データセキュリティ会社 Egress の調査によると、ドメインベースのメッセージ認証、レポーティング、適合(Domain-based Message Authentication, Reporting and Conformance、DMARC)プロトコルの新しい電子メールセキュリティ標準を実装しているのは、”gov.uk” ドメインのわずか28%に過ぎませんでした。
中央政府機関の場合はほとんどが、国家サイバーセキュリティ・センターのアクティブ・サイバー・ディフェンス (Active Cyber Defense、ASD)イニシアチブの中核となる DMARC を実装していますが、他の多くはまだ相当遅れをとっています。
DMARC は、電子メール送信者の身元の信頼性を保証し、フィッシング攻撃を開始するためによく使われるなりすましメールを排除することを目的として設計された電子メール検証システムです。DMARC が完全に有効になっていると、管理者は信頼できない送信元から送信された電子メールを確認し、その電子メールを隔離するか拒否するか(あるいはそのまま通過させるか)を決定できます。DMARC は、ドメインの偽装攻撃を防ぐこともできます。
2019年3月の政府セキュアイントラネット(Government Secure Intranet、GSI)プラットフォームの廃止に伴い、英国政府デジタルサービス(Government Digital Service、GDS)が勧告したガイダンスで、DMARC の導入が推奨されていました。ところが、Egress の分析によると、期限が迫った現在でも、2,000を超える gov.uk ドメインのうち、DMARC を実装しているのは3分の1以下に過ぎません。
問題は明らかです。4分の3近くの組織が電子メールメッセージの認証に関する最低限の標準要件に従っておらず、電子メールアドレスやヘッダーを偽造して、信頼できる情報源、この場合は政府のドメインから発信されたように見せかける「なりすまし」メールを受け取ってしまうリスクが増大します。このメール・スプーフィングはフィッシング攻撃やスパム攻撃のための一般的な戦術であり、「なりすまし」メールには多くの場合危険な添付ファイルやリンクが含まれます。
さらにまずいことに、DMARC を導入した28%の組織のうち、半数以上が「何もしない」(そのまま通過させる)という設定をしています。つまり、DMARC をフィッシング攻撃の阻止のために正しく使用している組織はわずか14%ということです。
しかし、中央政府の場合は、事態はそれほど悲惨ではありません。NCSCのスポークスパーソンによると、2019年3月現在、中央政府部門の89%がすでに DMARC を導入しています。
アンチフィッシングワーキンググループ(Anti-Phishing Working Group、APWG)の最新の Phishing Activity Trends Report によると、2018年第4四半期には SaaS と Web メールサービスを標的としたフィッシング攻撃が倍増し、フィッシングはデータ侵害およびサイバー攻撃の主な原因であり続けています。
そのため、転送するデータを、検証可能で、安全で、保護されたものにし、「なりすまし」メールから適切に防御することは大変重要になっています。セキュアなファイル転送ソリューションを使用すれば、電子メールやサードパーティーのファイル転送ソフトウェアやWebサイトなどの安全でない方法に頼ることなく、ファイルやメッセージを安全にかつ簡単に送信することが可能になります。
MOVEit Ad Hoc を使用すると、セキュアなファイル転送を Microsoft Outlook と統合して、電子メールで送信されるすべてのファイルを安全で検証可能なものにすることもできます。さらに、MOVEit Ad Hoc が設定されていると、悪意のある部外者は MOVEit にアクセスできず、添付ファイルもレッドフラッグが表示されるため、電子メールの添付ファイルを確実に送信できなくなります。
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.
より優れた業務アプリケーションやウェブサイトの開発に役立つ、ニュース、情報、チュートリアルをご案内します。