フィッシングメールの現状と対策 (2020年前半版) ~ 技術的...
TRANSCRIPT
フィッシングメールの現状と対策(2020年前半版)~ 技術的対策 ~
JPAAWG / Internet Initiative Japan Inc. (IIJ)
Shuji SAKURABA
JPAAWG について
2
• Japan Anti-Abuse Working Group• グローバルなセキュリティ組織 M3AAWG (Messaging, Malware and Mobile
Anti-Abuse Working Group) と連携した国内唯⼀の組織• メッセージングセキュリティを中⼼に関連技術も含めた対策を検討する Working Group• 2018.03 の pre-meeting を経て 2019.05 正式発⾜ (現在 13社のメンバ)
• General Meeting• 2020.11.11[Wed] & 12[Thu] 3rd General Meeting 開催予定• Online Meeting• 第20回迷惑メール対策カンファレンスと併催 (IAjapan 主催)
フィッシング対策の課題
3
• メール送信側• ISPs 等のメールサーバの悪⽤ (感染元 PC や搾取した認証 ID/Password の悪⽤)
→ 踏み台送信• 固定 IP やクラウドサービス (ホスティング) の悪⽤
→ 対応するまでの時間で⼤量送信,短時間での回収• ⾼速化 (通信環境) し便利 (ホスト利⽤環境) になる各種インフラの悪⽤
• メール受信側• 受信メールへの不正アクセス対策 ← BEC へと発展• 巧妙化する送信⼿法,コンテンツ,添付ファイルの対策• 法的な制限 (いわゆる通信の秘密)
• フィルタ等を後から導⼊するのが難しい (同意を後付けでとることの難しさ)
前回 (janog45) のおさらい
4
• メール送信側• 踏み台問題対策
• 送信者認証• 国内以外からの投稿抑制• FBL (Feedback Loop)
• 送信ドメイン認証技術
• メール受信側• 迷惑メールフィルタ• 送信ドメイン認証技術 (SPF, DKIM, DMARC, BIMI)• メール配送経路の暗号化 (STARTTLS, MTA-STS, TLSRPT, DANE)
送信ドメイン認証技術
5
• 概要• 送信者をドメイン名単位で認証する仕組み• 仕組みの違いで 2つの⽅式と 3つの認証ドメイン
• SPF (Sender Policy Framework): RFC5321.From ドメイン• DKIM (DomainKeys Identified Mail): 署名ドメイン• DMARC (Domain-based Message Authentication, Reporting, and
Conformance): RFC5322.From ドメイン
DMARC の特徴
6
• 認証⽅式• SPF and/or DKIM で認証されたドメインと RFC5322.From
• 特徴• ドメイン管理側 (メール送信者) が認証失敗時の取り扱いを policy 宣⾔
• none (何もしない), quarantine (隔離), reject (受信拒否)• ドメイン管理側に認証結果の report 送信
• Aggregate Report (rua) と Failure Report (ruf) の 2種類• Report 送信先を委譲可能
• DNS に委譲関係を設定• 組織ドメイン (上位ドメイン)
• サブドメインまで影響させることが可能
DMARC(RFC5322.From)
SPF レコード(送信元 IP)
SPF(RFC5321.From)
DKIM(署名ドメイン)DKIM-Signature(電子署名)
JP ドメイン名の DMARC 設定率2018.03.06 〜 2020.08.16
7
0
1
2
3
4
5
6
2018/
3/6
2018/
4/6
2018/
5/6
2018/
6/6
2018/
7/6
2018/
8/6
2018/
9/6
2018/
10/6
2018/
11/6
2018/
12/6
2019/
1/6
2019/
2/6
2019/
3/6
2019/
4/6
2019/
5/6
2019/
6/6
2019/
7/6
2019/
8/6
2019/
9/6
2019/
10/6
2019/
11/6
2019/
12/6
2020/
1/6
2020/
2/6
2020/
3/6
2020/
4/6
2020/
5/6
2020/
6/6
2020/
7/6
2020/
8/6
ad ac co go or ne gr ed lg geo gen average
JPRS と IAjapan による共同研究
受信メールの DMARC 認証割合2016.01 〜 2020.07
