英国のナショナル・サイバー・セキュリティ・センター(NCSC)は、攻撃者がメールを偽装したり、メールのプライバシー侵害につながる可能性のある脆弱性を組織が特定できるよう、新たなメールセキュリティチェックサービスを発表しました。
電子メールセキュリティチェックツールは、サインアップや個人情報を必要としないと述べています。
このサービスは、NCSCの電子メールセキュリティおよびスプーフィング対策に関するガイダンスで述べられているように、英国の一部のセクターが推奨される電子メールセキュリティ対策が少ししか採用されていないこと(場合によってはわずか7%)に対応するために開発され、現在無料でオンラインで提供されています。
電子メールセキュリティチェックは、電子メールドメインに関する一般に公開されている情報を調べ、なりすましやプライバシーに関するリスクをチェックすることができる機能です。
一般に公開されているインターネット上のDNSレコードをチェックし、スプーフィング対策(特にDMARCポリシー)が正しく設定されているか、サーバーの「ハンドシェイク」を開始することでTLSの設定を確認することで機能します。
DMARCのようななりすまし防止規格が正しく設定されていることをチェックし、サイバー犯罪者がそのドメインを悪用し、組織のふりをして悪質なメールを送信することを防ぐのに役立ちます。また、TLSのようなプライバシープロトコルが導入されているかどうかも調べます。
メールセキュリティチェックサービスは、サイバー犯罪者が発見できる脆弱性しか特定できませんが、その目的は、脆弱性が悪用され、メールドメインが攻撃の標的になる前に、組織が脆弱性を特定することを支援することです。
また、対象となる組織は、NCSCの無料サービス「Mail Check」に登録することで、電子メールのセキュリティに関するより詳細なガイダンスを利用することができます。
ただし、メールチェックは現在、民間企業には提供されておらず、中央政府、地方自治体、地方行政機関、緊急サービス、NHS組織、学術機関、慈善団体のみが対象となっています。
NCSCの新しい電子メールセキュリティチェックツールは、なりすましを防ぎ、プライバシーを保護するためにユーザーができることを特定し、安全を維持する方法について実践的なアドバイスを提供します
推奨される対策に従うことで、組織は防御を強化し、セキュリティに真剣に取り組んでいることを示すことができ、サイバー攻撃をより困難にすることができます。
このツールは、メールドメインの安全性を確認することはできますが、個々のメールやメールドメインが悪意のあるものであるかどうかを確認することはできません。
Comments