから不正サイトのURLへ誘導して感染する場合が多いです。

エモテットに感染すると自分のデバイスから個人情報や機密情報が盗まれるうえに、他のデバイスへ伝染する恐れがあります。エモテットの感染を狙うなりすましメールは、プレゼントを装ったメールや関心の高い時事テーマを用いたメールのパターンが多いので注意しましょう。

Emotet(エモテット)とは|対策と感染したらとるべき対処法を解説

個人のセキュリティ対策も必要

DMARCの普及は進んでいますが、どの企業も取り入れているわけではありません。そのため、受信者側は自分でなりすましメールへの対策をする必要があります。

なりすましメールへの対策に有効なのは、セキュリティソフトの導入です。セキュリティソフトを導入しておけば、万が一なりすましメールを受信しても情報漏洩やマルウェア感染を阻止できます。しかし、セキュリティソフトは製品によって機能や性能が違うので注意が必要です。

おすすめは@niftyが提供する「常時安全セキュリティ24」です。常時安全セキュリティ24には以下の機能が備わっているため、なりすましメールへの対策が可能です。

・マルウェアや不正プログラムの感染、侵入を防止
・ネット銀行への接続時に通信を保護
・偽サイトのブロック


利用できるセキュリティソフトは、AV-TEST の「Best Protection Award」を10年で7度受賞したF-Scure社製なので安心です。さらに月額550円(税込)で7台までのデバイスを保護でき、コストパフォーマンスにも優れています。

ぜひこの機会に常時安全セキュリティ24の導入を検討してみてはいかがでしょうか。

>利用料金などの詳細は「常時安全セキュリティ24」にてご確認ください
sec24

※2022年8月時点の情報です。
※iOSはウイルススキャンに対応していません。

スマホやパソコンを守るセキュリティソフト「常時安全セキュリティ24」おすすめの理由

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり