Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
A12_Introduction of DMARC/25 - DMARC Analysis as a Service
JPAAWG_2nd_General_Meeting
November 15, 2019
0
68
A12_Introduction of DMARC/25 - DMARC Analysis as a Service
JPAAWG_2nd_General_Meeting
November 15, 2019
Tweet
Share
More Decks by JPAAWG_2nd_General_Meeting
See All by JPAAWG_2nd_General_Meeting
jpaawg
0
190
jpaawg
0
83
jpaawg
0
92
jpaawg
0
170
jpaawg
0
220
jpaawg
1
850
jpaawg
0
56
jpaawg
0
19
jpaawg
0
70
Featured
See All Featured
erikaheidi
13
4.2k
reverentgeek
168
7.1k
mza
80
4.1k
paulrobertlloyd
71
3.6k
roundedbygravity
241
21k
sferik
609
54k
jasonvnalue
82
8k
malarkey
119
16k
samanthasiow
56
6.3k
bkeepers
321
53k
rmw
11
740
swwweet
206
6.8k
Transcript
DMARC集計レポートを活⽤した、 なりすましメールの⾒つけ⽅ Introduction of DMARC/25 -DMARC Analysis as a Service-
株式会社TwoFive 伊藤 隼⼈
⾃⼰紹介 2 伊藤 隼⼈ • 株式会社TwoFive 開発マネージャー • 担当業務 •
メッセージングソリューションの開発/構築 • 経歴 • 某ISPにてメールシステムの開発/運⽤ • 某キャリアにてネットワークの構築 • 2019年8⽉、株式会社TwoFiveへ⼊社
アジェンダ 3 •会社紹介 •なりすましメールの概況 •なりすまし対策としてのDMARC •DMARC/25のご紹介
会社概要 4 社名 株式会社TwoFive(TwoFive,Inc.) 設⽴ 2014年5⽉ 代表者 末政 延浩 事業内容
-メッセージングシステム -メッセージングセキュリティ -レピュテーションサービス 所在地 本社(⽇本橋) ベトナム⽀社(ハノイ)
事業内容 5 3本の柱 メッセージング セキュリティ メッセージング システム レピュテーション サービス 電⼦メールの信頼性と安全性の向上の鍵となる
3本のソリューションをご提供しています。
メッセージングシステム メッセージングセキュリティソリューション 6 ゲートウェイセキュリティ • Cloudmark Security Platform for Email
• MTA/25 • セキュリティフィルタ Webメール • OX App Suite • Atmail
メッセージングシステム メッセージングセキュリティソリューション 7 メールストア • Dovecot Pro • MBOX/25 •
LDAP/25 ストレージ&ユーティリティ • Scality RING • OpenIO
メッセージングシステム メッセージングセキュリティソリューション 8 DNSサーバ&セキュリティ • ProDNS レポーティング&アナリティクス • DMARC/25 •
Elastic Search
レピュテーションサービス 9 ー 各種データベース ー Spamhaus CSI (Cloudmark Sender Intelligence)
Is it phishing MRI 地理情報 l 世界中のレピュテーションデータベンダーと直接コミュニケー ションを取り、ベンダーが提供するデータベースをお取り扱い l 国内では独⾃でもデータを収集 l 各種データベースを取り扱ったコンサルティングから導⼊⽀援 までのご提案が可能
スタッフ・実績 10 ⼤規模電⼦メールシステムの経験豊富なスタッフが、 最適なソリューションをご提案いたします。 数百万〜数千万ユーザー規模の電⼦メールシステムを多数導⼊しています。 •⼤⼿ISP様メールシステム •⼤⼿キャリア様メールシステム •⼤⼿⾦融企業様向けメッセージングセキュリティシステム •政府系メールシステム 実
績
豊富なパートナーネットワーク 11 海外ネットワーク • M³AAWGなどのメンバーと密に情報交換を⾏っています。 • 多数の海外メッセージングパートナーとの連携を進めています。 • ベトナムにシステム開発拠点を持ち、⾃社製品の開発を⾏っています。 SIer
様々なシステム開発会社と連携して、プロジェクトを進めています。 デザイナー 新しいインターフェイスデザインのご提案も可能です。
なりすましメールの概況 • 標的型攻撃 • BEC(ビジネスメール詐欺)
標的型攻撃 13 IPA 情報セキュリティ10⼤脅威2019 「組織」1位 (4年連続) IPA 情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html
警察庁 令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について http://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami _cyber_jousei.pdf • 国内での標的型メール攻撃の件数は年々増加 • 標的型メールの90%が送信元メールアドレスを 偽造 標的型攻撃の脅威は今後も続く
BEC(ビジネスメール詐欺) 14 IPA 情報セキュリティ10⼤脅威2019 「組織」2位 (2017 圏外, 2018 3位) IPA
情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html • 「Business email compromise」 の略 • 社⽤のメールアドレスに対して、取引 先や経営陣になりすまし、偽の⼊⾦ 指⽰や⼝座変更をメールで連絡する • 本物と偽るために、マルウェア等により 流出した情報が使われる場合もある • 企業間取引が狙われるため、1件あた りの被害⾦額が⼤きい