8
8.6%8.2%8.1%8.3%7.5%8.0%7.5%7.2%7.1%8.2%8.4%8.5%9.8%9.7%9.6%9.3%10.2%9.9%10.4%9.8%9.3%9.4%9.6%11.0%8.7%11.2%12.1%12.2%12.8%13.3%13.0%13.3%14.1%13.4%13.6%13.8%13.6%14.0%15.0%15.2%16.0%
16.5%16.4%18.1%18.5%18.3%18.4%18.8%19.1%19.6%19.3%20.6%20.6%21.1%20.6%3.8%4.1%5.6%4.4%5.9%4.5%4.7%4.5%5.3%5.6%3.0%2.8%2.4%2.0%2.4%2.9%2.6%3.3%
3.5%6.0%9.0%5.5%5.0%5.6%7.7%5.2%4.9%7.0%5.2%4.3%3.8%4.0%4.3%5.9%
6.3%7.1%8.8%7.8%7.6%7.7%8.8%
11.7%12.0%6.4%7.3%4.0%3.6%3.6%3.5%3.5%3.8%3.9%4.2%4.2%4.8%
0.1%0.2%0.0%0.2%0.2%0.1%0.1%0.2%0.2%0.2%0.2%0.2%0.1%0.1%0.1%0.1%0.0%0.1%0.1%0.1%
0.1%0.1%0.0%0.1%0.2%0.2%
0.1%0.1%0.1%0.0%0.1%0.2%0.2%
0.2%0.2%0.1%0.1%0.1%0.1%0.1%
0.1%0.1%0.0%
0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.0%0.0%0.0%0.1%
0.0%0.0%0.2%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.0%0.1%0.0%0.0%0.0%
0.0%0.1%0.1%0.1%0.0%0.1%
0.0%0.1%0.0%0.1%0.0%0.0%0.1%
0.0%0.1%0.0%0.1%0.1%0.1%0.1%
0.1%0.1%0.1%
0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.1%0.1%
87.5%87.5%86.0%87.1%86.4%87.3%87.6%88.1%87.4%86.0%88.4%88.6%87.7%88.2%87.9%87.7%87.1%86.7%85.9%84.1%81.5%84.9%85.2%83.3%83.3%83.4%83.0%
80.7%81.8%82.2%83.1%82.5%81.4%80.5%80.0%78.9%77.4%78.0%77.3%76.9%75.1%
71.7%71.5%75.4%74.1%77.5%77.9%77.5%77.3%76.7%76.8%75.4%75.0%74.5%74.5%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2016.01
2016.02
2016.03
2016.04
2016.05
2016.06
2016.07
2016.08
2016.09
2016.10
2016.11
2016.12
2017.01
2017.02
2017.03
2017.04
2017.05
2017.06
2017.07
2017.08
2017.09
2017.10
2017.11
2017.12
2018.01
2018.02
2018.03
2018.04
2018.05
2018.06
2018.07
2018.08
2018.09
2018.10
2018.11
2018.12
2019.01
2019.02
2019.03
2019.04
2019.05
2019.06
2019.07
2019.08
2019.09
2019.10
2019.11
2019.12
2020.01
2020.02
2020.03
2020.04
2020.05
2020.06
2020.07
pass fail temperror permerror none
DMARC 設定ポリシー割合2020.07
9
reject16.3%
quarantine15.8%
none67.8%
error0.1%
DMARC の活⽤BIMI
10
• 概要• Brand Indicators for Message Identification• DMARC 認証されたドメイン名に対してロゴを表⽰する仕組み
• 対応状況• Google が対応を表明
• Support for the BIMI standard in Gmail (2020.07.21)• 受信メールで DMARC 対応ドメイン
• 523 ドメインが default のレコード設定• 標準化動向
• I-D (draft-blank-ietf-bimi-01)