B14_Sharing Knowledge of Domain, Spam and DNS Investigation

Transcript

1. 送信ドメイン認証とドメイン名 調査からわかるメールの実態 2019.11.15 SAKURABA Shuji Internet Ini7a7ve Japan Inc. /

   JPAAWG / IAjapan

2. メールの課題 • 迷惑メール (spam) がもたらす被害 • 受信してしまい⾒てしまうこと⾃体が迷惑 (広告宣伝メールなど) • マルウェア

   (添付ファイル) を実⾏してしまい感染 • 内部情報の漏洩 (PC 内部のファイルや⼊⼒そのもの，ネットワーク上の情報) • ランサムウェアによる被害 • Bot 化されることによる他者への被害の幇助 • 不正 (詐欺) Web サイトへの誘導による各種被害 • BEC (Business Email Compromise) • メール盗聴による被害 • プライバシーの侵害 • 機密情報の漏洩 • BEC 等巧妙な詐欺への発展

3. なりすましメールと思われる被害 • JALが振り込め詐偽被害「航空機リース料」信じる(2017.12.20 朝⽇新聞) • 取引先になりすましたメールで航空機リース料など3.8億円振り込む • 送信元のアドレスは画⾯表⽰上，担当者のものと同じだった • 似た⼿⼝のなりすましメールで8⽉と9⽉に計約2400万円をだまし取られた

   • 虚偽の指⽰による資⾦流出 • 欧州⼦会社，悪意ある第三者による虚偽の指⽰に基づき資⾦を流出させる事 態が発⽣，最⼤約40億円の損失⾒込み額 (2019.08.03 発⽣，トヨタ紡績 2019.09.06 press release) • ⽶国⼦会社，経営幹部を装う悪意ある第三者による虚偽の指⽰に基づきアメ リカ社の資⾦約2900万ドル (約32億円) を流出させる事態が発⽣ (2019.09 下 旬発⽣，⽇経新聞 2019.10.30 press release)

4. なりすましメールによる被害 • 2018 Internet Crime Report (FBI IC3, Internet Crime

   Complaint Center) • 2018年に 20,373件の BEC/EAC と 1.2 billion (12億ドル) の損失の報告を受 ける (2017年のレポートでは，それぞれ 15,690 件，6.75億ドル) • BUSINESS EMAIL COMPROMISE THE $26 BILLION SCAM (FBI Public Service Announcement, 2019.09.10) • 給与基⾦の流出に関する苦情が増加，会社の⼈事部または給与部⾨が従業員 からの⼝座変更の要求にみせかけたメールを受信 • 2018.01.01 から 2019.06.30 までに 1,053件, 832万3,354ドルの損失 給与部⾨からの BEC による損失報告 https://www.ic3.gov/media/2019/190910.aspx

5. なりすましメールによる被害 • マドンナ御⽤達「ドルチェ&ガッバーナ」3億円サギ事件 ⽇本社⻑は ⾃宅仮差し押さえに… (週刊新潮 2018.09.06) • 2017.11.02 ミラノ本社の経理部⻑名でのメール，中国企業の株を買う⾦融取

   引を完了するため今⽇中に中国の銀⾏に2件の送⾦指⽰のメール • 2件送⾦したうちの1件、280万ドルはすでに返⾦不能で、ミラノ本社は15⽇、 担当者を東京に派遣、翌⽇、⽇本法⼈社⻑と部下はクビになり、挙句、2⼈ の⾃宅が仮差押えされたうえで提訴 • フィッシング対策協議会に寄せられた報告件数の推移 (2018.10- 2019.09)

6. いま取り組むべき対策技術 • なりすましメール対策 • 送信ドメイン認証技術 • SPF (Sender Policy Framework),

   RFC7208 • DKIM (DomainKeys Identified Mail), STD76, RFC6376 • DMARC (Domain-based Message Authentication, Reporting and Conformance), RFC7489 • メール盗聴対策技術 • MTA-STS (SMTP MTA Strict Transport Security), RFC8461 • TLSRPT (SMTP TLS Reporting), RFC8460 • DANE (DNS-Based Authentication of Named Entities), RFC7672 • DNSSEC, RFC4033-RFC4035

