フィッシング対策協議会の「フィッシングレポート2026」は、防御側の常識を揺さぶる数字を含んでいた。DMARC=pass、すなわち送信ドメイン認証を 正しく通過した状態のフィッシングメール が前年比で急増しているという。受信側が「DMARCをreject運用にすれば詐欺は止まる」と素朴に信じてきた構図は、もう成り立たない。
DMARC=passでもフィッシングが届く理由 #
DMARCはあくまで 「From: ヘッダのドメインの所有者本人が送ったか」 を検証するだけの仕組みだ。攻撃者が paypal-jp-security.com のような lookalike (そっくり別) ドメインを自前で取得 し、SPF/DKIM/DMARCをきっちり設定して送れば、認証は当然通る。受信ゲートウェイから見れば「ちゃんと認証された正規メール」であり、迷惑メールマークも付かない。
レポートでは、短命の独自ドメイン+正規認証 の組合せが多数観測されている。攻撃者は1〜2日だけ使う使い捨てドメインを大量に回し、ブロックリストに乗る前に送り切る。DMARCは「誰がFromを名乗っているか」しか見ず、受信者が本物の銀行と見間違えるかどうか には関与しない。
DMARCが防ぐのは「正規ドメインのなりすまし送信」だけ。攻撃者が自前で取った別ドメインからの送信は、技術的には何の不正もないため pass する。
ハッカー視点と防御側の打ち手 #
攻撃者側の経済合理性を見ると構造が分かる。ドメインは数百円、Let's Encryptで証明書も即発行、SPF/DKIMはDNSに数行追加するだけだ。正規認証を通すコストは限りなくゼロ で、使い捨て運用のインセンティブが極めて強い。受信側の「DMARC=reject信仰」は、むしろ自前ドメイン運用への背中押しになっている。
受信側はドメイン認証「だけ」に頼った検知から脱却するしかない。d=(DKIM署名ドメイン)と表示ブランドの一致確認、登録から日が浅いドメインへの加点減点、BIMI/VMCによるブランドロゴ表示、そして利用者には 「送信ドメインそのものを見る習慣」 を徹底させる。送信側企業もキャンペーンごとに別ドメインを乱立させる慣習を改め、ブランドドメインに集約する努力が要る。自社が乱立させているうちは、利用者は本物と偽物を見分けようがない。
COMMENTS 0
No comments yet — be the first to leave one.