標的型攻撃メール訓練を実施する際、
自社で訓練用に「独自ドメイン」を取得して使用するというやり方があります。
企業によっては、訓練実施サービスなどが提供する訓練用のドメイン名では、いまひとつしっくりこないということで、ドメイン名を取得して実施されているケースもあるかと思います。
自社で実施したい訓練にマッチしたドメイン名を使うことは、訓練の幅を広げてくれます。
しかし、使い方を誤ると、かえって攻撃者に“利用されてしまう”リスクもあることをご存知でしょうか?
本記事では、訓練用に独自ドメインを使う際に必要な設定と注意点、さらに使用後にドメインをどう扱うべきかについて触れてみたいと思います。
✅なぜ訓練に独自ドメインを使うのか?
GmailやOutlook.comなどのフリーメールでは、セキュリティフィルターが強力なため、差出人アドレスによっては受信すらされない場合もあります。
そこで、メール配信のコントロールが可能な独自ドメインを使うことで、セキュリティフィルターをパスさせるといったことが可能になります。
また、社員のセキュリティリテラシーが高い組織の場合は、訓練メールの内容とマッチしない差出人アドレスは違和感を覚えやすいことから、訓練の内容にマッチしたドメインを取得するというケースもあります。
🛠独自ドメインを使う際に必要な主な設定
🔹1. DNS設定
訓練用メールが正しく届くためには、以下のDNSレコード設定が不可欠です。
独自ドメインを取得する場合は、DNSレコードを自由に設定できるサービスも使える「ドメイン取得サービス」(お名前.comなど)を利用するか、Webサイトの運用に加えてDNSの運用も行えるようになっている「レンタルサーバサービス」を利用することをお奨めします。
自社でドメインの運用・管理ルールが定められている場合は、それに従うことになります。
但し、サービスによって設定できるDNSレコードに制限がある場合もあるため、必要なレコード設定ができるかどうかは必ず確認するようにしてください。
| 設定項目 | 目的 |
|---|---|
| MXレコード | メール受信先を指定 |
| SPFレコード | 許可された送信元IPを定義し、なりすまし防止 |
| DKIM | メールの署名により改ざんを防止 |
| DMARC | SPF/DKIMに基づくポリシーと報告の指示 |
🔹2. メール送信環境の用意
独自ドメインを使用して訓練メールを送信する場合は、クラウドメールサービス(例:SendGrid、Amazon SES)や、Postfixなどの自前メールサーバを用意して、確実にメールを送れる環境を構築する必要があります。
安価なレンタルサーバサービスの場合は1日や一定時間内に送信できるメールの件数に制限が設けられている場合もあるため、サービスを選定する際は、送信できるメールの条件を必ず確認するようにしてください。
標的型攻撃メール訓練実施サービスを利用されている場合は、サービスの仕様として独自ドメインでの訓練メール送信を可能としている場合もありますので、運営元に問合せをしてみてください。
ちなみに、標的型攻撃メール対応訓練実施キットでは独自ドメインでの訓練実施が可能となっています。SPF、DKIM、DMARCへの対応も可能です。
🔹3. メール認証の徹底
SPF、DKIM、DMARCが適切に設定されていないと、送信した訓練メールが迷惑メール扱いされたり、届かなかったりしますので、独自ドメインを取得して訓練メールを送信する場合は、SPF、DKIM、DMARCを設定することが必須になります。
この点では、メール送信環境を用意する場合は、SPF、DKIM、DMARCが設定できることが必須条件になります。サービスによってはこれらを設定することができないものもありますので、クラウドメールサービスを選択する場合は、SPF、DKIM、DMARCが設定できるかどうかを必ず確認するようにしてください。
⚠️独自ドメインを使う際の注意点
❌「それっぽい」ドメイン名は逆に怪しまれる
“sagawa-delivery.net”のような、実在する他社を連想させるドメイン名は、訓練用であっても避けた方が無難です。特に有名な企業の名称はフィッシング詐欺に利用されることも多いことから、スパムメールとして判定される可能性が高いです。