7. それぞれの技術の普及状況調査 • ドメイン名の調査について • 調査対象は，ドメイン名に MX RR (資源レコード) が設定されている (メール

   に利⽤しているドメインである) • メールに利⽤していないドメイン名 (MX RR) が無いドメイン名でも SPF, DMARC レコードを設定する意味はある • ドメイン名の静的調査 • DNS に登録されているドメイン名がわかれば，SPF, DMARC, MTA-STS な どのレコード (TXT RR) は調査可能 • DKIM は DKIM レコード (TXT RR) の設定場所がセレクタ配下にあるため， 登録ドメイン名からでは存在の判断ができない (調査できない) • ドメイン名の動的調査 • 受信したメールの送信ドメイン認証の結果から SPF, DKIM, DMARC の送信 側の設定 (導⼊) 状況を把握

8. メールに利⽤しないドメイン名の設定 • なりすましメールに利⽤されないための設定 • Null MX (RFC7505) • jp ドメイン名のうち

   0.02% が Null MX レコード • 必ず認証失敗する送信ドメイン認証設定 • jp ドメイン名のうち 0.82% の SPF レコードが “v=spf1 -all” example.jp IN TXT “v=spf1 –all” _dmarc.example.jp IN TXT “v=DMARC1; p=reject” example.jp IN MX 0 .

9. ドメイン名の静的調査 • ⾃治体のドメイン名調査 • Web サイト等からメールに利⽤しているドメイン名を抽出 • MX レコードの設定が無くなった場合，Web サイトから調査

   (広報誌にある連絡 先，Web サイトドメイン名などから)s • 1788⾃治体それぞれから代表的なドメイン名を抽出 • jp ドメイン名の調査 • JPRS と (⼀財)⽇本データ通信協会との共同研究契約 • jp ドメイン名のゾーンデータから調査 • SPF, DMARC, MTA-STS, BIMI のレコードを調査

10. 送信ドメイン認証技術の普及状況 地⽅⾃治体 (ドメイン名は独⾃調査, 2019.11.13) SPF % DMARC % 北海道 72.2

    (130/180) 1.7 (3/180) 東北 85.8 (199/233) 0.4 (1/233) 関東 86.4 (279/323) 1.6 (5/323) 中部 79.4 (258/325) 0.3 (1/325) SPF % DMARC % 近畿 88.0 (206/234) 0.4 (1/234) 中国 79.5 (89/112) 0.0 (0/112) 四国 82.8 (82/99) 1.0 (1/99) 九州沖縄 85.4 (241/282) 0.0 (0/283) શࠃͰͷ 41'
    Ϩίʔυએݴ཰
     
    
     શࠃͰͷ %."3$ Ϩίʔυએݴ཰
     
    
     注: 全ての対象ドメインに MX レコードが設定されていることを確認済み

11. 普及状況 総務省による報道発表
    ­³  ®č¿  ¼
    
    
    

     j q ` u Ÿ O < ? [ ÿ ˆ j q ` u ø õ ´ í P ô ¨ Ó Î P ú Å
    
    æ–ÙQ5:]W[7NZDUCqws8TP´íשáPxJL9[7ÿˆjq`u øõ´í8PªŒ^¶ĂCK:UD6
    ‚ë5ĉ§qws_jteO…ÕB\[jq`uŸP;I5¼ÃO”Z°KY\H¢ igntosjq`uŸL9[7&,8Pjq`uŸĊƒz7 jq`uŸ8M::UD6 ċ O<?[ÿˆjq`uøõ´íPô¨ÓÎPúÅ^ą¥C5GPäÄ^ŽîD[@MOC UCH6
    
