DMARC: 合格ラインに達した政府機関とは

2018年2月20日

詐欺者による攻撃で一番悪用されている手段がメールであるということは、セキュリティ業界全体において幅広く認識されています。企業がこのチャネルを改善しようとしているのに対し、政府機関はその対応に遅れをとっています。実際、昨年8月の調査において、DMARCポリシーにより保護されていた連邦政府のメールはわずか10%でした。

しかし、それは変化しようとしています。2017年の終わり頃、米国国土安全保障省は全ての政府機関はメールドメイン保護のため、DMARCの実装を新たに要求する指令を発表しました。この指令で機関は、90日以内に最低でも「p=none」(DMARC認証失敗時もアクションを取らない)のDMARCポリシーを実装し、1年以内に「p=reject(拒否)」のDMARCポリシー (DMARC認証失敗時は受信拒否) を実装するべきだとしました。

ほかのプロジェクト期日と同様に、それになんとか間に合わせようとする機関もあれば、実装先延や、実現に必要なツールが足りない機関もあるようです。2018年1月15日はその90日の期限最終日でした。そこで当社は政府機関の実装状況を確認し、それが意味することを考慮することにしました。

当社の調査の最初のステップは、その指令を受けた311の政府機関のリストを完成させることでした。リストが完成し次第、当社はそれらのドメインをDMARC Compass Explorer を利用してテストしました。このツールを利用することでドメインがDMARCポリシーを実装しているかをチェックし、どの程度の保護機能があるか確認が可能です。それから、どの政府機関がその指令に応じ、反対にどの政府機関が合格ラインに達していないかを判断することができました。

下記はその政府機関の成績表です。

不合格だった機関
最初の時点では、調査した機関のうち75%はDMARCポリシーが欠如していました。また、12週の調査が終わるまでに本格的にDMARCの実装を試みた機関も多かったのですが、未だに134というかなりの数の機関が、DMARCポリシーを全く実装していませんでした。(図1参照)

最低限の保護対策を取り入れてほしいという事前の警告にもかかわらず、実に43%の政府機関が何の実装もしなかったのには驚かされます。

DMARC
図1

合格した機関
以下の図は政府機関が12週間の終わりまでにDMARCを実装したDMARCのポリシー状況を示したものですが、大多数(81%)の機関は、最低レベルの「P=none 」ポリシーしか実装していないことがわかります。(図2参照) いくつかの機関は次の段階「P=quarantine (隔離) 」へ進み、およそ17%の機関が高い防御レベルである「p=reject (拒否)」のポリシーレベルに達し優等生に躍り出ています。

DMARC
図2

優等生のセクターとは
当社が調査した全ての機関のうちおよそ半分は合格ラインに達したものの、わずかな機関のみが優等生でした。綿密な調査をした結果、あるセクターは他のセクターに比べてさらによい成績を獲得していました。

DMARC
図3

総合的に、エンフォースメントはDMARCポリシーを実装するための努力を惜しまず優等生であったと言えます。(上記図3参照) エンフォースメントには米国US-CERT、消費者金融保護局、アメリカ国立標準技術研究所のような機関も含まれていたため、当然といえば当然かもしれません。特に注目するべき点は、労働安全衛生局、米国郵政公社、セレクティブ・サービス・システム、連邦取引委員会などの機関は全て「p=reject(拒否)」のレベルに達していることです。同じく高いレベルのポリシーに達している他の機関としては、FBI、アメリカ合衆国税関・国境警備局、アメリカ合衆国労働省、アメリカ合衆国上院、連邦準備制度理事会などが名を連ねています。

「p=quarantine 」のポリシーレベルに達した社会保障局とアムトラック(全米鉄道旅客運送会社)もDMARC実装のための努力が見てとれます。

驚くべきことに、そして多少戸惑ったことに、経済及び健康部門に分類されいるいくつかの機関は実装に手間取った様子がうかがえます。最もひどいのは2015年に2150万件もの盗難にあい、破壊的な侵害で苦しんだアメリカ合衆国人事管理局が最低レベルのポリシーである「p=none 」にさえ達することができなかったという事実です。

優等生になるべき理由とは  
「これらの機関がDMARCを実装しようがしまいが自分には関係ない」と思っている人もいるかもしれません。またこういった政府機関は民間企業との取引はほとんど行わないのですが、取引を行っている機関があるのも事実です。「p=reject」をすでに実装している機関と貴社とが関わるかもしれないことを考えてみてください。現在、そういうカテゴリーに分類される機関として連邦取引委員会、労働安全衛生局、連邦預金保険公社があげられます。

賢明な企業は、メール交換やデータのプライバシー及び機密性を保護するポリシーを実装することが賢いことであることをすでに認識しています。今までこのようなポリシーに反応が遅かった政府機関もまたメール認証プロトコルの重要性に気が付き、DMARCの実装に乗り出しています。DMARCを実装するプロセスをまだ始めていない民間企業は、その事案に従って行動するよう十分に勧告されるでしょう。

チャーリー・ダーウィン(英・生物学者)が言及したと誤解されているフレーズにこんなものがあります。「この世で生き残るのは最も強い種ではなく、変化に適応する種である」
これは生き物の場合と同様で企業にとっても同じことが言えます。政府機関でさえその機関、従業員、その機能を保護するために変化に適応しようとしている中、それに応じることができない組織は間もなく、政府機関、他の組織、そして最も交流したい顧客とのコミュニケーションから締め出されてしまうでしょう。

DMARCを実装することで、詐欺のライフサイクル全体に対応できる積極的なマルチレイヤーアプローチの第一歩を踏み出すことができます。

DMARCの実装についての詳細はこちら

By Cristian David Torres, Product Leader

Cristian David Torres, Product Leader

Crisitian David Torres - はDMARC Compassのプロダクトリーダーです。DMARC Compassは電子メール認証ソフトで2016年のCybersecurity Excellence AwardsにおいてBest Fraud Prevention product(ベスト詐欺対策製品)に選ばれました。彼はDMARC Compassに貢献したことで2015年にtop performance awardを獲得しています。製品リーダーになる前、イージー・ソリューションズのセキュリティ分析者でした。彼は電子エンジニアの学位を取得しています。