A12_Introduction of DMARC/25 - DMARC Analysis as a Service

Transcript

1. DMARC集計レポートを活⽤した、 なりすましメールの⾒つけ⽅ Introduction of DMARC/25 -DMARC Analysis as a Service-

   株式会社TwoFive 伊藤 隼⼈

2. ⾃⼰紹介 2 伊藤 隼⼈ • 株式会社TwoFive 開発マネージャー • 担当業務 •

   メッセージングソリューションの開発/構築 • 経歴 • 某ISPにてメールシステムの開発/運⽤ • 某キャリアにてネットワークの構築 • 2019年8⽉、株式会社TwoFiveへ⼊社

3. アジェンダ 3 •会社紹介 •なりすましメールの概況 •なりすまし対策としてのDMARC •DMARC/25のご紹介

4. 会社概要 4 社名 株式会社TwoFive（TwoFive,Inc.） 設⽴ 2014年5⽉ 代表者 末政 延浩 事業内容

   -メッセージングシステム -メッセージングセキュリティ -レピュテーションサービス 所在地 本社（⽇本橋） ベトナム⽀社（ハノイ）

5. 事業内容 5 3本の柱 メッセージング セキュリティ メッセージング システム レピュテーション サービス 電⼦メールの信頼性と安全性の向上の鍵となる

   3本のソリューションをご提供しています。

6. メッセージングシステム メッセージングセキュリティソリューション 6 ゲートウェイセキュリティ • Cloudmark Security Platform for Email

   • MTA/25 • セキュリティフィルタ Webメール • OX App Suite • Atmail

7. メッセージングシステム メッセージングセキュリティソリューション 7 メールストア • Dovecot Pro • MBOX/25 •

   LDAP/25 ストレージ＆ユーティリティ • Scality RING • OpenIO

8. メッセージングシステム メッセージングセキュリティソリューション 8 DNSサーバ＆セキュリティ • ProDNS レポーティング＆アナリティクス • DMARC/25 •

   Elastic Search

9. レピュテーションサービス 9 ー 各種データベース ー Spamhaus CSI (Cloudmark Sender Intelligence)

   Is it phishing MRI 地理情報 l 世界中のレピュテーションデータベンダーと直接コミュニケー ションを取り、ベンダーが提供するデータベースをお取り扱い l 国内では独⾃でもデータを収集 l 各種データベースを取り扱ったコンサルティングから導⼊⽀援 までのご提案が可能

10. スタッフ・実績 10 ⼤規模電⼦メールシステムの経験豊富なスタッフが、 最適なソリューションをご提案いたします。 数百万〜数千万ユーザー規模の電⼦メールシステムを多数導⼊しています。 •⼤⼿ISP様メールシステム •⼤⼿キャリア様メールシステム •⼤⼿⾦融企業様向けメッセージングセキュリティシステム •政府系メールシステム 実

    績

11. 豊富なパートナーネットワーク 11 海外ネットワーク • M³AAWGなどのメンバーと密に情報交換を⾏っています。 • 多数の海外メッセージングパートナーとの連携を進めています。 • ベトナムにシステム開発拠点を持ち、⾃社製品の開発を⾏っています。 SIer

    様々なシステム開発会社と連携して、プロジェクトを進めています。 デザイナー 新しいインターフェイスデザインのご提案も可能です。

12. なりすましメールの概況 • 標的型攻撃 • BEC(ビジネスメール詐欺)

13. 標的型攻撃 13 IPA 情報セキュリティ10⼤脅威2019 「組織」1位 (4年連続) IPA 情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html

    警察庁 令和元年上半期におけるサイバー空間をめぐる脅威の情勢等について http://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami _cyber_jousei.pdf • 国内での標的型メール攻撃の件数は年々増加 • 標的型メールの90%が送信元メールアドレスを 偽造 標的型攻撃の脅威は今後も続く

14. BEC(ビジネスメール詐欺) 14 IPA 情報セキュリティ10⼤脅威2019 「組織」2位 (2017 圏外, 2018 3位) IPA

    情報セキュリティ10⼤脅威 2019 https://www.ipa.go.jp/security/vuln/10threats2019.html • 「Business email compromise」 の略 • 社⽤のメールアドレスに対して、取引 先や経営陣になりすまし、偽の⼊⾦ 指⽰や⼝座変更をメールで連絡する • 本物と偽るために、マルウェア等により 流出した情報が使われる場合もある • 企業間取引が狙われるため、1件あた りの被害⾦額が⼤きい

