英国トップ大学は「なりすましメール」対策が“甘い”？：教育機関が「なりすましメール」から身を守る方法【第3回】

英国で評価ランキング上位にある大学は、なりすましメールにどう対処しているのか。Proofpointが公開した「DMARC」に関する調査結果を基に、実態を探る。

[Adenike Cosgrove，TechTarget]

　セキュリティベンダーProofpointは2021年9月、メールの送信元ドメイン認証技術「DMARC」（Domain-based Message Authentication, Reporting and Conformance）の英国の大学における実装状況に関する調査レポートを発表した。調査レポートは、20校の大学に対してドメイン分析を実施し、その結果をまとめたものだ。調査対象は、英国の高等教育機関に関する情報を発信するWebサイト「The Complete University Guide」が発表する大学総合評価ランキングの上位20校で、分析実施時期は2021年9月。

英国トップ大学の「なりすましメール」対策は厳しくない？

併せて読みたいお薦め記事

連載：教育機関が「なりすましメール」から身を守る方法

• 第1回：攻撃者が教育機関を狙いたくなる“なるほどの理由”
• 第2回：『なりすましメール』の被害から学習者と教職員を守る方法

教育機関とセキュリティ

• 学校がサイバー攻撃の標的になりやすい“深刻な理由”
• ランサムウェア攻撃者が「学校は身代金を払う」と考える“おぞましい根拠”
• 教育機関がサイバー攻撃を受けやすい納得の理由と、データを守り切る方法

　Proofpointの調査レポートによると、DMARCの最も厳しい設定である「Reject」を実装している大学は、全体の15％だった。残りの85％はRejectを実装しておらず、正当な送信者を装う「なりすましメール」の脅威にさらされる可能性がある。

　調査対象となった大学の70％は、何らかの形でDMARCを実装していた。これは喜ばしいことだが、Rejectを実装していない大学をなりすましメールから守るには、さらなる対処が必要だ。

　よく知られたブランドや企業のWebサイトに酷似したWebサイトを作成することは、攻撃者の常とう手段だ。教育機関は学習者と教職員に対して、メールに記載されたURLが信頼できるものかどうかを必ず確認するように指導し、なりすましメールによる被害を回避する必要がある。

　教育機関のデータ侵害に成功すると、攻撃者は名前や住所、支払い明細、医療記録といった、学習者や教職員に関する複数の個人情報に一度にアクセスできてしまう可能性がある。教育機関はDMARCによる保護に加えて、強力なパスワードの使用を全ての学習者と教職員に推奨することが望ましい。多要素認証（MFA）を採用するとなおよい。

---

　第4回は、教育機関がサイバー攻撃に対処する方法を紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。