BEC(ビジネスメール詐欺) 15 国外では・・・ 2018年に全世界で約13億ドルの被害 FBI Internet Crime Report (ICR) https://pdf.ic3.gov/2018_IC3Report.pdf
0 4,000 8,000 12,000 16,000 20,000 24,000 28,000 $0 $200,000,000 $400,000,000 $600,000,000 $800,000,000 $1,000,000,000 $1,200,000,000 $1,400,000,000 2014 2015 2016 2017 2018 被害額 被害件数 国内事例 ⽇本航空、偽メールで3億8千万円 詐欺被害 (2017年12⽉) • 取引のある⾦融会社の担当者になりすまし • 正規の請求書PDFが届いた直後に、⼝座 変更を促す偽の訂正版請求書が届いた • ⽀払いの名⽬は「航空機リース料」 • 後⽇、本物の⾦融会社から督促があったこ とで発覚 https://www.nikkei.com/article/DGXMZO24866680Q7A221C1CC1000/
BEC(ビジネスメール詐欺) 16 • 2018年7⽉ BECによる初の⽇本⼈逮捕者 7千万円送⾦させた疑い ビジネスメール詐欺で逮捕 https://www.nikkei.com/article/DGXMZO32602020U8A700C1CC1000/ • 2018年8⽉
⽇本語によるBECメールが確認され、IPAが注意喚起を実施 【注意喚起】偽⼝座への送⾦を促す“ビジネスメール詐欺”の⼿⼝(続報) https://www.ipa.go.jp/security/announce/201808-bec.html 国内でもBECが拡⼤していくことが予想される BECについて更に詳しく 知りたい⽅は・・・ https://www.sagitai.jp
なりすまし対策としてのDMARC • DMARCとは • DMARC対応の落とし⽳ • なりすまし対策のロードマップ
DMARCとは 18 Domain-based Message Authentication, Reporting, and Conformance メール送信元ドメインのなりすましを検知する、送信ドメイン認証技術 <3つの機能>
メールの認証 • SPF/DKIM認証を使って、 送信元アドレスがなりすまさ れていないかを認証 送信側ポリシーの指定 • なりすましメールの取り扱い を送信元ドメインの管理者 が以下から指定 none (指定なし) quarantine (隔離) reject (受信拒否) 認証結果のレポーティング • 着信メールの認証結果を集 計し、送信元ドメインの管 理者へ送信 • レポートは以下の2種類 統計情報(rua) エラー状況(ruf)
DMARC対応の落とし⽳ 19 「DMARC対応」=「なりすまし対策」とは限らない DMARCに(最低限)対応するには… • SPFかDKIMに対応し、 とDNSに書くだけ • SPFやDKIMの設定に 問題があっても、
ポリシーが弱いのでリスク無し v=DMARC1; p=none; なりすましメールにも 弱いポリシーしか適⽤されない つまり ポリシーを強化しなくては なりすましメールは 排除できない
DMARC対応の落とし⽳ 20 「DMARC対応」=「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる
正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の 問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤
認証NGとなる 正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の
問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤ DMARC対応の落とし⽳ 21 「DMARC対応」=「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる 正当なメール 問題を解決し、全ての メールを認証OKにする ことが必要 問題の状況把握に DMARCレポートを 活⽤ 認証OKとなる なりすましメール DMARC以外で プラスアルファの 対策が必要 DMARCによる なりすまし排除が 前提
なりすまし対策のロードマップ 22 1 2 3 4 5 DMARCレコードを p=none で宣⾔
DMARCレポートを受け取り、分析 ドメインの設計/管理/運⽤を⾒直し 強いDMARCポリシーに変更 ドメインベースの対策を実施 (レピュテーションなど) が お⼿伝いします
23 なりすまし対策について 更に詳しく知りたい⽅は・・・ https://www.naritai.jp/
DMARC/25のご紹介
DMARC/25とは 25 DMARCの集計レポートを分析/可視化し、 なりすましの検知を⽀援するクラウドサービス
DMARCレポート収集フロー 26
DMARC/25 機能紹介 27 認証結果レポートの分析 DMARC の認証結果レポート(aggregate report)を解析し、認証の結果から レポートを分類します。 検知の結果 説明
なりすまし 疑い なりすまして送信された可能性の⾼いメール 転送メール メール転送によって認証が失敗している 認証失敗 何らかの技術的な問題で認証に失敗している ドメイン管理者が把握していないメールが送 信されている 例 SPF が設定されていない、設定漏れがある 正規のメール SPF あるいは DKIM の認証に成功している メール
DMARC/25 機能紹介 28 認証判定結果の⾒える化 認証レポートの結果をグラフ化(時系列グラフ、円グラフ)、なりすまし対策の状況を 把握することができます。 認証の結果 説明 DMARC DKIM
DMARC 認証のうち、 DKIM の認証で成功した割合を表⽰ DMARC SPF DMARC 認証のうち、 SPF の認証で成功した割合を表⽰ DKIM DKIM 認証結果(pass, fail, none 等)の 割合を表⽰ ※第三者ドメインによる署名を含む SPF SPF 認証結果(pass, softfail, temperror 等)の割合を表⽰ ※送信者ドメインが⼀致していない場合を 含む XX⽉XX⽇前後に ⾃社のなりすましメールが 流通していた!
