皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた内容はある企業にて施されているメール送信に対する施策ですが（SPF、DKIM、DMARC）、この状態でも偽装されたメールは受信者に届いてしまうことはあります。

それは何故でしょうか？

DMARCの宣言が絶対ではない理由

まず、DMARCにはポリシーというものがあり、どのように対処通知を行うかの記述があります。

１．何もしない（none）

２．隔離（quarantine）

３．拒否（reject）

これにプラスして、どれくらいの割合でメールを評価するかの適用割合というものが記述されている場合もあります。

従って、DMARCによる宣言があるからと言って必ず偽装されたメールが受信者に届かないわけではありません。

（ポリシーの設定を『何もしない（none）』にしているケースはよくあります。）

また、DMARCにおいて『拒否（reject）』としている場合でも受信者に届くことはあります。

それは何故か？

受信者側のメールサーバーに委ねている部分があるからです。

DMARCは受信者側に対して通知（要求依頼）はするものの、それに対応する形で受信者側のメールサーバーが設定されていない場合はその通知は適用されません。

（適用しようがありません。）

これらのことを理由に、DMARCによる宣言があるからと言って偽装メールが絶対に届かないようになっているというわけではないのです。

しかし、それはロシアから送られてきたレポートでした。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

私は普段、偽装メール（なりすまし）対策の一環としてSPFやDKIM、DMARCを使うことをお勧めしていますが、この偽装メール（なりすまし）は日本国内に限った話しではありません。

ロシアから届いたDMARCレポート

普段、DMARCレポートが届くのは現状Googleからのみであったのですが、ある日、ロシアからDMARCレポートが届きました。

その段階では、このロシアからのDMARCレポートそのものがスパムメールなのでは？と疑いをもち、メールのヘッダ情報などを調査しましたが問題は見受けられませんでした。

何かしっくりこず、セキュリティチェックを通してレポートファイルを確認したところ、どうやらロシアのIPアドレス宛にコーポレートドメインを偽装してメールが配信されたようでした。

前者の方はロシアでメールを含めたサービスを提供している企業で、その企業がDMARCレポートを配信する仕組みを取り入れていたことからコーポレートドメインのDMARCレポートが届いたということで、実際に問題な行為を行ったのは後者のIPアドレスを利用した者と考えられます。

このように、偽装メール（なりすまし）は日本国内宛にとどまらず海外宛にまで及んでいます。

現在、コーポレートドメインをはじめすべてのドメインに対してDMARCを採用しているのですが、メールに対する制御は『none：そのまま受信させる』のまま様子見をしていた状態でした。

今回のことを考えると、やはり『quarantine：隔離させる』か、『reject：受信を拒否する』に変更していくことになるでしょう。

これらに変更することで、受信者のメールサーバーに対して隔離、もしくは拒否を依頼することができますので被害を抑制することが可能です。

しかし、課題も残ります。

先日起きたケースとして、相手先がGmailなどに自動転送していた場合、Fromは送信元メールアドレスのままなであったものの、出力されるIPアドレスは転送元のIPアドレスでした。

（相手先の契約サーバーの仕様によって左右されます。）

このような場合はつじつまがあわないことになりますのでSPF認証は失敗となり、DMARCにおけるメールの制御によっては相手にメールが届かないケースが出てきたりします。

これにより、あらゆるところに偽のメールが送りつけられるなどし、フィッシング詐欺などが多発しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんもご存知の通り、送られてきたメールの差出人が『rakuten.co.jp』であったり、『apple.com』であったりし、件名や本文も本物にそっくりの状態で作られているために本物と勘違いしてしまう偽装メール。

こういったものを防ぐ手立てはないものでしょうか？

ドメイン偽装は防ぎようがないのか？

まず、ドメインを偽装するというのは簡単にできてしまいます。

そして、これを完全に防ぐことはできません。

そのため、大手企業はもちろんのこと、中小企業などにおいてもドメインの名前解決に用いられるDNSというものに対してそれなりのものが書かれていたりします。

それによって本物であることを認証させたりしているわけですが、正直なところ、メールを受け取る側においても意識をしない限り、実際のところは役に立たないことも多いです。