    Č
    Èð
    ĉ§qwsLQ5ÿˆ‰Pĉ§qws_jte^ßyéPVPONZDUCH5:]W [7NZDUCqws8àPþ²qwsPÿˆ>ì]\[@M>9ZUD6æ–ÙLQ5 @PX;Nþ²qwsTP´íשáPxJL9[ÿˆjq`uøõ´íĊÿˆjq`u øõ´íMQ5ÿˆ‰Pĉ§qws_jtePjq`uŸĊƒz7ÿˆjq`u8M:: UD6 ċAMOøõC5›ˆ‰>ÿˆjq`uPŠï^ÛøœêMD[´íL55 šS  M R\[VP>9ZUD6 ċPªŒ^¶ĂCK:UD6
    GPxÔMCK5‚ë5æ–ÙPǖ¦ó‹L9[xëü¡Ï¼ÃhwfĀˆ˜„> Ư„ܼÃtdeircwleĊƒz78M::UD6 ċMžÚÞ¤â^çäC5 ­³  ®Č¿=Y5 jq`uŸO<?[ÿˆjq`uøõ´íPô¨ÓÎPúÅ^ą ¥CUCH6‚±5@PúÅQË¿ì:5GPäÄQæ–ÙO<:KŽîC5¨Á×O¾ ºĊĀ¬Q5—®AMċD[~¨LD6
    
    č
    úŻϚSäÄ
     =Y·†^›?H5 LŸ“ñ͜êN  jq`uŸPK^©ûO5°÷jq `uŸO‡[qwscwkPô¨|SO  šS  O‡[ô¨PÀÒOJ:KúÅ^ ì:UD6UH5úÅäÄQ  jq`uŸPݐAMOĈòC5æ–ÙPabmpwdO <:KŽî4ČCUD6N<5­³  ®Č¿Â½ÑLPúÅäÄQzîPM<ZLD6
    
    ÿˆjq`uøõ´íPô¨ÓÎĊ­³  ®Č¿Â½Ñċ
    
    )" # %,2 )" # %,(902 )" # %,(   902
     $!'" 3 " # %,2  $!'" 3 " # %,( 902  $!'" 3 " # %,(    902                                                                                                   -/.& ;:16.            45                 +8                 7* http://www.soumu.go.jp/menu_news/s-news/01kiban18_01000035.html http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html#toukei

12. 送信ドメイン認証技術の普及状況 JP ドメイン (JPRS との共同研究) 2019.11.01 શମʹର͢Δ .9
    Ϩίʔυએݴ཰
     
    
     .9υϝΠϯʹର͢Δ

    41'
    Ϩίʔυએݴ཰
     
    
     .9υϝΠϯʹର͢Δ %."3$ Ϩίʔυએݴ཰
     
      登録型 MX (%) SPF (%) DMARC (%) AD 82.7% 68.3% 3.9% AC 94.3% 67.8% 1.3% CO 93.8% 70.2% 0.8% GO 72.0% 93.1% 3.1% OR 93.6% 68.3% 0.6% NE 81.4% 57.3% 1.7% GR 89.2% 57.7% 0.8% ED 92.8% 65.0% 0.9% LG 73.6% 79.7% 0.3% 地域型*1 60.5% 56.0% 0.7% 汎⽤ 75.1% 56.7% 1.1% *1 地域型は新規受付停⽌ 数値は都道府県型を含む 2012.05 時点での SPF 普及率: 43.89% http://member.wide.ad.jp/wg/antispam/stats/index.html.ja

13. 送信ドメイン認証技術の普及状況 JP ドメイン (JPRS との共同研究) 0 0.5 1 1.5 2

    2.5 3 3.5 4 4.5 2018/3/6 2018/4/6 2018/5/6 2018/6/6 2018/7/6 2018/8/6 2018/9/6 2018/10/6 2018/11/6 2018/12/6 2019/1/6 2019/2/6 2019/3/6 2019/4/6 2019/5/6 2019/6/6 2019/7/6 2019/8/6 2019/9/6 2019/10/6 2019/11/6 ad ac co go or ne gr ed lg geo gen average

