最近、Emotetが復活し、いろいろな企業から感染報告が上がっているなーと思い、こういったなりすましメールを簡単に検知できる方法がないのか少し調べてみました。
とりあえず思いついたのは、ヘッダーfromは簡単に書き換えられてしまうということなので、偽装が難しいエンベローブfromと突き合わせればいいんじゃないか、ということでした。
エンベローブfromとヘッダーfromの違い
エンベローブfromとヘッダーfromの違いについては以下のサイトで詳しく説明されていますが、簡単に言うと、
・エンベローブfrom・・・郵便物の封筒に書かれている差出人名
・ヘッダーfrom・・・封筒の中にある便箋にかかれている差出人名
となるようです。
<参考サイト>
「エンベロープFrom」と「ヘッダFrom」の違いとは?(ベアメール )
https://baremail.jp/blog/2021/05/25/1377/?utm_source=pocket_mylist
受信メールからエンベローブfromが確認できるのか
違いがわかったところで次に疑問におもったのが、エンベローブfromって受信メールのどこに書いてあるのかということです。
この点についても上記のベアメール のサイトに書かれていますが、エンベローブについては、残念ながら最後のメールサーバで削除されてしまうようです。
(最後のメールサーバがわざわざ封筒から便箋を取り出してくれるみたいですね。)
ただし、この時にメールサーバでエンベローブfromの値をヘッダのReturn-Path:に転記してくれるようですので、結論としては、受信メールを見るだけで確認できるようです。
Emotetのなりすましは検知がむずかしい
なんだ、じゃあなりすましメールの代表格であるEmotetのメールも簡単に見つけられるんじゃないの?と思いましたが
このEmotet自体は、
・感染した企業のメールサーバを使って社外にメールをばらまく
・フリーメールアドレスから送信する場合、ヘッダーfromのなりすましはしない
といった方式をとっているので、エンベローブfromとヘッダーfromを突き合わせても意味がない(なりすましメールかどうか判断できない)ようです。
Emotetがこのような方式をとっている理由としては、最近、企業にDMARKというなりすましメールを検知する方法が普及してきたからではないかと思われます。
DMARKはSPFやDKIMの結果によりメールの処理を変えるだけではない
いままで私は、DMARKの機能について、
・SPFやDKIMのチェック結果によってメールのフィルタリングを変える
・正しい送信元にレポートを送る
といったような管理機能だけが備わっていると考えていました。
しかしながら、よくよく調べてみると上記以外にも、ヘッダーfromの詐称がおこなわれていないか確認する機能があるようです。
具体的には、
・SPFと連携する場合には、エンベローブfromとの突き合わせ
・DKIMと連携する場合には、Dkim-Signatureのdタグとの突き合わせ
をするらしいです。(DKIMの方はちょっと私には難解です。。。)
このあたりの詳しい話は以下のサイトにに書かれていますので、興味がある方は読んでみるといいと思います。
<参考サイト>
大きく遅れる日本のなりすましメール対策:DMARC(ProofPoint)
https://www.proofpoint.com/jp/blog/email-and-cloud-threats/Japan-lags-far-behind-in-fighting-spoofed-emails-DMARC?utm_source=pocket_mylist
メールにおけるDKIMの仕組み(Carpe Diem)
https://christina04.hatenablog.com/entry/domain-keys-identified-mail
結論
メールヘッダーfromのなりすまし対策としてDMARKを利用すれば検知できるものの、残念ながらEmotet対策としての有効打にはならないようです。
今のところ、受け取ったメールの件名や本文や見てあやしいなあと感じたら、
・メーラーに表示されているヘッダーfromを確認する
・添付ファイルは開かない
・埋め込まれているリンクはクリックしない
を徹底するしかないかなさそうですね。
なお、Emotetメールの特徴は以下のサイトに書かれていますので、一度確認しておくことをお勧めします。
<参考サイト>
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて(IPA)
https://www.ipa.go.jp/security/announce/20191202.html#L18