15. BEC(ビジネスメール詐欺) 15 国外では・・・ 2018年に全世界で約13億ドルの被害 FBI Internet Crime Report (ICR) https://pdf.ic3.gov/2018_IC3Report.pdf

    0 4,000 8,000 12,000 16,000 20,000 24,000 28,000 $0 $200,000,000 $400,000,000 $600,000,000 $800,000,000 $1,000,000,000 $1,200,000,000 $1,400,000,000 2014 2015 2016 2017 2018 被害額 被害件数 国内事例 ⽇本航空、偽メールで3億8千万円 詐欺被害 (2017年12⽉) • 取引のある⾦融会社の担当者になりすまし • 正規の請求書PDFが届いた直後に、⼝座 変更を促す偽の訂正版請求書が届いた • ⽀払いの名⽬は「航空機リース料」 • 後⽇、本物の⾦融会社から督促があったこ とで発覚 https://www.nikkei.com/article/DGXMZO24866680Q7A221C1CC1000/

16. BEC(ビジネスメール詐欺) 16 • 2018年7⽉ BECによる初の⽇本⼈逮捕者 7千万円送⾦させた疑い ビジネスメール詐欺で逮捕 https://www.nikkei.com/article/DGXMZO32602020U8A700C1CC1000/ • 2018年8⽉

    ⽇本語によるBECメールが確認され、IPAが注意喚起を実施 【注意喚起】偽⼝座への送⾦を促す“ビジネスメール詐欺”の⼿⼝(続報) https://www.ipa.go.jp/security/announce/201808-bec.html 国内でもBECが拡⼤していくことが予想される BECについて更に詳しく 知りたい⽅は・・・ https://www.sagitai.jp

17. なりすまし対策としてのDMARC • DMARCとは • DMARC対応の落とし⽳ • なりすまし対策のロードマップ

18. DMARCとは 18 Domain-based Message Authentication, Reporting, and Conformance メール送信元ドメインのなりすましを検知する、送信ドメイン認証技術 <3つの機能>

    メールの認証 • SPF/DKIM認証を使って、 送信元アドレスがなりすまさ れていないかを認証 送信側ポリシーの指定 • なりすましメールの取り扱い を送信元ドメインの管理者 が以下から指定 none (指定なし) quarantine (隔離) reject (受信拒否) 認証結果のレポーティング • 着信メールの認証結果を集 計し、送信元ドメインの管 理者へ送信 • レポートは以下の2種類 統計情報(rua) エラー状況(ruf)

19. DMARC対応の落とし⽳ 19 「DMARC対応」＝「なりすまし対策」とは限らない DMARCに(最低限)対応するには… • SPFかDKIMに対応し、 とDNSに書くだけ • SPFやDKIMの設定に 問題があっても、

    ポリシーが弱いのでリスク無し v=DMARC1; p=none; なりすましメールにも 弱いポリシーしか適⽤されない つまり ポリシーを強化しなくては なりすましメールは 排除できない

20. DMARC対応の落とし⽳ 20 「DMARC対応」＝「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる

    正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の 問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤

21. 認証NGとなる 正当なメール • メーリングリストや転送 メールなど、技術的な 問題 • システム管理者が 把握していない送信 経路など、運⽤上の

    問題 認証OKとなる なりすましメール • 類似ドメイン (タイポドメインやホモ グラフドメイン) • フレンドリーネームの 詐称 • アカウント流出による 不正利⽤ DMARC対応の落とし⽳ 21 「DMARC対応」＝「なりすまし対策」とは限らない 正当な メール なりすまし メール 認証OK 認証NG 認証NGとなる 正当なメール 問題を解決し、全ての メールを認証OKにする ことが必要 問題の状況把握に DMARCレポートを 活⽤ 認証OKとなる なりすましメール DMARC以外で プラスアルファの 対策が必要 DMARCによる なりすまし排除が 前提

22. なりすまし対策のロードマップ 22 1 2 3 4 5 DMARCレコードを p=none で宣⾔

    DMARCレポートを受け取り、分析 ドメインの設計/管理/運⽤を⾒直し 強いDMARCポリシーに変更 ドメインベースの対策を実施 (レピュテーションなど) が お⼿伝いします

23. 23 なりすまし対策について 更に詳しく知りたい⽅は・・・ https://www.naritai.jp/

24. DMARC/25のご紹介

25. DMARC/25とは 25 DMARCの集計レポートを分析/可視化し、 なりすましの検知を⽀援するクラウドサービス

26. DMARCレポート収集フロー 26

27. DMARC/25 機能紹介 27 認証結果レポートの分析 DMARC の認証結果レポート（aggregate report）を解析し、認証の結果から レポートを分類します。 検知の結果 説明

    なりすまし 疑い なりすまして送信された可能性の⾼いメール 転送メール メール転送によって認証が失敗している 認証失敗 何らかの技術的な問題で認証に失敗している ドメイン管理者が把握していないメールが送 信されている 例 SPF が設定されていない、設定漏れがある 正規のメール SPF あるいは DKIM の認証に成功している メール

