A12_Introduction of DMARC/25 - DMARC Analysis as a Service

54b2edd392fad51a4876ccf5b7dc65fe?s=47 JPAAWG_2nd_General_Meeting
November 15, 2019
0
42

A12_Introduction of DMARC/25 - DMARC Analysis as a Service

54b2edd392fad51a4876ccf5b7dc65fe?s=128

JPAAWG_2nd_General_Meeting

November 15, 2019
Tweet

Want more?

54b2edd392fad51a4876ccf5b7dc65fe?s=48 jpaawg
0
150
54b2edd392fad51a4876ccf5b7dc65fe?s=48 jpaawg
0
67
54b2edd392fad51a4876ccf5b7dc65fe?s=48 jpaawg
0
76
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
1
130
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
1
67
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
0
66
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
4
130
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
3
150
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
2
220
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
2
410
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
1
110
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
4
200

Transcript

  1. 1.

    DMARC集計レポートを活⽤した、 なりすましメールの⾒つけ⽅ Introduction of DMARC/25 -DMARC Analysis as a Service-

    株式会社TwoFive 伊藤 隼⼈
  2. 2.

    ⾃⼰紹介 2 伊藤 隼⼈ • 株式会社TwoFive 開発マネージャー • 担当業務 •

    メッセージングソリューションの開発/構築 • 経歴 • 某ISPにてメールシステムの開発/運⽤ • 某キャリアにてネットワークの構築 • 2019年8⽉、株式会社TwoFiveへ⼊社
  3. 3.

    アジェンダ 3 •会社紹介 •なりすましメールの概況 •なりすまし対策としてのDMARC •DMARC/25のご紹介

  4. 4.

    会社概要 4 社名 株式会社TwoFive(TwoFive,Inc.) 設⽴ 2014年5⽉ 代表者 末政 延浩 事業内容

    -メッセージングシステム -メッセージングセキュリティ -レピュテーションサービス 所在地 本社(⽇本橋) ベトナム⽀社(ハノイ)
  5. 5.

    事業内容 5 3本の柱 メッセージング セキュリティ メッセージング システム レピュテーション サービス 電⼦メールの信頼性と安全性の向上の鍵となる

    3本のソリューションをご提供しています。
  6. 6.

    メッセージングシステム メッセージングセキュリティソリューション 6 ゲートウェイセキュリティ • Cloudmark Security Platform for Email

    • MTA/25 • セキュリティフィルタ Webメール • OX App Suite • Atmail
  7. 7.

    メッセージングシステム メッセージングセキュリティソリューション 7 メールストア • Dovecot Pro • MBOX/25 •

    LDAP/25 ストレージ&ユーティリティ • Scality RING • OpenIO
  8. 8.

    メッセージングシステム メッセージングセキュリティソリューション 8 DNSサーバ&セキュリティ • ProDNS レポーティング&アナリティクス • DMARC/25 •

    Elastic Search
  9. 9.

    レピュテーションサービス 9 ー 各種データベース ー Spamhaus CSI (Cloudmark Sender Intelligence)

    Is it phishing MRI 地理情報 l 世界中のレピュテーションデータベンダーと直接コミュニケー ションを取り、ベンダーが提供するデータベースをお取り扱い l 国内では独⾃でもデータを収集 l 各種データベースを取り扱ったコンサルティングから導⼊⽀援 までのご提案が可能
  10. 10.

    スタッフ・実績 10 ⼤規模電⼦メールシステムの経験豊富なスタッフが、 最適なソリューションをご提案いたします。 数百万〜数千万ユーザー規模の電⼦メールシステムを多数導⼊しています。 •⼤⼿ISP様メールシステム •⼤⼿キャリア様メールシステム •⼤⼿⾦融企業様向けメッセージングセキュリティシステム •政府系メールシステム 実

  11. 11.

    豊富なパートナーネットワーク 11 海外ネットワーク • M³AAWGなどのメンバーと密に情報交換を⾏っています。 • 多数の海外メッセージングパートナーとの連携を進めています。 • ベトナムにシステム開発拠点を持ち、⾃社製品の開発を⾏っています。 SIer

    様々なシステム開発会社と連携して、プロジェクトを進めています。 デザイナー 新しいインターフェイスデザインのご提案も可能です。
  12. 12.

    なりすましメールの概況 • 標的型攻撃 • BEC(ビジネスメール詐欺)

  13. 13.

    標的型攻撃 13 IPA 情報セキュリティ10⼤脅威2019 「組織」1位 (4年連続) IPA 情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html

    警察庁 令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について http://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami _cyber_jousei.pdf • 国内での標的型メール攻撃の件数は年々増加 • 標的型メールの90%が送信元メールアドレスを 偽造 標的型攻撃の脅威は今後も続く
  14. 14.

