そのフィッシング対策はもう古い、サプライチェーンを守る“DMARCとメール受信対策”
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
フィッシング報告件数は過去最多の171万件を超え、前年比で約1.44倍にもなっている。生成AIで武装した攻撃者たちは、巧妙なフィッシングメールを大量生成。従来のものよりも精巧で、スペルミスや文法ミスなども減り、見分けがつきにくくなっている。従来の「受信対策」や人的訓練だけでは、もはや限界だ。そこで重要になるのが、脅威をブロックする高度なフィルタリングによる“メール受信側の対策”と、送信元の信頼性を証明するDMARCによる“メール送信側の対策”の両立だ。自社と顧客、さらにはサプライチェーン全体を守るために、今あらためて見直すべき“メールセキュリティの新常識”とは何か。
(Photo/Shutterstock.com)
生成AIで巧妙化するメール攻撃に「従来対策の限界」が露呈
メールセキュリティを取り巻く環境は、ここ数年で劇的に変化している。中でも深刻なのは、生成AIの登場による攻撃手法の急速な巧妙化だろう。従来のフィッシングメールは日本語が不自然なため見分けやすかったが、現在は自然で説得力のある詐欺メールが短時間で大量に作成可能となっている。実際の取引先とのやり取りに紛れ込むような精巧な文面も増えており、人間の直感や経験に頼った防御は通用しなくなってきた。
攻撃の手口も多様化している。URLリンクを使った従来型に加え、スマートフォンでQRコードを読み取らせてセキュリティ対策を回避する「クイッシング」や、緊急性を装い正規サイトそっくりの偽サイトでIDやパスワードを盗み取る「クレデンシャルフィッシング」が横行している。
現在導入済みの対策は、このような攻撃の「すり抜け」に対応できているだろうか。
一方で、企業ドメインのなりすまし対策を講じていない場合は、自社名を騙った詐欺メールが流布されてしまい、顧客や取引先への間接的な加害者になるリスクもある。被害者からの怒りの矛先は、なりすまされた企業に向かうだろう。なりすましメール対策としてDMARC(Domain-based Message Authentication, Reporting and Conformance)の実装も進んでいるが、設定の複雑さゆえに「p=none(何もしない)」のまま放置され、実質的に効果を発揮していないケースも多い。
そこでここからは、実効性のあるメールセキュリティとは何か、メール受信・送信の両面から見直していきたい。
攻撃の手口も多様化している。URLリンクを使った従来型に加え、スマートフォンでQRコードを読み取らせてセキュリティ対策を回避する「クイッシング」や、緊急性を装い正規サイトそっくりの偽サイトでIDやパスワードを盗み取る「クレデンシャルフィッシング」が横行している。
現在導入済みの対策は、このような攻撃の「すり抜け」に対応できているだろうか。
一方で、企業ドメインのなりすまし対策を講じていない場合は、自社名を騙った詐欺メールが流布されてしまい、顧客や取引先への間接的な加害者になるリスクもある。被害者からの怒りの矛先は、なりすまされた企業に向かうだろう。なりすましメール対策としてDMARC(Domain-based Message Authentication, Reporting and Conformance)の実装も進んでいるが、設定の複雑さゆえに「p=none(何もしない)」のまま放置され、実質的に効果を発揮していないケースも多い。
そこでここからは、実効性のあるメールセキュリティとは何か、メール受信・送信の両面から見直していきたい。
この記事の続き >>
-
・DMARC導入企業の7割が「実効性ゼロ」、“設定しただけ”では守れない
・第三者機関が認めた『検知率100%』のメール受信対策
・通常半年~1年かかるDMARCのエンフォースメントを、わずか45日で達成
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
