ドイツ BSI TR-03182 電子メール認証:電子メールによるID詐欺への対応
こんにちは、丸山満彦です。
ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、電子メールによるID詐欺への対応にも繋がる、電子メール認証の技術文書、BSI TR-03182 電子メール認証を公表していますね。。。
● Bundesamt für Sicherheit in der Informationstechnik; BSI
プレス...
・2024.02.16 Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen
| Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen | 新しいBSI TR:電子メールにおけるID詐欺に対抗する |
| Cyberangriffe mit Hilfe von E-Mails sind weiterhin eine große Bedrohung für Unternehmen, Organisationen und Bürgerinnen und Bürger. Insbesondere Phishing-Mails, mit denen Zugangsdaten oder ganze Identitäten gestohlen werden sollen, sind ein weithin genutztes Angriffsmittel. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Technische Richtlinie E-Mail-Authentifizierung (TR-03182) veröffentlicht, die E-Mail-Service-Providern eine Richtschnur im Vorgehen gegen Phishing und Spoofing, also das Fälschen des Absendernamens, zur Verfügung stellt. Die Maßnahmen müssen ausschließlich durch die jeweiligen Diensteanbieter umgesetzt werden, die ihre Kundinnen und Kunden damit aktiv schützen können. | 電子メールを使ったサイバー攻撃は、企業、組織、市民にとって大きな脅威であり続けている。特にフィッシングメールは、アクセスデータやID全体を盗むことを目的としており、攻撃の手段として広く使われている。ドイツ連邦情報セキュリティ局(BSI)はこのたび、電子メール認証に関する技術ガイドライン(TR-03182)を発表し、電子メール・サービス・プロバイダーに対し、フィッシングやなりすまし(送信者名の改ざん)対策のガイドラインを提供した。この対策は、各サービス・プロバイダーが独占的に実施する必要があり、プロバイダーはこれを利用して顧客を積極的に保護することができる。 |
| BSI-Präsidentin Claudia Plattner: "Wir müssen Cybersicherheit pragmatisch gestalten und im Rahmen des digitalen Verbraucherschutzes die Anwenderinnen und Anwender, wann immer es geht, aktiv schützen. Die Technische Richtlinie zur E-Mail-Authentifizierung setzt genau hier an." | BSIのクラウディア・プラットナー会長は、「サイバーセキュリティに対して現実的なアプローチをとり、デジタル消費者保護の一環として可能な限りユーザーを積極的に保護しなければならない。電子メール認証に関するテクニカルガイドラインは、まさにここにある。 |
| Die TR-03182 formuliert Maßnahmen, mit denen Inhalt und Absender einer E-Mail authentifiziert werden können. So wird mit Hilfe des Standards SPF (Sender Policy Framework) die grundsätzliche Berechtigung zum Senden von E-Mails im Auftrag einer bestimmten Domain geprüft. Der ebenfalls in der Technischen Richtlinie geforderte Standard DKIMDomain Key Identified Mail (Domain Key Identified Mail) bindet jede gesendete E-Mail kryptographisch an die Domain. Damit wird die bereits etablierte TR-03108 (Sicherer E-Mail-Transport), die sich auf den sicheren E-Mail-Transport von Punkt zu Punkt bezieht, fachlich und technisch ergänzt. So können Mail-Anbieter ihre Kundinnen und Kunden vor Identitätsmissbrauch (Spoofing und Phishing) und unberechtigtem Mitlesen und Manipulation (Man-in-the-middle-Angriffen) schützen. Selbst neu entdeckte Angriffsmethoden wie das SMTP-Smuggling werden durch das Umsetzen der Maßnahmen erschwert. | TR-03182は、電子メールの内容と送信者を認証するために使用できる手段を策定している。たとえば、SPF(Sender Policy Framework)標準は、特定のドメインに代わって電子メールを送信するための基本的な権限をチェックするために使用される。DKIM(Domain Key Identified Mail)規格は、技術ガイドラインでも要求されているもので、送信されるすべての電子メールをドメインに暗号的に結びつける。これは、すでに確立されているTR-03108(セキュア電子メール・トランスポート)を補完するもので、専門的にも技術的にも、ポイントからポイントへのセキュアな電子メール・トランスポートに関するものである。これにより、メールプロバイダはID詐欺(なりすましやフィッシング)および無許可の読み取りや操作(中間者攻撃)から顧客を保護することができる。SMTP密輸のような新たに発見された攻撃手法も、対策を実施することでより困難になる。 |
| Große Mail-Anbieter haben bereits angekündigt, für das massenhafte Zustellen von E-Mails künftig Mechanismen zur E-Mail-Authentifizierung zu fordern. Die TR-03182 berücksichtigt diese geforderten Technologien bereits. | 主要なメールプロバイダは、今後電子メールの大量配信に電子メール認証メカニズムを要求することをすでに発表している。TR-03182はすでにこれらの要求技術を考慮している。 |
技術文書...
