「メールセキュリティに悪影響」MicrosoftのDMARCレポート停止をNCSCが批判：Microsoftが停止した理由は？

MicrosoftがDMARCレポートの送信を停止したことを受け、英国立サイバーセキュリティセンターが「大きな悪影響を及ぼす」と同社を批判。DMARCレポートがなぜ重要なのか。そしてMicrosoftが停止した理由は何か。

≫ 2019年09月17日 08時00分公開

　英国立サイバーセキュリティセンター（NCSC）の最新レポートによると、Microsoftは2017年後半にDMARC（Domain-based Message Authentication, Reporting and Conformance）プロトコル（訳注）に関するあらゆる形式のレポートを同社の全電子メールプラットフォームから送信するのを取りやめたという。

訳注：電子メールの送信ドメイン認証技術の一つ。送信元IPアドレスの正当性チェック（SPF）や送信元詐称を確認する電子署名付与（DKIM）を利用してメールを認証する。

　Microsoftの電子メールプラットフォームを全て合わせると、非常に大きな電子メール受信システムになる。NCSCはActive Cyber Defence（ACD）プログラムに関する最新の年次レポートに次のように示している。

　「Microsoftのレポート送信停止は、電子メールセキュリティについて判断するNCSCの能力に大きな悪影響を及ぼす。NCSCのこうした能力は、DMARCが原動力になっている。結果として、2017年と2018年の統計を比較する意味はほとんどなくなる」

　NCSCの2017年のレポートでは、電子メールの総数とDMARCに失敗した電子メール数の両方を含めて、同センターが観察した電子メールの量について議論している。だが、2018年は世界最大級の電子メールプロバイダーから十分なデータが得られなかったことから、2017年と同じ調査ができなかったという。

　本誌のインタビューに答えて、Microsoftの広報担当者は次のように語った。「『Outlook.com』でDMARCのレポート送信を一時停止したのは、社内でエンジニアリングの統合を行うためだ。エンジニアリングの統合作業が完了したら、DMARCレポートの再開に取り掛かる」

　NCSCは同レポートで、DMARCは電子メールプロバイダーが送信ドメインのポリシーから要求される通りに電子メールを扱うことに依存していると指摘し、DMARCポリシーの要件に従うよう全ての電子メールプロバイダーに呼び掛けている。つまり、「拒否」というDMARCポリシーが適用される送信ドメインから来る、認証要件に適合しない電子メールは受信者アカウントに決して到達すべきではない。

　レポートによると、「拒否」レコードの処理方法は電子メールプロバイダーによって異なるという。「拒否」ポリシーが適用されても、全てのプロバイダーがその電子メールを完全に拒否するわけではない。

　ここに問題があると同レポートは指摘する。「拒否」されたメールがフィッシングメールで、それがスパムフォルダに振り分けられたとする。それでもユーザーがそのメールを見つけて開く可能性はゼロではない。

　NCSCによると、ユーザーがスパムフォルダに振り分けられた電子メールを開き、攻撃者の侵入経路となったインシデントが幾つかあったという。

　「業界は、ドメインのDMARCポリシーにもっと一貫性のある対応を行わなければならない。そのためには多くの作業が必要になる」とレポートは伝えている。

TechTargetジャパントップセキュリティ