例えば、常日頃からIT系の業務に携わっている人であったりセキュリティ意識の高い人であれば、疑わしいメールが送られてきた瞬間にメールのヘッダ情報を確認したりします。

しかし、そうでない人はそこまでのことは行いませんし、ヘッダー情報を見てもわからないという人が大半です。

ではどうすれば良いのか？

１．業務上、メールのやりとりを行う相手先とは一定のルールを設ける

例えば、双方においてSPF認証は必須とし、メールサーバーにおいては認証していないものを隔離するか削除する措置を取るというのも1つの手でしょう。

２．社内においてマニュアルを作成し、全体に周知徹底を図る

３．一般の消費者に対して偽装メールが届いてしまった場合、ウェブ上で確認方法や注意喚起などのアナウンスを行う

ただし、３に関しては受信者からの問い合わせ連絡などがない限り大半の企業では把握していないことも多いかと思います。

それを早期に把握するため、DNSにDMARCというものを記述し、レポートが受け取れる状態にしておくことがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

やはりGWは要注意です。

今朝のインターネットニュースなどを見ると、『Apple Store』の偽メールの記事を見かけましたが、私が体験したのはそれではありません。

『あなたのApple IDのセキュリティ質問を再設定してください』という、Apple IDに関する偽メールでした。

GW終盤を襲った膨大なスパムメール

GW終盤の5月5日、16時半前後にiPhoneでメールをチェックした時、膨大な『Apple』からの偽メールを受信したことが始まりです。

その時点で受信した数は70通ほど。

やむを得ずメールサーバーの設定を変更することに。。。

確認すると、スパムメールの始まりは15時半過ぎくらい。

内容は、以下のようなものです。

From：Apple<noreply@email.apple.com>

件名：あなたのApple IDのセキュリティ質問を再設定してください。

本文：お客様のApple IDが、ウェブブラウザからiCloudへのサインインに使用されました。

日付と時間：2018年5月5日 **:** JST

のブラウザ：Mozilla Firefox

オペレーティングシステム：Windows

IP：***.***.***.***（静岡）

上記が問題でない場合は、このメールを無視してください。

あなたのアカウントの安全性を守るために、セキュリティ質問を再設定して頂くことが必要です。再設定された後、たとえあなたのApple IDとパスワード及び元のセキュリティ情報を知っているとしても、それを使用することができません。

この問題を解決するにはこちら

今後ともよろしくお願い致します。

Apple サポートセンター

Apple ID | サポート | プライバシーポリシー
Copyright 2018
Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland.
すべての権利を保有しております。

こういった内容です。

※　すべての本文は確認していませんので、これとは異なる内容のものもあるかもしれません。

これ、メールサーバーのフィルタリング設定を変更している最中にも次々に届き、この日だけで300通くらいは届いていたかと思います。

Appleを装ったスパムメール対策

このようなスパムメールが届く場合、サーバー側でフィルタリング設定が可能なのであれば以下のような設定をすると良いです。

『ヘッダ全体（全体）』に『apple.com』を『含む』かつ

『ヘッダ全体（全体）』に『SPF: pass』を『含まない』かつ

『ヘッダ全体（全体）』に『***.***.***.***（実際にはAppleのIPアドレス）』を『含まない』

すべてのメールを『削除』

これは1つの例で、私の場合は、SPF認証もpassせず、IPアドレスも把握しているAppleのものではないのであれば、まずスパムであると判断して間違いないという考えからこのようにしています。

また、IPアドレスの部分は勝手に公表すべきではないと考えましたので、過去に受信した正規のAppleからのメールのヘッダ情報を確認し、そのIPアドレスをチェッカーなどで確認してみてください。

Appleは膨大なIPアドレスを持っていますが、私が確認した限りでは、日本のユーザーに配信されるIPアドレスはある程度特定できます。

そして、一部異なる部分はワイルドカードで指定してあげれば正規のAppleからのメールのみを受信できるかと思います。

これが少々怖いという場合、フィルタリングに問題がないことを確認するまでの間はどこかに隔離するなどし、一応確認だけは行えるようにしておくのも良いでしょう。

最後に、長期休暇中はこのようなスパムメールが多発することが多いです。

連休明けに受信したスパムメールに騙されないように注意してください。

間違ってもリンク部分をクリックしないように。