スパムメールに対するセキュリティ的考察

個人情報流出

旅行代理店大手JTB(ジェイティービー)が、6月14日 氏名や住所・電話番号・パスポート番号などを含む顧客情報を不正アクセスにより流出した可能性があると発表しました。

参考リンク:
不正アクセスによる個人情報流出の可能性について → 外部リンク

今回発生した事例では、「取引先を装ったメール」により偽の添付ファイルを開かせることでウイルスに感染させるという「標的型攻撃」と呼ばれる手口が使われていたようです。

スパムメール – 標的型攻撃

「標的型攻撃」でターゲットに送信されるメールは「スパムメールとわかりにくく」なってきています。
特定の企業や団体、組織を狙い、ウェブ上に公開されている組織の情報を用いたり、実在する企業名や担当者を用い、メールヘッダーを偽装することで、見かけ上本物の業務メールのように見える点が特徴で、メールの内容も「お世話になっております」など一般的にビジネスで使われる文章を使い、スパムメールに気をつけていても見分けがつかないほど巧妙に作成されている場合が多くなってきました。

標的型攻撃のここから先の流れは、

  • 偽装された添付ファイルを開かせることでウイルスに感染させるパターン(主流)
  • 悪意を持ったURLへのアクセスを誘導するパターン

となってきます。

スパムメール – ばら撒き型攻撃

また「標的型攻撃」に似た手法として「ばら撒き型攻撃」という手法も存在します。
「ばら撒き型攻撃」は標的型攻撃のように特定の企業や団体を標的にしたものではなく、不特定多数のメールアドレスに向けて発信され、個人のメールアドレス宛てに届くメールでも、ウイルス感染のリスクが増えてきました。

メールのセキュリティ向上 – 送信ドメイン認証(SPF・DKIM)

このように「スパムメール」を配信する悪質な利用者は「他者に成りすます」ことで自分たちの目的を遂行します。
ではどのようにすれば、自社に成りすまされることがなく、自社の顧客を守ることができるのか?
この問いに答えるのが「送信ドメイン認証」という技術(SPF・DKIM)です。

「自社のサーバーから送信した」ことを証明する「送信ドメイン認証」(SPF・DKIM)を実装したサーバーからメールを送信することは、「自社であること」を証明します。
言い換えれば「他社の証明されていないメール」は「スパムである」ことを証明することに繋がります。

自社のドメインを「送信ドメイン認証」に対応させることにより、自社とお客様を守るという需要はますます増えきます。
顧客の信用は、自社のセキュリティ向上により守るのです。

注:今回のJTBの事案では、メールに対するセキュリティ向上だけではなく、社内のネットワークについてのセキュリティ向上も必要となってくる可能性もあります。本文が長くなりますので、本投稿ではこの内容を扱いません