DMARCを補強するKasperskyのアプローチ

DMARCのメカニズムには欠点がありますが、私たちはそれを補うテクノロジーを開発しました。

メールがこの世に誕生して以来、メールの受信者を詐欺(主にフィッシング)の被害から守るために、多数のテクノロジーが編み出されてきました。DomainKeys Identified Mail(DKIM)とSender Policy Framework(SPF)には大きな難点があったため、偽の送信ドメインから送られたメールを見分けられるように、Domain-based Message Authentication Reporting and Conformance(DMARC)というメール認証メカニズムが考案されました。しかしそのDMARCも、理想的な解決策と言うにはほど遠いことが明らかになっています。そこでKasperskyは、DMARCの不得手な点を補うテクノロジーを開発しました。では、DMARCの仕組みを振り返るところから始めましょう。

DMARCの仕組み

赤の他人が自社の社員になりすましてメールを送るのを防ぐ方法としては、DNSレコード内にDMARCを設定する方法があります。基本的にはこれで、「From:」ヘッダーのドメイン名とDKIM内およびSPF内のドメイン名の一致を確認することができます。さらに、受信したメールのうち認証をパスしていないもの(エラーが発生した場合や送信者の悪意あるなりすましが検知された場合など)に関するレポートを、メールサーバーがどのアドレスに送信するかも、このレコードで指示します。

同じリソースレコード内で、メールがチェックをパスできなかった場合の対応を指定することもできます。こうしたケースに使用できるDMARCポリシーは、以下の3種類です。

  • Reject(拒否):最も厳しいポリシーです。DMARCのチェックを通過しなかったメールは、すべてブロックされます。
  • Quarantine(隔離):メールはスパムフォルダー行きになるか、疑わしいメールであることを示すマークが付いた状態で配信されます(どちらの対応が取られるかは、メールプロバイダー側の設定によります)。
  • None(何もしない):メールは通常どおり受信者のメールボックスに届けられますが、送信者宛にレポートも配信されます。

DMARCの難点

全体として見れば、DMARCは有能なテクノロジーです。DMARCのおかげで、フィッシングを成功させるのは難しくなりました。しかし、問題が1つ解決したところで、新たな問題が生まれました。誤検知です。問題のない正当なメッセージが、以下の場合に、ブロックされたりスパム判定されたりする可能性があります。

  • 転送メールの場合:さまざまなメールボックスから転送されたメール、または中間のメールノード間でリダイレクトされる(リレー)メールのSPF署名やDKIM署名が、メールシステムによって壊されてしまう場合があります。
  • 設定が正しくない場合:DKIMやSPFを設定する場合の設定ミスは、珍しいことではありません。

業務メールの場合、フィッシングメールを見逃してしまうのと、スパムではないメールをブロックしてしまうのとではどちらがましか、判断が難しいところです。

DMARCの欠点を補うKasperskyのアプローチ

DMARCの有用性は申し分なく、当社では検証プロセスに機械学習テクノロジーを追加することでDMARCを補強し、DMARCによる利点を損うことなく誤検知を最低限に抑えられるようにしました。その仕組みは次のとおりです。

メールを作成するに当たっては、Microsoft OutlookなどのMail User Agent(MUA)が使われます。MUAはメールを作成し、Mail Transfer Agent(MTA)に送信します。MUAはまた、メール本文、件名、受信者のアドレス(いずれもユーザーが入力する)に、必要なヘッダーを追加します。

セキュリティシステムをすり抜けるために、攻撃者はしばしば自前のMUAを使用します。これらは概して、所定のテンプレートに従ってメールを作成し、本文や見出しに必要なヘッダーを生成する、自家製のメールエンジンで、MUAごとに独自の「筆跡」があります。

受信メールがDMARCのチェックに引っかかると、当社テクノロジーの出番です。このテクノロジーは、デバイス上にあるセキュリティ製品と接続するクラウドサービス内で実行します。ニューラルネットワークを使用して、一連のヘッダーのほか、X-MailerおよびMessage-IDの内容をさらに分析することで、問題のないメールとフィッシングメールとを区別します。このテクノロジーは、膨大な数のメール(約1億4,000万通、そのうち40%はスパム)を使ってトレーニングされています。

DMARCテクノロジーと機械学習の組み合わせは、フィッシング攻撃からユーザーを保護しながら、誤検知を最小限に抑えます。このテクノロジーは、Kaspersky Security for Linux Mail Serverのアンチスパムコンポーネントに搭載されています。

 

ヒント