    BEC(ビジネスメール詐欺) 14 IPA 情報セキュリティ10⼤脅威2019 「組織」2位 (2017 圏外, 2018 3位) IPA

    情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html • 「Business email compromise」 の略 • 社⽤のメールアドレスに対して、取引 先や経営陣になりすまし、偽の⼊⾦ 指⽰や⼝座変更をメールで連絡する • 本物と偽るために、マルウェア等により 流出した情報が使われる場合もある • 企業間取引が狙われるため、1件あた りの被害⾦額が⼤きい
  15. 15.

    BEC(ビジネスメール詐欺) 15 国外では・・・ 2018年に全世界で約13億ドルの被害 FBI Internet Crime Report (ICR) https://pdf.ic3.gov/2018_IC3Report.pdf

    0 4,000 8,000 12,000 16,000 20,000 24,000 28,000 $0 $200,000,000 $400,000,000 $600,000,000 $800,000,000 $1,000,000,000 $1,200,000,000 $1,400,000,000 2014 2015 2016 2017 2018 被害額 被害件数 国内事例 ⽇本航空、偽メールで3億8千万円 詐欺被害 (2017年12⽉) • 取引のある⾦融会社の担当者になりすまし • 正規の請求書PDFが届いた直後に、⼝座 変更を促す偽の訂正版請求書が届いた • ⽀払いの名⽬は「航空機リース料」 • 後⽇、本物の⾦融会社から督促があったこ とで発覚 https://www.nikkei.com/article/DGXMZO24866680Q7A221C1CC1000/
  16. 16.

    BEC(ビジネスメール詐欺) 16 • 2018年7⽉ BECによる初の⽇本⼈逮捕者 7千万円送⾦させた疑い ビジネスメール詐欺で逮捕 https://www.nikkei.com/article/DGXMZO32602020U8A700C1CC1000/ • 2018年8⽉

    ⽇本語によるBECメールが確認され、IPAが注意喚起を実施 【注意喚起】偽⼝座への送⾦を促す“ビジネスメール詐欺”の⼿⼝(続報) https://www.ipa.go.jp/security/announce/201808-bec.html 国内でもBECが拡⼤していくことが予想される BECについて更に詳しく 知りたい⽅は・・・ https://www.sagitai.jp
  17. 17.

    なりすまし対策としてのDMARC • DMARCとは • DMARC対応の落とし⽳ • なりすまし対策のロードマップ

  18. 18.

    DMARCとは 18 Domain-based Message Authentication, Reporting, and Conformance メール送信元ドメインのなりすましを検知する、送信ドメイン認証技術 <3つの機能>

    メールの認証 • SPF/DKIM認証を使って、 送信元アドレスがなりすまさ れていないかを認証 送信側ポリシーの指定 • なりすましメールの取り扱い を送信元ドメインの管理者 が以下から指定 none (指定なし) quarantine (隔離) reject (受信拒否) 認証結果のレポーティング • 着信メールの認証結果を集 計し、送信元ドメインの管 理者へ送信 • レポートは以下の2種類 統計情報(rua) エラー状況(ruf)
  19. 19.

    DMARC対応の落とし⽳ 19 「DMARC対応」=「なりすまし対策」とは限らない DMARCに(最低限)対応するには… • SPFかDKIMに対応し、 とDNSに書くだけ • SPFやDKIMの設定に 問題があっても、

    ポリシーが弱いのでリスク無し v=DMARC1; p=none; なりすましメールにも 弱いポリシーしか適⽤されない つまり ポリシーを強化しなくては なりすましメールは 排除できない
  20. 20.

    DMARC対応の落とし⽳ 20 「DMARC対応」=「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる

    正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の 問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤
  21. 21.

    認証NGとなる 正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の

    問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤ DMARC対応の落とし⽳ 21 「DMARC対応」=「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる 正当なメール 問題を解決し、全ての メールを認証OKにする ことが必要 問題の状況把握に DMARCレポートを 活⽤ 認証OKとなる なりすましメール DMARC以外で プラスアルファの 対策が必要 DMARCによる なりすまし排除が 前提
  22. 22.

    なりすまし対策のロードマップ 22 1 2 3 4 5 DMARCレコードを p=none で宣⾔

    DMARCレポートを受け取り、分析 ドメインの設計/管理/運⽤を⾒直し 強いDMARCポリシーに変更 ドメインベースの対策を実施 (レピュテーションなど) が お⼿伝いします
  23. 23.

    23 なりすまし対策について 更に詳しく知りたい⽅は・・・ https://www.naritai.jp/

  24. 24.

    DMARC/25のご紹介

  25. 25.

    DMARC/25とは 25 DMARCの集計レポートを分析/可視化し、 なりすましの検知を⽀援するクラウドサービス

  26. 26.

    DMARCレポート収集フロー 26

  27. 27.