28. DMARC/25 機能紹介 28 認証判定結果の⾒える化 認証レポートの結果をグラフ化（時系列グラフ、円グラフ）、なりすまし対策の状況を 把握することができます。 認証の結果 説明 DMARC DKIM

    DMARC 認証のうち、 DKIM の認証で成功した割合を表⽰ DMARC SPF DMARC 認証のうち、 SPF の認証で成功した割合を表⽰ DKIM DKIM 認証結果（pass, fail, none 等）の 割合を表⽰ ※第三者ドメインによる署名を含む SPF SPF 認証結果（pass, softfail, temperror 等）の割合を表⽰ ※送信者ドメインが⼀致していない場合を 含む XX⽉XX⽇前後に ⾃社のなりすましメールが 流通していた！

29. DMARC/25 機能紹介 29 送信ホストの分析 メールを送信したホストの分類ごとの状況をGUIで表⽰します。 解析の種類 説明 ホスト名 送信元IPアドレスの逆引きホスト名を 表⽰

    認証結果割合 DMARC での認証結果、DKIM や SPF での認証結果を表⽰ RBLチェック RBLと突合して評価結果を表⽰ 評価が悪い場合はスパムメール発信に 利⽤されている可能性がある メール通数 ホストから送られたメールの総件数を 表⽰ DNS設定確認 GeoIP 情報、Whois 情報、DMARC 情 報、SPF 情報、DKIM 情報を表⽰ ⾃社で管理している メールサーバ以外の ホストがないか？ ⾃社サーバ 転送サーバ スパム発信元

30. DMARC/25 機能紹介 30 処理の⾒える化 送信したメールが「受信」「隔離」「拒否」のいずれの処理がされたかを把握することが できます。 なりすまされたメールが 宛先で拒否された メールの流通状況をもとにして、DMARC のポリシー

    を変更した場合のなりすましメール防御の効果・影 響状況を推定することもできます。

31. DMARC/25 機能紹介 31 ⽇次アラート設定 あらかじめ設定した条件（失敗率、前⽇との差異など）にもとづいて1⽇1回アラート をメールでお知らせします。 平常時と⽐較して 著しく変化 ドメイン管理者 [通知条件]

    前⽇⽐較で 5% 悪化 ギョギョ

32. DMARC/25 機能紹介 32 定期的な診断レポート・コンサル 直近1ヶ⽉分のデータを弊社アナリストが分析し、現在のメールシステムのなりすまし メール対策状況やポリシー変更に向けたチェックポイントをコンサルティングします。

33. DMARC/25 プラン別提供機能 33 提供機能 補⾜ Basic Standard Professional ダッシュ ボード

    送信ドメイン⼀覧 送信ホスト⼀覧 DMARC 円グラフ ◯ ◯ ◯ UI カスタマイズ “その他分析” の 追加表⽰ ◯ ◯ レポート機能 週次レポート送信 ◯ ◯ ◯ アラート設定 ⽇次アラート ◯ その他分析 DMARC 認証結果分析 ◯ ◯ DKIM 認証結果分析 ◯ ◯ SPF 認証結果分析 ◯ ◯ DMARC レポーター 分析 ◯ 処理結果分析・ シミュレーター ◯ DKIM セレクター 管理・分析 ◯ 提供機能 補⾜ Basic Standard Professional データ 取得⽅法 専⽤メールアドレス 払い出し ◯ ◯ ◯ お客様のメール環境 から取得 ◯ アップロード レポートの⼿動追加 ◯ ◯ ◯ データ 保存期間 レポートデータ 保存期間 15⽇間 6ヶ⽉間 ３年間 コンサルティ ング 導⼊コンサルティング ※ ◯ ◯ ◯ 診断コンサルティング ※ ◯ ◯ ◯ DMARC/DKIM/SPF トレーニング ※ ◯ ◯ ※ 別途ご契約が必要です。

34. 34 無料トライアル実施中 まずは⼀定期間（1ヶ⽉）本サービスを無料でご利⽤いただき、 DMARCレポートをモニタリングすることができます お気軽にお問い合わせください 営業部 www.twofive25.com 03-5704-9948 sales@twofive25.jp 株式会社TwoFive

35. Thank you for your listening!