ビジネスメール詐欺の被害を防ぐ、送信ドメイン認証の注目手法「DMARC」とは？

　悪意のある第三者が、実在する組織を装って送信する「なりすましメール」。中でも企業や法人を標的とするものは「ビジネスメール詐欺（BEC）」と呼ばれ、より高度な手口が用いられるため、フィッシング詐欺やランサムウェアによる被害が多数報告されている。

　なりすましメール対策の代表的なアプローチには、送信元となるメールサーバの身元を、IPアドレス認証や電子署名を利用して明らかにし、本物かなりすましかを判別する「送信ドメイン認証」がある。その手法はいくつか存在するが、SPF（Sender Policy Framework）はIPアドレスの正しい判別ができない場合があり、DKIM（DomainKeys Identified Mail）は導入／設定のために専門知識が必要など、それぞれに課題があった。

　そこで注目したいのが、SPFやDKIMの認証結果を活用し、認証をより強固にする、DMARC（Domain-based Message Authentication、Reporting and Conformance）だ。本資料では、DMARCの仕組みや特長を解説するとともに、DMARCに対応したセキュリティ対策ツールも紹介しているので、ぜひ参考にしてほしい。