昨年対比 10%以上の企業で改善!

株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康)は、2019年1月~2019年12月に実施したメールサーバセキュリティ診断(以下:MSchecker)の統計結果をもとに、メールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表します。

画像1: https://www.atpress.ne.jp/releases/202907/LL_img_202907_1.png
総合評価-比較

■概要
近年、コンピュータウィルス「Emotet」(エモテット)がなりすましメールを使って世界的に感染を広げています。Emotetは、これまでのなりすましメールとは異なり、正当な送信者情報を持っている可能性があるため、これまでのなりすましメールの対策では防ぐことができません。このように新たなコンピュータウィルスが出てきている中で、これまでのメールセキュリティ対策がされていない場合、被害がより大きくなる可能性があります。つまり、今までのメールセキュリティ対策は最低限行わなければならない対策となっています。
デージーネットではMScheckerでの統計結果から、1年前と比較し約10%の企業でメールセキュリティの改善が行われたことが分かりました。このことから、日本企業のメールセキュリティ対策が確実に進んでいることが分かります。しかし一方で、未だ50%以上の企業で改善が必要とされていることから、日本企業のメールセキュリティ対策促進のため、統計レポートを公表致します。

■メールサーバセキュリティ診断 [ MSchecker ] とは
メールは世界的に利用されるコミュニケーションツールとして、ビジネスでは欠かせないものとなっています。しかし、多くの人にとって、メールセキュリティが理想的な状態になっているか確認することは容易ではありません。そこでデージーネットでは、現在利用中のメールサーバのセキュリティをチェックするツールとしてMScheckerの運営を行っています。MScheckerでは、メールのセキュリティ項目を整理し、メールのセキュリティが適切な状態か、誰でも簡単に確認することができます。MScheckerでは、以下のことが無料でチェックできます。

・メールの通信が暗号化されているか(SSL/TLSメールの送受信)
・第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)
・メール送信元がSPFレコードに登録されているか(SPFチェック)
・ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)
・メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)
・ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)
・ドメインがDNSブラックリストに登録されていないか(DNSBL登録)

■メールセキュリティにおける対策の優先度
デージーネットは、MScheckerを利用してメールサーバのセキュリティ診断を受けたドメインから、2019年1月から2019年12月の診断結果の統計をまとめました。メールセキュリティにおける対策の優先度としては以下の通りです。

〇必ず行わなければならない対策
・メール不正中継(統計結果:99%が対策済み)
・DNSBL登録(統計結果:99%が対策済み)

〇現在行われているべき対策
・メール通信の暗号化(統計結果:65%以上が対策済み)
・送信元ドメイン認証(統計結果:88%が対策済み)
・送信元DNS逆引き(統計結果:89%が対策済み)
・DNSSEC対応(統計結果:97%が未設定)

■統計結果(全ドメイン数:188)
■■総合評価
MScheckerでセキュリティ診断を受けたドメインのうち、総合評価で改善が必要と判定されたのは危険判定も含め52%でした。1年前の総合評価と比較すると、約10%の企業でメールセキュリティの改善が行われ、対策が確実に進んでいることが分かります。統計結果は以下の通りです。

画像2: https://www.atpress.ne.jp/releases/202907/LL_img_202907_2.png
総合評価-現在

MScheckerにおける評価の種類と判定基準は以下の通りです。

評価の種類
判定基準
安全
メール不正中継OK
SPFチェックまたはDKIMチェックどちらかがOK
メール受信処理のSSL/TLSメール送信OK
メール送信処理のSSL/TLSメール送信OK
送信元DNS逆引きOK
DNSSEC対応OK
DNSBL登録OK
危険
メール不正中継NG
改善が必要
SPFチェック、DKIMチェックどちらもNG
メール送信処理のSSL/TLSメール送信NG
メール受信処理のSSL/TLSメール送信NG
送信元DNS逆引きNG
見直しを推奨
DNSSEC対応NG
DNSBL登録NG

■■最も改善された「送信元ドメイン認証」
送信元ドメイン認証の対策は、1年前と比較するとSPFとDKIMのどちらも設定していない企業が13%減少し、SPFとDKIMのどちらも設定している割合が17%増加しました。SPFとDKIMのどちらか設定している企業を合わせると、88%の企業で送信元ドメイン認証の対策がされていることが分かります。このことから、日本企業のメールセキュリティ対策の中でも、「送信元ドメイン認証」が最も改善されたということが分かりました。

画像3: https://www.atpress.ne.jp/releases/202907/LL_img_202907_3.png
SPF/DKIM-比較

送信元ドメイン認証を活用することで、なりすましメールを見破ることができます。ほとんどの迷惑メール、標的型メールは、送信者を偽装した「なりすましメール」です。近年、世界的に被害を広げているコンピュータウィルス「Emotet」(エモテット)は、なりすましメールを使った新たなコンピュータウィルスです。しかしEmotetは、正当な送信者情報を持っている可能性があるため、これまでのなりすましメールの対策では防ぐことができません。
このように既存のメール対策では防ぐことのできないウィルスが広がる中で、送信元ドメイン認証の設定は最低限設定しておかなければならない対策となっています。しかし、未だ12%の企業がどちらも対策していないことが分かります。
なりすましメールの対策として、メールの受信時に送信元ドメイン認証を行い、迷惑メールとして振り分ける対策は、メール送信側が対応していることが前提となります。しかし、「送信元ドメイン認証」の設定をしていない場合、受信側のメールサーバがなりすましメールか否かの判定ができません。そのため、「送信元ドメイン認証」を設定していない約10%の企業により、受信側のメールサーバでウィルス対策できなくなる可能性があります。

