なりすましメール対策をしていますか?

作成:
分類: お知らせ 学び 社労士事務所の運営

自社のドメイン、または自分自身のメールアドレスから不審なメールが来て、「もしかして、乗っ取られたのか?」と不安になったことはありませんか?

「なんとなく不安」と思いつつ、なりすましメール対策を後回しにしていませんか?

社労士事務所という立場上、顧問先に対して、「先生の事務所から怪しいメールが届いた」などという事態が起こることは避けなければなりません。

なりすましメールとは?

なりすましメール(Email Spoofing)とは、送信元のメールアドレスやドメインを偽装して、別の人物や組織を装って送られるメールのことです。

受信者には正規の差出人から届いたように見えるため、フィッシング詐欺やビジネスメール詐欺(BEC:Business Email Compromise)に悪用されることが多く、社労士事務所のように機密性の高い個人情報を取り扱う事業者が踏み台にされると、顧問先への信頼失墜につながりかねません。

Qちゃん
「なりすまし」って、自分のメールアドレスが直接乗っ取られるわけじゃないんですよね?
A先生
そうです。メールの仕組み上、送信元アドレスは誰でも自由に書き換えられる、という根本的な問題があります。だから「本物かどうか」を検証する仕組みが必要なんですね。

SPF・DKIM・DMARCとは?

なりすましメール対策の三本柱が、

  • SPF
  • DKIM
  • DMARC

です。いずれもDNS(ドメインネームシステム)のTXTレコードに設定することで機能します。

SPF(Sender Policy Framework)

メールを送信できる正規のサーバーをドメイン管理者があらかじめ登録しておく仕組みです。登録外のサーバーから送られたメールは「怪しい」と判定されます。

DKIM(DomainKeys Identified Mail)

送信時にメールへ電子署名を付与し、受信側がその署名を検証することで「改ざんされていないか」「本当にそのドメインから送られたか」を確認する仕組みです。

DMARC(Domain-based Message Authentication, Reporting & Conformance)

SPFとDKIMの検証結果を踏まえ、認証に失敗したメールをどう扱うか(通過・隔離・拒否)のポリシーをドメイン管理者が定める仕組みです。

また、認証失敗の報告を受け取るレポート機能も備えています。

Qちゃん
3つ全てを設定しないといけないんですか?
A先生
はい、3つすべてを設定することで、なりすましメールをしっかり「拒否」できる状態になります。

対策:段階的に設定を強化する

一般的には、メールヘッダーは以下のような状態になっているはずです。

spf=softfail   ← 正規サーバー以外からの送信を「警告」止まりで通してしまっている
dkim=none      ← 電子署名が設定されていない
dmarc=fail     ← 認証は失敗しているが、policy=none のため何もしない設定になっている

この状態だと、第三者が当事務所のドメインを騙ってメールを送っていても、受信サーバーは「怪しい」とは思いつつも、そのまま受信者のメールボックスに配信してしまいます。

ただし、設定の変更はメール配信に直接影響するため、いきなり最強の設定にするのではなく、段階的に強化するのが鉄則です。

(1) DKIMを設定する

SPFとDMARCを強化する前に、まずDKIMを正しく機能させる必要があります。DKIMが設定されていない状態でSPFやDMARCを厳格化すると、正規のメールまで弾かれてしまうリスクがあります。

DKIMの設定は、メールサーバーやメール送信サービス側で秘密鍵・公開鍵を生成し、DNSのTXTレコードに公開鍵を登録します。

設定後は、送受信したメールのヘッダーで dkim=pass となることを確認してください。

(2) SPFを ~all(softfail)から -all(fail)に強化する

DKIMが正常に機能していることを確認したら、SPFレコードを強化します。

# 現状(softfail:警告止まり)
v=spf1 include:... ~all

# 強化後(fail:明確に拒否を指示)
v=spf1 include:... -all

-all にすることで、登録外のサーバーからの送信は「失敗(fail)」として明確に拒否を指示できます。

(3) DMARCポリシーを段階的に強化する(最重要)

現在 p=none(何もしない)になっているDMARCポリシーを、以下の順で段階的に変更します。

# ステップ1:まず quarantine(迷惑メール送り)に変更して様子を見る
_dmarc.example.jp  TXT  "v=DMARC1; p=quarantine; rua=mailto:mail@example.jp; pct=100"

# ステップ2:問題がなければ reject(拒否)に変更する
_dmarc.example.jp  TXT  "v=DMARC1; p=reject; rua=mailto:mail@example.jp; pct=100"

p=reject になると、SPF・DKIMの両方が通らないメールは、受信サーバー側で完全に拒否されます。

rua= には認証失敗レポートの送付先メールアドレスを指定します。pct=100 は対象メールの100%に適用することを意味します。

Qちゃん
いきなり `p=reject` にすると何か困ることがあるんですか?
A先生
例えば、メール転送を使っている場合、SPFの検証で失敗しやすくなります。まず `p=quarantine` で一定期間運用してレポートを確認し、想定外の失敗がないことを確かめてから `p=reject` に移行するのが安全です。

企業にとってメールセキュリティは最重要

今の時代、メールを経由した情報漏えいや不正アクセスへの対策は、もはや「やっておいた方が良い」ではなく、「やらなければならない」対応です。

企業にとって情報セキュリティ対策は必須ですが、着手すべき最初の課題がメールセキュリティです。なぜなら、外部とのやり取りにメールを利用している企業がほとんどだからです(最近はビジネスチャットのみという企業も増えていますが)。

もちろん、社労士事務所も同様です。顧問先から「先生のメールアドレスから変なメールが来た」と言われたら目も当てられません。あっ、当事務所は顧問先との連絡にSlackやMattermostなどのビジネスチャットを利用しているので、メールはほぼ使っていませんでした。。。

なお、当然ながら、当事務所ではこれまでの試行期間を経て、最強の設定にしています。設定変更を行い、ヘッダーでdkim=passspf=passdmarc=pass と確認できたときの安心感は、なかなかのものでした😉

メールセキュリティに関して、不安のある経営者・人事労務担当者の方は、お気軽にご相談ください。

一人社労士事務所のほどほど経営術

本を執筆しました。ぜひご購入ください。

Amazonで購入
登録無料 社労士限定 お悩み相談室
up_line