Upgrade to Pro — share decks privately, control downloads, hide ads and more …

A12_Introduction of DMARC/25 - DMARC Analysis a...

JPAAWG
November 15, 2019
370

A12_Introduction of DMARC/25 - DMARC Analysis as a Service

JPAAWG

November 15, 2019
Tweet

Transcript

  1. ⾃⼰紹介 2 伊藤 隼⼈ • 株式会社TwoFive 開発マネージャー • 担当業務 •

    メッセージングソリューションの開発/構築 • 経歴 • 某ISPにてメールシステムの開発/運⽤ • 某キャリアにてネットワークの構築 • 2019年8⽉、株式会社TwoFiveへ⼊社
  2. 会社概要 4 社名 株式会社TwoFive(TwoFive,Inc.) 設⽴ 2014年5⽉ 代表者 末政 延浩 事業内容

    -メッセージングシステム -メッセージングセキュリティ -レピュテーションサービス 所在地 本社(⽇本橋) ベトナム⽀社(ハノイ)
  3. レピュテーションサービス 9 ー 各種データベース ー Spamhaus CSI (Cloudmark Sender Intelligence)

    Is it phishing MRI 地理情報 l 世界中のレピュテーションデータベンダーと直接コミュニケー ションを取り、ベンダーが提供するデータベースをお取り扱い l 国内では独⾃でもデータを収集 l 各種データベースを取り扱ったコンサルティングから導⼊⽀援 までのご提案が可能
  4. 標的型攻撃 13 IPA 情報セキュリティ10⼤脅威2019 「組織」1位 (4年連続) IPA 情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html

    警察庁 令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について http://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami _cyber_jousei.pdf • 国内での標的型メール攻撃の件数は年々増加 • 標的型メールの90%が送信元メールアドレスを 偽造 標的型攻撃の脅威は今後も続く
  5. BEC(ビジネスメール詐欺) 14 IPA 情報セキュリティ10⼤脅威2019 「組織」2位 (2017 圏外, 2018 3位) IPA

    情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html • 「Business email compromise」 の略 • 社⽤のメールアドレスに対して、取引 先や経営陣になりすまし、偽の⼊⾦ 指⽰や⼝座変更をメールで連絡する • 本物と偽るために、マルウェア等により 流出した情報が使われる場合もある • 企業間取引が狙われるため、1件あた りの被害⾦額が⼤きい
  6. BEC(ビジネスメール詐欺) 15 国外では・・・ 2018年に全世界で約13億ドルの被害 FBI Internet Crime Report (ICR) https://pdf.ic3.gov/2018_IC3Report.pdf

    0 4,000 8,000 12,000 16,000 20,000 24,000 28,000 $0 $200,000,000 $400,000,000 $600,000,000 $800,000,000 $1,000,000,000 $1,200,000,000 $1,400,000,000 2014 2015 2016 2017 2018 被害額 被害件数 国内事例 ⽇本航空、偽メールで3億8千万円 詐欺被害 (2017年12⽉) • 取引のある⾦融会社の担当者になりすまし • 正規の請求書PDFが届いた直後に、⼝座 変更を促す偽の訂正版請求書が届いた • ⽀払いの名⽬は「航空機リース料」 • 後⽇、本物の⾦融会社から督促があったこ とで発覚 https://www.nikkei.com/article/DGXMZO24866680Q7A221C1CC1000/
  7. BEC(ビジネスメール詐欺) 16 • 2018年7⽉ BECによる初の⽇本⼈逮捕者 7千万円送⾦させた疑い ビジネスメール詐欺で逮捕 https://www.nikkei.com/article/DGXMZO32602020U8A700C1CC1000/ • 2018年8⽉

    ⽇本語によるBECメールが確認され、IPAが注意喚起を実施 【注意喚起】偽⼝座への送⾦を促す“ビジネスメール詐欺”の⼿⼝(続報) https://www.ipa.go.jp/security/announce/201808-bec.html 国内でもBECが拡⼤していくことが予想される BECについて更に詳しく 知りたい⽅は・・・ https://www.sagitai.jp
  8. DMARCとは 18 Domain-based Message Authentication, Reporting, and Conformance メール送信元ドメインのなりすましを検知する、送信ドメイン認証技術 <3つの機能>

    メールの認証 • SPF/DKIM認証を使って、 送信元アドレスがなりすまさ れていないかを認証 送信側ポリシーの指定 • なりすましメールの取り扱い を送信元ドメインの管理者 が以下から指定 none (指定なし) quarantine (隔離) reject (受信拒否) 認証結果のレポーティング • 着信メールの認証結果を集 計し、送信元ドメインの管 理者へ送信 • レポートは以下の2種類 統計情報(rua) エラー状況(ruf)
  9. DMARC対応の落とし⽳ 19 「DMARC対応」=「なりすまし対策」とは限らない DMARCに(最低限)対応するには… • SPFかDKIMに対応し、 とDNSに書くだけ • SPFやDKIMの設定に 問題があっても、