14. ドメイン名の動的調査 • 受信メールでの送信ドメイン認証結果 • 迷惑メールフィルタの判定結果との送信ドメイン認証との関連

15. 普及状況 SPF / DKIM の認証結果割合 受信メール量に対する割合 IIJ, 2019.10 SPF DKIM

    pass 76.7% hardfail 2.5% softfail 6.8% neutral 0.4% temperror 0.0% permerror 1.1% none 12.5% pass 41.1% fail 1.0% neutral 0.7% temperror 0.0% none 57.3%

16. 普及状況 DMARC の認証結果割合 pass 18.3% fail 4.0% temperror 0.1% permerror

    0.1% none 77.5% 受信メール量に対する割合 IIJ, 2019.10

17. 8.6%8.2%8.1%8.3%7.5%8.0%7.5%7.2%7.1%8.2%8.4%8.5%9.8%9.7%9.6%9.3% 10.2% 9.9% 10.4% 9.8%9.3%9.4%9.6% 11.0% 8.7% 11.2% 12.1% 12.2%

    12.8% 13.3% 13.0% 13.3% 14.1% 13.4% 13.6% 13.8% 13.6% 14.0% 15.0% 15.2% 16.0% 16.5% 16.4% 18.1% 18.5% 18.3% 3.8%4.1%5.6%4.4%5.9%4.5%4.7%4.5%5.3% 5.6%3.0%2.8%2.4%2.0%2.4%2.9%2.6%3.3%3.5%6.0%9.0% 5.5%5.0% 5.6%7.7%5.2%4.9%7.0%5.2%4.3%3.8%4.0%4.3%5.9%6.3%7.1%8.8%7.8%7.6%7.7% 8.8% 11.7% 12.0% 6.4%7.3% 4.0% 0.1%0.2% 0.0%0.2%0.2%0.1%0.1%0.2%0.2% 0.2% 0.2%0.2%0.1%0.1%0.1%0.1%0.0%0.1%0.1% 0.1% 0.1% 0.1%0.0% 0.1%0.2%0.2%0.1% 0.1%0.1%0.0%0.1%0.2%0.2%0.2%0.2%0.1% 0.1%0.1%0.1%0.1% 0.1% 0.1%0.0% 0.1% 0.1% 0.1% 0.0%0.0% 0.2%0.0%0.0%0.0%0.0%0.0%0.0% 0.0% 0.0%0.0%0.0%0.0%0.0%0.0%0.1%0.0%0.0% 0.0% 0.0% 0.1%0.1% 0.1%0.0%0.1%0.0% 0.1%0.0%0.1%0.0%0.0%0.1%0.0%0.1%0.0% 0.1%0.1%0.1%0.1% 0.1% 0.1%0.1% 0.1% 0.1% 0.1% 87.5% 87.5% 86.0% 87.1% 86.4% 87.3% 87.6% 88.1% 87.4% 86.0% 88.4% 88.6% 87.7% 88.2% 87.9% 87.7% 87.1% 86.7% 85.9% 84.1% 81.5% 84.9% 85.2% 83.3% 83.3% 83.4% 83.0% 80.7% 81.8% 82.2% 83.1% 82.5% 81.4% 80.5% 80.0% 78.9% 77.4% 78.0% 77.3% 76.9% 75.1% 71.7% 71.5% 75.4% 74.1% 77.5% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2016.01 2016.02 2016.03 2016.04 2016.05 2016.06 2016.07 2016.08 2016.09 2016.10 2016.11 2016.12 2017.01 2017.02 2017.03 2017.04 2017.05 2017.06 2017.07 2017.08 2017.09 2017.10 2017.11 2017.12 2018.01 2018.02 2018.03 2018.04 2018.05 2018.06 2018.07 2018.08 2018.09 2018.10 2018.11 2018.12 2019.01 2019.02 2019.03 2019.04 2019.05 2019.06 2019.07 2019.08 2019.09 2019.10 pass fail temperror permerror none DMARC の認証結果割合の推移 • 受信側のDMARC認証の推移 (2016.01〜2019.10) • IIJ のメールサービスでの⽉単位の認証結果割合