また、実際には訓練用で使用しているとしても、第三者から見ると、フィッシング詐欺を行っているのでは?といった誤解を生んでしまう恐れもありますので、無用のトラブルに巻き込まれてしまうことを回避するという点では、他社を連想させるドメイン名は安易に使用しないほうが賢明です。
📌独自ドメイン名を使う際は、ドメイン名の所有者情報に注意
独自ドメイン名を使う場合、インターネット上に公開されるドメイン名の所有者情報には、自社に関する情報が掲載されないよう注意する必要があります。
何故なら、リテラシーが高い社員は「Whois情報」を検索してドメイン名の所有者を確認することがあるためで、ドメイン名の所有者情報に自社に関する情報が掲載されていた場合、「自社で取得しているドメイン名だったので不審じゃないと判断してリンクをクリックした」という社員も出てきてしまうためです。
🔒SSLの設定も必須です。
取得した独自ドメイン名をリンク先のURLに使用する場合は、SSLの設定が必須になります。
社内サーバにアクセスさせる場合はSSL無しでも使えるかもしれませんが、URLがhttp://~である場合は通信が暗号化されていない旨の警告が表示されてしまうため、あえて警告が出る形で訓練を実施したいということでなければ、SSLを設定し、警告が出ないようにすることも対応として必須になります。
SSLは有償の証明書と、無償の証明書がありますが、有償の証明書は証明書に組織名が設定されてしまうため、無償の証明書を使用することをお奨めします。
🧨使い終わったドメインを放棄すると…
独自ドメインを取得して訓練を実施するのはよいのですが、何回か訓練を実施するとドメイン名を社員が覚えてしまい、訓練に使うことが難しくなるタイミングがいずれやってきます。
そうなると、そのドメインはもう使わないということで、維持費がかかるドメインは放棄したくなるところですが、ここが最大の落とし穴となります。
一度使用したドメインを更新せず放棄してしまうと、攻撃者がそのドメインを取得し、
本物そっくりの訓練メールを装った“攻撃メール”を送信できてしまうことになります。
このようなケースでは、「社内で見慣れたドメインだから大丈夫」「これは訓練メールだからリンクをクリックしても問題ない」と受信者が信じ込んでしまい、被害が発生してしまう恐れがあります。
🔐ドメインの所有はしばらく維持すべき
訓練終了後、すぐにドメインを解約してはいけません。
⏳ 最低でも3年くらいは維持を推奨
社員が訓練で使用されていたドメイン名を覚えている間は、所有を維持すべきです。
併せて、使用していた独自ドメイン名でのメール受信ができないよう、フィルタ条件に追加したり、リンク先としてアクセスできないよう、アクセスブロックの設定をするなども有効な対策となります。
🚫 無効化の処理も重要
- SPFを「
v=spf1 -all」に設定してメールを送れない状態にする - MXやAレコードを削除して、アクセス不能にする
ドメイン名の所有を維持している間も、ドメイン名を使用しないのであれば、DNSレコードを削除するなどしてドメイン名が使えないようにしておくことも重要です。
ドメイン取得サービスによっては初年度0円キャンペーンを行うなど、気軽に取得できる場合もありますが、タダだからといって安易に取得してしまうと、無駄に維持費が発生してしまうことにもなりかねませんので、独自ドメインを取得される際は、数年間は保持することを前提に維持費等を予算化することを忘れないようにしてください。
📝まとめ
| 項目 | 対策 |
|---|---|
| 独自ドメインの設定 | SPF/DKIM/DMARCを正しく設定 |
| メールサーバ構築 | クラウド or 自前で用意 |
| 使用後の管理 | ドメインを一定期間保持し、無効化設定も行う |
| セキュリティ意識 | 見慣れたドメインが狙われる危険を知る |
🚨 訓練は「安全に」やってこそ意味がある!
独自ドメインの活用はとても有効ですが、それは正しく設定し、適切に管理できてこそ。
「ドメインの放棄」が、新たなリスクを生まないように、ぜひ今回の内容を参考に、安全な訓練を心がけてください!