    ポリシーが弱いのでリスク無し v=DMARC1; p=none; なりすましメールにも 弱いポリシーしか適⽤されない つまり ポリシーを強化しなくては なりすましメールは 排除できない
  10. DMARC対応の落とし⽳ 20 「DMARC対応」=「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる

    正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の 問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤
  11. 認証NGとなる 正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の

    問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤ DMARC対応の落とし⽳ 21 「DMARC対応」=「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる 正当なメール 問題を解決し、全ての メールを認証OKにする ことが必要 問題の状況把握に DMARCレポートを 活⽤ 認証OKとなる なりすましメール DMARC以外で プラスアルファの 対策が必要 DMARCによる なりすまし排除が 前提
  12. なりすまし対策のロードマップ 22 1 2 3 4 5 DMARCレコードを p=none で宣⾔

    DMARCレポートを受け取り、分析 ドメインの設計/管理/運⽤を⾒直し 強いDMARCポリシーに変更 ドメインベースの対策を実施 (レピュテーションなど) が お⼿伝いします
  13. DMARC/25 機能紹介 27 認証結果レポートの分析 DMARC の認証結果レポート(aggregate report)を解析し、認証の結果から レポートを分類します。 検知の結果 説明

    なりすまし 疑い なりすまして送信された可能性の⾼いメール 転送メール メール転送によって認証が失敗している 認証失敗 何らかの技術的な問題で認証に失敗している ドメイン管理者が把握していないメールが送 信されている 例 SPF が設定されていない、設定漏れがある 正規のメール SPF あるいは DKIM の認証に成功している メール
  14. DMARC/25 機能紹介 28 認証判定結果の⾒える化 認証レポートの結果をグラフ化(時系列グラフ、円グラフ)、なりすまし対策の状況を 把握することができます。 認証の結果 説明 DMARC DKIM

    DMARC 認証のうち、 DKIM の認証で成功した割合を表⽰ DMARC SPF DMARC 認証のうち、 SPF の認証で成功した割合を表⽰ DKIM DKIM 認証結果(pass, fail, none 等)の 割合を表⽰ ※第三者ドメインによる署名を含む SPF SPF 認証結果(pass, softfail, temperror 等)の割合を表⽰ ※送信者ドメインが⼀致していない場合を 含む XX⽉XX⽇前後に ⾃社のなりすましメールが 流通していた!
  15. DMARC/25 機能紹介 29 送信ホストの分析 メールを送信したホストの分類ごとの状況をGUIで表⽰します。 解析の種類 説明 ホスト名 送信元IPアドレスの逆引きホスト名を 表⽰

    認証結果割合 DMARC での認証結果、DKIM や SPF での認証結果を表⽰ RBLチェック RBLと突合して評価結果を表⽰ 評価が悪い場合はスパムメール発信に 利⽤されている可能性がある メール通数 ホストから送られたメールの総件数を 表⽰ DNS設定確認 GeoIP 情報、Whois 情報、DMARC 情 報、SPF 情報、DKIM 情報を表⽰ ⾃社で管理している メールサーバ以外の ホストがないか? ⾃社サーバ 転送サーバ スパム発信元
  16. DMARC/25 プラン別提供機能 33 提供機能 補⾜ Basic Standard Professional ダッシュ ボード

    送信ドメイン⼀覧 送信ホスト⼀覧 DMARC 円グラフ ◯ ◯ ◯ UI カスタマイズ “その他分析” の 追加表⽰ ◯ ◯ レポート機能 週次レポート送信 ◯ ◯ ◯ アラート設定 ⽇次アラート ◯ その他分析 DMARC 認証結果分析 ◯ ◯ DKIM 認証結果分析 ◯ ◯ SPF 認証結果分析 ◯ ◯ DMARC レポーター 分析 ◯ 処理結果分析・ シミュレーター ◯ DKIM セレクター 管理・分析 ◯ 提供機能 補⾜ Basic Standard Professional データ 取得⽅法 専⽤メールアドレス 払い出し ◯ ◯ ◯ お客様のメール環境 から取得 ◯ アップロード レポートの⼿動追加 ◯ ◯ ◯ データ 保存期間 レポートデータ 保存期間 15⽇間 6ヶ⽉間 3年間 コンサルティ ング 導⼊コンサルティング ※ ◯ ◯ ◯ 診断コンサルティング ※ ◯ ◯ ◯ DMARC/DKIM/SPF トレーニング ※ ◯ ◯ ※ 別途ご契約が必要です。