DMARC/25 機能紹介 29 送信ホストの分析 メールを送信したホストの分類ごとの状況をGUIで表⽰します。 解析の種類 説明 ホスト名 送信元IPアドレスの逆引きホスト名を 表⽰
認証結果割合 DMARC での認証結果、DKIM や SPF での認証結果を表⽰ RBLチェック RBLと突合して評価結果を表⽰ 評価が悪い場合はスパムメール発信に 利⽤されている可能性がある メール通数 ホストから送られたメールの総件数を 表⽰ DNS設定確認 GeoIP 情報、Whois 情報、DMARC 情 報、SPF 情報、DKIM 情報を表⽰ ⾃社で管理している メールサーバ以外の ホストがないか? ⾃社サーバ 転送サーバ スパム発信元
DMARC/25 機能紹介 30 処理の⾒える化 送信したメールが「受信」「隔離」「拒否」のいずれの処理がされたかを把握することが できます。 なりすまされたメールが 宛先で拒否された メールの流通状況をもとにして、DMARC のポリシー
を変更した場合のなりすましメール防御の効果・影 響状況を推定することもできます。
DMARC/25 機能紹介 31 ⽇次アラート設定 あらかじめ設定した条件(失敗率、前⽇との差異など)にもとづいて1⽇1回アラート をメールでお知らせします。 平常時と⽐較して 著しく変化 ドメイン管理者 [通知条件]
前⽇⽐較で 5% 悪化 ギョギョ
DMARC/25 機能紹介 32 定期的な診断レポート・コンサル 直近1ヶ⽉分のデータを弊社アナリストが分析し、現在のメールシステムのなりすまし メール対策状況やポリシー変更に向けたチェックポイントをコンサルティングします。
DMARC/25 プラン別提供機能 33 提供機能 補⾜ Basic Standard Professional ダッシュ ボード
送信ドメイン⼀覧 送信ホスト⼀覧 DMARC 円グラフ ◯ ◯ ◯ UI カスタマイズ “その他分析” の 追加表⽰ ◯ ◯ レポート機能 週次レポート送信 ◯ ◯ ◯ アラート設定 ⽇次アラート ◯ その他分析 DMARC 認証結果分析 ◯ ◯ DKIM 認証結果分析 ◯ ◯ SPF 認証結果分析 ◯ ◯ DMARC レポーター 分析 ◯ 処理結果分析・ シミュレーター ◯ DKIM セレクター 管理・分析 ◯ 提供機能 補⾜ Basic Standard Professional データ 取得⽅法 専⽤メールアドレス 払い出し ◯ ◯ ◯ お客様のメール環境 から取得 ◯ アップロード レポートの⼿動追加 ◯ ◯ ◯ データ 保存期間 レポートデータ 保存期間 15⽇間 6ヶ⽉間 3年間 コンサルティ ング 導⼊コンサルティング ※ ◯ ◯ ◯ 診断コンサルティング ※ ◯ ◯ ◯ DMARC/DKIM/SPF トレーニング ※ ◯ ◯ ※ 別途ご契約が必要です。
34 無料トライアル実施中 まずは⼀定期間(1ヶ⽉)本サービスを無料でご利⽤いただき、 DMARCレポートをモニタリングすることができます お気軽にお問い合わせください 営業部 www.twofive25.com 03-5704-9948 sales@twofive25.jp 株式会社TwoFive
Thank you for your listening!