送信ドメイン認証の導入が遅れていると言われる日本、その理由は?
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月31日の放送内容を一部抜粋しご紹介します
今回の解説ニュース
携帯電話のキャリアメールになりすまし対策が導入されるということです。今回、導入された送信ドメインの認証技術について説明します。
今回、導入された「DMARC」「DKIM」は、送信ドメインの情報から悪意のある第三者が送信するなりすましメールを、より高い精度で判別できる技術です。
これまでの、メールの送信元を検査するSPFに加えて、DMARCで公式アカウントから送信された正規メールと判定できた場合についても公式アカウントマークを表示することで、顧客は安心してキャリアメールのサービスを利用できるということです。
なりすましメール対策で導入「DMARC」「DKIM」の技術とは
今回、導入された「DMARC」「DKIM」のそれぞれについて説明します。
まず、DKIMとは、DomainKeys Identified Mailの略で、電子署名でメールの送信ドメインを認証する仕組みです。メールを送信する際に、送信元が秘密鍵でメールに電子署名を行い、受信先が送信元ドメインのDNSサーバから入手した公開鍵で電子署名の検証を行います。
以前にも解説した、電子署名の仕組みを応用しています。その際に使った例えで、秘密鍵を実印、公開鍵を印鑑証明書、ドメインは地域、DNSサーバは市役所に例えて説明します。
Aさんがメールの送信元として、Bさんが受信先とします。Aさんは、自分が送信したメールであることを証明するために、Aさんの実印を押してメールを送信します。Bさんは、メールに押されている実印がAさんのものであることを確かめるために、Aさんがお住いの地域を管理する市役所にて、印鑑証明書とメールに押されている実印を照合します。そして、メールに押されている実印が確かにAさんのものであることが分かった上で、そのメールがAさん以外の人によって成りすまされたものではないという事を認めて、受信することを決定します。これがDKIMの仕組みです。
次に、DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、メール送信者のドメインを認証する仕組みです。認証に失敗した場合、どのような処理をするかは送信者が決められる特徴を持っています。
先ほどの例えの続きとして、メールに押された実印が本物と判断できなかった場合の処理は、受信先であるBさんが決定します。送信元のAさんは、その結果について把握することはできません。DMARCは、それを補完する形で、本物のメールと判断できなかった際の処理を、送信元のAさんが、市役所であるDNSサーバで表明することができます。受信先のBさんは、Aさんが表明した内容に従って、メールの処理を決定します。さらにDMARCでは、受信先のBさんから、送信元のAさんへ、メールの認証に失敗した旨を通知するレポートを送ることができます。
その他のトピック