    DMARC/25 機能紹介 27 認証結果レポートの分析 DMARC の認証結果レポート(aggregate report)を解析し、認証の結果から レポートを分類します。 検知の結果 説明

    なりすまし 疑い なりすまして送信された可能性の⾼いメール 転送メール メール転送によって認証が失敗している 認証失敗 何らかの技術的な問題で認証に失敗している ドメイン管理者が把握していないメールが送 信されている 例 SPF が設定されていない、設定漏れがある 正規のメール SPF あるいは DKIM の認証に成功している メール
  28. 28.

    DMARC/25 機能紹介 28 認証判定結果の⾒える化 認証レポートの結果をグラフ化(時系列グラフ、円グラフ)、なりすまし対策の状況を 把握することができます。 認証の結果 説明 DMARC DKIM

    DMARC 認証のうち、 DKIM の認証で成功した割合を表⽰ DMARC SPF DMARC 認証のうち、 SPF の認証で成功した割合を表⽰ DKIM DKIM 認証結果(pass, fail, none 等)の 割合を表⽰ ※第三者ドメインによる署名を含む SPF SPF 認証結果(pass, softfail, temperror 等)の割合を表⽰ ※送信者ドメインが⼀致していない場合を 含む XX⽉XX⽇前後に ⾃社のなりすましメールが 流通していた!
  29. 29.

    DMARC/25 機能紹介 29 送信ホストの分析 メールを送信したホストの分類ごとの状況をGUIで表⽰します。 解析の種類 説明 ホスト名 送信元IPアドレスの逆引きホスト名を 表⽰

    認証結果割合 DMARC での認証結果、DKIM や SPF での認証結果を表⽰ RBLチェック RBLと突合して評価結果を表⽰ 評価が悪い場合はスパムメール発信に 利⽤されている可能性がある メール通数 ホストから送られたメールの総件数を 表⽰ DNS設定確認 GeoIP 情報、Whois 情報、DMARC 情 報、SPF 情報、DKIM 情報を表⽰ ⾃社で管理している メールサーバ以外の ホストがないか? ⾃社サーバ 転送サーバ スパム発信元
  30. 30.

    DMARC/25 機能紹介 30 処理の⾒える化 送信したメールが「受信」「隔離」「拒否」のいずれの処理がされたかを把握することが できます。 なりすまされたメールが 宛先で拒否された メールの流通状況をもとにして、DMARC のポリシー

    を変更した場合のなりすましメール防御の効果・影 響状況を推定することもできます。
  31. 31.

    DMARC/25 機能紹介 31 ⽇次アラート設定 あらかじめ設定した条件(失敗率、前⽇との差異など)にもとづいて1⽇1回アラート をメールでお知らせします。 平常時と⽐較して 著しく変化 ドメイン管理者 [通知条件]

    前⽇⽐較で 5% 悪化 ギョギョ
  32. 32.

    DMARC/25 機能紹介 32 定期的な診断レポート・コンサル 直近1ヶ⽉分のデータを弊社アナリストが分析し、現在のメールシステムのなりすまし メール対策状況やポリシー変更に向けたチェックポイントをコンサルティングします。

  33. 33.

    DMARC/25 プラン別提供機能 33 提供機能 補⾜ Basic Standard Professional ダッシュ ボード

    送信ドメイン⼀覧 送信ホスト⼀覧 DMARC 円グラフ ◯ ◯ ◯ UI カスタマイズ “その他分析” の 追加表⽰ ◯ ◯ レポート機能 週次レポート送信 ◯ ◯ ◯ アラート設定 ⽇次アラート ◯ その他分析 DMARC 認証結果分析 ◯ ◯ DKIM 認証結果分析 ◯ ◯ SPF 認証結果分析 ◯ ◯ DMARC レポーター 分析 ◯ 処理結果分析・ シミュレーター ◯ DKIM セレクター 管理・分析 ◯ 提供機能 補⾜ Basic Standard Professional データ 取得⽅法 専⽤メールアドレス 払い出し ◯ ◯ ◯ お客様のメール環境 から取得 ◯ アップロード レポートの⼿動追加 ◯ ◯ ◯ データ 保存期間 レポートデータ 保存期間 15⽇間 6ヶ⽉間 3年間 コンサルティ ング 導⼊コンサルティング ※ ◯ ◯ ◯ 診断コンサルティング ※ ◯ ◯ ◯ DMARC/DKIM/SPF トレーニング ※ ◯ ◯ ※ 別途ご契約が必要です。
  34. 34.

    34 無料トライアル実施中 まずは⼀定期間(1ヶ⽉)本サービスを無料でご利⽤いただき、 DMARCレポートをモニタリングすることができます お気軽にお問い合わせください 営業部 www.twofive25.com 03-5704-9948 sales@twofive25.jp 株式会社TwoFive

  35. 35.

    Thank you for your listening!