DMARC導入とポリシー強化に向けた運用に課題。クレジットカード会社に求められる対応とは!？

クレジットカード不正利用の原因の一つである、フィッシング詐欺の被害は留まるところがありません。2024年2月には総務省、警察庁及び経済産業省警察からクレジットカード会社などに対し、なりすましメールを防ぐDMARCの導入を始めとするフィッシング対策の強化の要請が出されました。PCI DSS v4.0のベストプラクティス要件でもあるDMARCは、なぜ今求められているのか。リンクでPCI DSS準拠を促進するサービスを担当する滝村 享嗣と、メールリレーサービスのプロダクトマネージャー・菱沼憲司の2人が、今後クレジットカード会社がとるべき対策について語りました。

クレジットカード会社に対するフィッシング対策強化の要請

――フィッシング詐欺の被害をなくすため、2024 年2月に総務省、警視庁及び経済産業省からクレジットカード会社などに対して、DMARCの導入とポリシー強化を要請したことが話題となりました。この要請が出された理由を教えてください。

●クレジットカード会社等に対するフィッシング対策強化の要請
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000184.html

滝村　皆さんのところにも日々フィッシング詐欺を狙う「なりすましメール」が届いていると思います。数ヵ月前には電力会社をかたったなりすましメールがニュースになりましたが、圧倒的に多いのはクレジットカード会社やクレジットカードを利用するECサイトのなりすましメールです。
世に出回るなりすましメールの数が多ければ、当然騙される人も増えてしまいます。実際にフィッシング詐欺被害のデータを見ると、クレジット・信販系が 一番多く約 50.1 %、次がEC 系で 約 14.9 %と、この2つで60％を超えています。 なりすまされることが多いクレジットカード会社やECサイトは、利用者を守るためにも当事者としてしっかり対策をしてくださいという要請だと受け取っています。

●2024/04 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202404.html

菱沼　なりすましメールは、フィッシング詐欺の入口として送るものです。なりすましメールには偽のサイトに飛ぶURLのリンクが貼ってあります。遷移先の偽サイト（フィッシングサイト）でIDやパスワードを入力すると情報が抜き取られ、アカウントを乗っ取られてお金を奪われたり、ECサイトで勝手に買い物をされたりといった被害に遭うという仕組みです。

なりすましメールを使ったフィッシング詐欺は昔からあるものですが、その手法がどんどん巧妙化しているという面があります。例えば、完全に無差別になりすましメールを配信するのではなく、その人が普段利用しているサービスやクレジットカード会社、ECサイトなど、ある程度ターゲットを絞ったなりすましメールが届くようになってきました。自分が契約しているサービスやクレジットカードからのメールとなると、疑いのレベルが下がりますよね。そこで何の疑問も持たずにURLをクリックしてしまう人は、IDやパスワード、さらには住所や電話番号といった個人情報まで入力してしまうケースが増えています。

滝村　クレジットカードを持つ方の年齢層が上がってきているというのもフィッシング詐欺被害が増えている要因だと考えられます。よくよく考えるとクレジットカード会社がメールで暗証番号を聞いてくることなんて絶対にありませんよね。でも、これまであまりパソコンなどに触れてこなかった方もスマートフォンでメールを利用するようになり、そういうものかと思ってつい入力してしまうので、被害に遭いやすいんです。

菱沼　結局、フィッシング詐欺を防ぐためには、その入口であるなりすましメールを撲滅するしかありません。とは言っても、これまでは技術的に防ぐ手段がなかったので、事業者側としても「自社の名前をかたったなりすましメールに気をつけてください」とお客さまに注意喚起を促すくらいしかできませんでした。事業者側もなりすましメールを送られている被害者だったわけです。

ところがDMARCの登場によって、ドメイン所有者側でなりすましメールを排除することが可能になったことで「うちも被害者で困っているんです」とは言っていられなくなってきた。これからは、「なりすましメールが送られてくる会社＝しっかりとしたなりすまし対策を取っていない会社」と見られてもおかしくない時代になっていくと思います。

DMARC導入と運用 。早急な対応が必要なクレジットカード業界

――なりすましメール対策としてはDMARCが一番効果があるということですか。

菱沼　これまでも、なりすましメールを防ぐために「SPF」や「DKIM」などの技術が使われてきました。SPFは送信元のIPアドレスを使って、DKIMは電子署名を使って、そのメールの送信者が正当かどうかを判断します。でもこの2つの認証方法はメールに表示される送信元アドレスを認証するわけではないので、悪意を持った第三者がSPF・DKIMを合格させた上でなりすましメールを送信するのを防ぐことはできませんでした。

そこでDMARCは、メールソフト上で表示される送信元ドメイン（＝ヘッダFrom）を基準にメールの認証を行います。メールを送る企業やサービスは、基本的に差出人のところに自社のドメインを使って送っていますよね。第三者がヘッダFromをなりすましても、DMARCを導入していれば「SPF」や「DKIM」で認証したドメイン名とヘッダFromが一致しているか検証するので、なりすましメールだと判断できるわけです。