■■■SPFとDKIM
MScheckerでは、送信元ドメイン認証のチェックとしてSPFとDKIMのどちらかが設定されていることが安全と判定するための条件の一つとしています。統計結果を見ると、DKIMよりもSPFの方がより普及していることが分かります。

SPFによる送信元ドメイン認証では、送信元メールアドレスのドメインのDNSに登録されているSPFレコードと、メール送信元IPアドレスを調べ、そのIPアドレスがSPFレコードに含まれているかチェックしています。
DKIM(DomainKeys Identified Mail)は、SPFとは異なり、メール送信時に電子署名をメール内に記載します。メールの受信側では、署名ドメインのDNSサーバに公開されている情報を使い電子署名が正しいかどうかチェックしています。DKIMでの送信元ドメイン認証では、途中でメールの中継があった場合にも、チェックが可能です。SPFとは異なる方法でチェックできるため、送信者ドメイン認証の精度を高めるためには必須です。

このように送信元ドメイン認証は、取引先など相手のメールセキュリティのためにも、未だ対策をしていない企業は至急対策を行うべきです。

■■普及率が上がりつつある「SSL/TLSメール送受信」
SSL/TLSメール受信の対策は、1年前と比較すると6%改善され、SSL/TLSメール送信の対策は10%改善されました。「SSL/TLSメール送受信」では、暗号化した通信でメールを送受信できるか確認しています。メールを暗号化することで、第三者が盗み見ても、内容が分からないようにすることができます。メール相手が暗号化に対応していても、受信側で暗号化した通信が出来なければ、暗号化した通信とはなりません。そのため、第三者に盗み見られる可能性があります。こちらに関しては1年前と比較し、送受信ともに普及率が上がりつつあることが分かりました。

画像4: https://www.atpress.ne.jp/releases/202907/LL_img_202907_4.png
SSL/TLSメール受信

画像5: https://www.atpress.ne.jp/releases/202907/LL_img_202907_5.png
SSL/TLSメール送信

■考察
MScheckerを用いたメールサーバのセキュリティ診断では、全体の52%のメールサーバが改善が必要とされており、半数以上の企業でメールセキュリティ対策が不十分であると分かりました。しかし、1年前と比較すると約10%の企業で改善がされており、日本企業のメールセキュリティ対策が確実に進んでいることが分かります。

送信元ドメイン認証では、DKIMチェックよりもSPFチェックの方が普及していることが分かります。それに加え、DKIMチェックとSPFチェックの両方を設定している企業が増えつつあり、送信元ドメイン認証の仕組みという括りで見ると、約90%の企業で対策がされていることが分かりました。

SSL/TLSメール送受信については、1年前と比較し約10%の企業で新たに対策がとられました。これは、Googleがメールの送受信時にセキュリティプロトコルで保護された(TLS)接続を必須にしたことで、普及率が上がりつつあると考えられます。SSL/TLSメール送受信を設定していない場合、メールの暗号化がされず企業の機密情報や個人情報の漏洩につながる可能性があるため、今後も引き続き普及していくと思われます。

DNSSEC対応の対策については97%が未設定となっており、1年前と比較しても変化はありませんでした。DNSSECは、DNSの情報に電子署名をつけることで、DNSの応答が正式な発行元のデータかどうか検証できるものです。例えば、利用しているDNSサーバの情報が、万が一改ざんされていた場合、接続したいサイトとは全く別のサイトへ誘導されてしまいます。DNSSECによる検証を行うことで、改ざんを見抜くことができます。DNSSECについては対策を進めていくべき課題となっています。

上記のことから、日本企業のメールセキュリティ対策がは確実に進んでいることが明らかとなりました。その中でも「送信元ドメイン認証」の設定については、相手のメールサーバのセキュリティ対策にも関わる設定です。未だ対策をしていない企業は、至急対策を行うべきです。

■デージーネットについて
株式会社デージーネットは、メールサーバの構築やコンサルティングを行っている会社です。オープンソースソフトウェア(OSS)を利用し、お客様のご要望に応じたシステムをご提案しています。これまでに、企業やISP向けに多くのメールサーバを構築してきました。診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。システム導入後には、発見されたセキュリティホールの問い合わせにも対応しています。

■参考URL
【MSchecker】
https://mschecker.jp/

【デージーネットのシステム構築サービス】
https://www.designet.co.jp/system/

【デージーネットの導入後支援】
https://www.designet.co.jp/system/support/

■会社概要
会社名: 株式会社デージーネット
代表者: 代表取締役 恒川 裕康
本社 : 〒465-0025 愛知県名古屋市名東区上社四丁目39-1
資本金: 4,000万円
URL : https://www.designet.co.jp/

<一般の方からのお問い合わせ先>
https://www.designet.co.jp/contact/

詳細はこちら
プレスリリース提供元:@Press
総合評価-現在 SPF/DKIM-比較 SSL/TLSメール受信