運用したことのない国からあなたのドメインのメールが送信されているように見えると、なりすましを疑うきっかけになりやすいものです。しかしほとんどの場合、これは誤った警報です。表示される IP アドレスは通常、攻撃者のものではなく、世界各地のデータセンターで稼働しているメール送信事業者の送信インフラのものです。なりすましの本当の兆候は、外国にあるという所在地そのものではなく、あなたのドメインを名乗るメールを送って DMARC に失敗している心当たりのない送信元、それもしばしばあなたが拠点を持たない場所から届くものです。
手短に言えば、DMARC レポートです。レポート送信先アドレスを記載した DMARC レコードを公開すると、Google、Microsoft、Yahoo などのメールボックスプロバイダーが 毎日の集計レポート を送ってくれます。各レポートには、あなたのドメインを使った送信元すべて、その送信に使われた IP アドレス、そして認証に通ったかどうかが記載されます。
このレポートに載るのは IP アドレスであって、場所ではありません。単一の IP を ジオロケーション検索ツールに貼り付ければ、その IP が登録されている国を確認できます。なりすましの不安はこうして始まることが多くあります。誰かがレポートから 1 つのアドレスを取り出して調べ、自社が拠点を持たない国にあると気づくのです。送信元 IP すべてを手作業でこの方法で調べるのは現実的ではないので、最も良いのは、それらをまとめてジオロケーションし、地図上に表示する DMARC 監視プラットフォーム (DMARCeye など) を使うことです。
今や、自社のメールを自前で直接送信している企業はほとんどありません。あなたのメールは送信事業者を経由して送られます。マーケティングプラットフォーム、CRM、ヘルプデスク、Google Workspace や Microsoft 365、決済代行業者などです。各事業者は世界各地のデータセンターでサーバーを運用しており、表示される所在地は、あなたのメッセージを処理したサーバーの所在地になります。
DMARC 集計レポートには、あなたのドメインを使ってメールを送ったすべての送信元と、それぞれが使った IP アドレスが記載されます。DMARCeye のようなサービスがその IP を地図上に表示すると、1 回のニュースレター送信が一度に 3 か国や 4 か国から届いているように見えることがあります。この広がりこそが、少数のサービスが大陸をまたいだインフラからあなたに代わって送信する、現代のメールの姿です。
DMARCeye プラットフォームより。
ジオロケーションは、どのネットワークがその IP を所有しているかを調べることで、IP アドレスを場所へと変換します。地域インターネットレジストリが IP アドレスのブロックをインターネットプロバイダー、ホスティング事業者、クラウドプラットフォームに割り当て、ジオロケーションデータベースが各ブロックの登録地と利用地を記録しています。つまり、送信元 IP に紐づく所在地が示すのは、その IP を所有するインフラであって、キーボードを打っている人物ではありません。
この検索結果は推定値であり、国より細かいレベルになると精度は急速に落ちます。国の特定は信頼できますが、地域や州ははるかに劣り、市区町村のレベルでは誤っていることがよくあります。クラウド事業者、VPN、コンテンツ配信ネットワークは、実在する人物から数百キロ離れた場所に IP を置くことがあります。業界のジオロケーションデータの多くを提供している MaxMind は、自社の 精度に関するガイダンス の中で、こうした限界をはっきりと述べています。送信元の所在地は、事実ではなく大まかな手がかりとして読み取ってください。
外国の IP アドレスだけでは、なりすましを受けているとは言えません。これは自社のドメインが乗っ取られたと思い込む最も多い理由ですが、それ単体ではどちらとも証明できません。あなたのメールサービスプロバイダーがドイツやバージニア州のデータセンターから送信していれば、あなたのメールはドイツやバージニア州に位置づけられますが、それは何も問題ではありません。
これは、DMARC の導入状況が地域によってどう異なるかという問いとは別の話で、後者はあなた自身のドメインに関する兆候ではなく、より広いデータに見られる傾向です。そうしたマクロな視点に関心があれば、地域ごとの DMARC コンプライアンスのばらつき と 国別 TLD ごとの DMARC ポリシー で取り上げています。自分のレポートを切り分けるうえでは、所在地は認証結果と合わせて読んで初めて意味を持つのであって、それより前に見るものではありません。
本当の兆候は、2 つのことを同時に行う送信元です。あなたのドメインを名乗ってメールを送り、そのメールが DMARC に失敗することです。DMARC は、メッセージが SPF または DKIM に通るかどうか、そしてその結果が表示される From アドレスのドメインと一致するかどうかを確認します。あなたが設定した送信元はこの確認に通ります。一方、自分のサーバーからあなたのドメインを偽装する攻撃者は、あなたの SPF レコードや DKIM 鍵を管理していないため、通常は通りません。
所在地が役立つのは、認証結果から出発したときです。あなたが事業者を持たず、業務も行っていない国で失敗している送信元は、すぐ近所で失敗している送信元よりも強い手がかりになります。まず認証の失敗があり、地図はそれを鮮明にします。
地理ではなく、認証から始めてください。見覚えのない所在地が目に留まったら、次の順序で確認していきます。
DMARCeye は、ある送信元のすべての送信元 IP をクラスター化した地図 (上の図) に表示するので、大量に送信する送信元でも見やすさを保ち、さらに任意の単一 IP を開いて、その所在地を認証結果と並べて確認できます。価値はこの組み合わせにあります。所在地が、その送信元が DMARC に通っているか失敗しているかと並んで表示されるので、通常のグローバルなインフラと、もう一度見る価値のある送信元を見分けられます。
DMARCeye プラットフォームより。表示されている IP アドレスは実在のアドレスではなく、例です。
認証結果と所在地が 1 つのビューに収まっているので、推測に費やす時間が減り、注意を要する 1 つか 2 つの送信元に集中できます。
送信元ジオロケーションは、それ単体での判定ではなく、認証結果をより鮮明にする文脈です。多くの国からメールが届くのは正常なことで、あなたの事業者が世界各地のインフラからあなたに代わって送信しているからです。ノイズと本当の脅威を分けるのは組み合わせです。見覚えのない送信元があなたのドメインを名乗って送信し、DMARC に失敗していて、しかもあなたが拠点を持たない場所から届いている、というものです。所在地と認証結果を 1 つのビューで一緒に見られることが、この組み合わせを際立たせます。それこそが送信元の所在地を地図に示す目的です。DMARCeye はこの両者を並べて示すので、本物のなりすましの試みを見つけやすくなります。