さらに、DMARCは送信元ドメインのなりすましを防ぐことに加えて、自社のドメインになりすましたメールをどう処理するかを、ドメインの所有者が指定できるようになります。DMARCには３段階のポリシーがあります。最初のステップである“none （ノン）”は、監視のみを行うもので、認証に失敗したなりすましメールもそのまま配信されます。次の段階となる“quarantine （クアランティン）”になると、なりすましメールを迷惑メールフォルダに隔離でき、もっとも強固な“reject（リジェクト）”では、メールを配信させず削除できるようになります。DMARCを導入すれば、なりすましメールによる攻撃というのは限りなくゼロにすることができます。

滝村　fjコンサルティングとかっこが共同で取りまとめた「キャッシュレス・セキュリティレポート 2023年10-12月版（2024年4月発行）」によると、イシュア（クレジットカード発行会社）が使用しているドメインのうち、DMARCを設定している割合は約36.2%にとどまっています。しかもポリシーは半分以上が“none”のままで、“reject”まで引き上げているドメインは約26.1%とまだまだ少数です。

これは2023年12月時点のレポートなので、さすがに今はもっと増えているとは思いますが……。実際にすでに“reject”まで対応が進んでいたら、私たちのところになりすましメールが届かないはずですよね。でも今も普通に届いているということは、DMARC対応が遅れている証拠だと言えると思います。

菱沼　2024年2月以降、GoogleがGmail宛に1日5000通以上送る送信者はDMARCの導入を義務づけたことで、確かに導入は進みましたが、とりあえず“none”で設定しただけという会社がほとんどです。“none”はあくまでファーストステップであって、ポリシーを引き上げないとなりすましメールは排除できません。これからが本当の意味でのDMARC運用になってきます。

「我々はDMARCを導入しましたので大丈夫です」という事業者の方も、DMARCレコードの設定を見ると、 “none”を指定していて、DMARC レポートすら受け取らない設定にしているということが本当に多いです。DMARCのポリシーを引き上げるためにはDMARCレポートを分析して、自社ドメインを使用してメールを送信しているサーバーの情報や、送信したメールの認証状況などを把握する必要があります。DMARCレポートを受け取らないというのは、今後ポリシーを上げるつもりはありませんと宣言しているようなものです。ほとんどの人がDMARCレポートの重要性を分かってないというが現状です。

滝村　結局、Gmailに送れなくなると困るからDMARCを導入しただけで、フィッシング詐欺対策とは思っていない事業者が多いのでしょうね。クレジットカード業界を見ても、事業者にIT技術者がそんなに多くいるわけではないので、DMARCに対応するのはWebやメールを管理しているベンダーの仕事になります。ベンダー側はDMARCに対応しなければいけないと知ってはいても、結局、依頼を受けない限りは動けない。ところが事業者側はそこまで重要だと思っていないので進まないという状況だと思うんですよね。

菱沼　これはDMARC以前からよくあることですけど、メールは当たり前になりすぎていて、誰が管理するのか明確になっていないことが本当に多いです。メール周りで何か対策を取る必要が出た時に、メール配信を行っている事業部が主導するのか、メールサーバーを管理している情報システム担当が取りまとめるのか、あるいはメールを送る仕組みを作った開発会社がやるのかなど、業務分掌が曖昧になっています。みんな対応しなければいけないんだろうなと薄々思ってはいるけど、自分がやるとは思っていない。メール周り「あるある」です。

滝村　経営者側もメールをあまり重要視していないのか、それが自分たちのお客さまにどういう悪影響を及ぼしているのかまで考えようとしない。なりすましメールで被害が出たら、経営リスクにもなり得ると思うんです。そこまでの認識がないですし、そもそも自分たちのドメインのなりすましが多いかどうかなんて把握していない。DMARCレポートのような手段があることさえ、誰も知らせてくれないというのも、DMARCの導入や運用が進まない原因になっている気がします。

DMARCのポリシー強化。必要なのはレポート分析と対策の実行

――DMARCはPCI DSS v4.0の要件にも含まれているそうですね。

滝村　そうですね。PCI DSS v4.0への対応期限は2024年3月末までだったんですけど、ベストプラクティスとして、1年間対応期日が猶予されている要件があります。その中に「フィッシング攻撃を検知し、個人を保護するためのプロセスと自動メカニズムの実装」という要件（番号：5.4.1）が含まれています。同じことが実現できれば別にDMARCでなくてもいいのですが、現実的にはDMARCに対応しなさいということですよね。

クレジットカードセキュリティのサービスを提供している我々としては、PCI DSS v4.0の準拠という観点からも、業界に向けてDMARCの必要性を啓蒙していくと共に、メールの専門家である菱沼さんたちが提供している「ベアメール」と協力して、クレジットカード業界に特化したDMARC導入・運用を進めるサービスを提供していく予定です。

というのも、“none”にしてDMARCレポートを受け取る設定はまでは簡単にできますが、レポートを解析して、“reject”、“quarantine”にポリシーを上げていくのは、専門知識のある人がいないとやっぱり難しい。そこをサポートしていく必要があると考えています。

菱沼　これまでも何社かDMARCの導入をサポートしていますが、最初に皆さん「2、3ヵ月で“quarantine”まで引き上げたい」とおっしゃるのですが、実際にはその倍以上の期間が必要です。

どうしてそんなに期間が必要なのかというと、みなさん自社のドメインから誰がどんなメールを送っているかをすべて把握できてないからです。