18. DMARC レコードの TLD com 53.7% jp 6.3% net 3.6% org

    3.2% au 3.0% in 1.8% uk 1.8% info 1.4% cn 1.4% co 1.4% br 1.1% de 1.0% Others 20.4%

19. SPF pass 82.7% neutral 0.1% softfail 5.8% hardfail 1.4% temperror

    0.0% permerror 0.9% none 9.0% pass 38.6% neutral 2.3% softfail 22.8% hardfail 12.3% temperror 0.2% permerror 2.1% none 21.7%

20. DKIM pass 46.1% neutral 0.7% fail 0.9% temperror 0.0% none

    52.3% pass 16.6% neutral 1.1% fail 0.3% temperror 0.0% none 82.0%

21. DMARC pass 19.8% fail 2.5% temperror 0.0% permerror 0.0% none

    77.6% pass 8.9% fail 12.4% temperror 0.3% permerror 0.2% none 78.1%

22. メールの配送経路の暗号化 • STARTTLS (RFC3207) • SMTP の拡張として SMTP の経路を暗号化 (TLS)

    するための仕様 • ⼿順 • 送信元の EHLO の応答として STARTTLS が含まれていれば受信側が対応 • 送信側が STARTTLS コマンドを送ることで TLS のネゴシエーションが開始

23. メールの配送経路の暗号化 • STARTTLS の課題 • 受信側が STARTTLS に対応していなければ TLS 配送が⾏われない

    → opportunistic encryption protocol • 中間者 (man-in-the-middle) が受信側の応答から “250-STARTTLS” を省いたり，⼀旦 SMTP を終端するなどの⼿法により，送信側から平 ⽂でのメール配送を⾏わせる → downgrade or interception attacks

24. メールの配送経路の暗号化 • MTA-STS • 受信側 (ドメイン) が TLS に対応しているかを事前に把握 •

    TLS 通信できなかった場合の対応動作を⽰す • TLSRPT • DMARC と同様に STARTTLS 等の結果を報告する仕組み (但し受信側 から送信側へのレポート) • フォーマットは JSON 形式 (gzip 圧縮することが望ましい) _mta-sts.example.com. IN TXT "v=STSv1; id=20160831085700Z;" https://mta-sts.example.com/.well-known/mta-sts.txt version: STSv1 mode: enforce mx: *.example.net max_age: 604800 _smtp._tls.example.jp. IN TXT "v=TLSRPTv1; rua=mailto:reports@example.jp” or _smtp._tls.example.jp. IN TXT “v=TLSRPTv1; rua=https://reports.example.jp/v1/tlsrpt” MTA-STS レコードの宣⾔数 (jp): 18 (0.0014%)

25. メールの配送経路の暗号化 DANE (DNS-based Authentication of Named Entities) • 解決しようとする課題 •

    現在の CA (Certificate Authorities) モデルの課題 • 中間者攻撃 (Man-in-the-middle attacks) • TLS downgrade 攻撃 • DANE 概要 • DNS を利⽤して公開鍵等を公開 (DNSSEC が必須, TLSA RR を利⽤) • プロトコル毎に設定 (TLS に対応しているかを判断することが可能) • TLSA レコードは _<port>._<protocol>.<hostname> に設定 • 4つのパラメータ (certificate usage, selector, matching type, certificate association data) _25._tcp.mail.ietf.org. IN TLSA 3 1 1 0C[…]D6 _443._tcp.www.ietf.org. IN TLSA 3 1 1 0C[…]D6 DS レコードの宣⾔数 (jp): 477 (0.03%)

26. まとめ • No Auth, No Entry が今後主流に → DMARC までの対応が必要

    • 迷惑メールも送信ドメイン認証に対応してきている → ドメインレピュテーションの必要性 → BIMI (Brand Indicators for Message Identification) → 踏み台問題対策にはフィードバックループ • メールの配送経路の暗号化対応も忘れずに • 各種レポート (DMARC 集約レポート，TLSRPT) を参照し，適 切な認識と，メールサーバ及び送信ドメイン認証技術を運⽤ BIMI レコードの宣⾔数 (default, 受信メール): 152 (jp: 5)