・2024.02.16 BSI TR-03182 E-Mail-Authentifizierung
| BSI TR-03182 E-Mail-Authentifizierung | BSI TR-03182 電子メール認証 |
| Ein Großteil unserer Kommunikation findet heutzutage digital statt. Die E-Mail ist dabei nach wie vor ein weit verbreitetes Medium. E-Mail-Authentifizierung schützt vor Angriffen, bei denen die Identität vertrauenswürdiger Sender vorgegaukelt wird (z.B. Spoofing und Phishing). | 現在、コミュニケーションの大部分はデジタルで行われている。電子メールは今でも広く使われているメディアである。電子メール認証は、信頼できる送信者の身元を偽る攻撃(スプーフィングやフィッシ ングなど)から保護するものである。 |
| Die Technische Richtlinie "E-Mail-Authentifizierung" (BSI TR-03182) definiert prüfbare Anforderungen an E-Mail-Diensteanbieter. Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung authentischer E-Mail-Kommunikation. | 技術ガイドライン「電子メール認証」(BSI TR-03182)は、電子メール・サービス・ プロバイダのための検証可能な要件を定義している。技術ガイドライ ン(TR)の目的は、真正な電子メール・コミュニケーションの比較可能性と普及を高めること である。 |
| Ein "E-Mail-Diensteanbieter" oder "Betreiber eines E-Mail-Dienstes in seiner Organisation" kann mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen. | 電子メール・サービス・プロバイダ」または「組織内の電子メール・サービス運営者」は、 TR に準拠することによって、電子メール・サービスのセキュリティ性能の独立した証明を提 供することもできる。 |
| Idealerweise werden die Maßnahmen für E-Mail-Authentifizierung durch Maßnahmen für Sicheren E-Mail-Transport ergänzt. Hierzu wurde die Technische Richtlinie BSI TR-03108 Sicherer E-Mail-Transport veröffentlicht. | 理想的には、電子メール認証対策は、安全な電子メール伝送対策によって補完される。技術ガイドライン BSI TR-03108 Secure e-mail transport は、この目的のために発行された。 |
| Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182: | BSI TR-03108 および BSI TR-03182 の概念概要: |
 |
|
技術文書
本文...
・2024.01.14 BSI TR-03182 Email Authentication, Version 1.0
| Table of Contents | 目次 |
| 1 Introduction | 1 序文 |
| 2 Email Authentication | 2 電子メール本人認証 |
| 3 Objectives | 3 目的 |
| 4 Requirements | 4 要件 |
| 4.1 Functional Requirements | 4.1 機能要件 |
| 4.1.1 (TR-03182-01-M) SPF Record | 4.1.1 (TR-03182-01-M) SPFレコード |
| 4.1.2 (TR-03182-02-M) SPF Verification | 4.1.2 (TR-03182-02-M) SPF検証 |
| 4.1.3 (TR-03182-03-M) DKIM Key Material | 4.1.3 (TR-03182-03-M) DKIM 鍵材料 |
| 4.1.4 (TR-03182-04-M) Signing DKIM | 4.1.4 (TR-03182-04-M) DKIMへの署名 |
| 4.1.5 (TR-03182-05-M) DKIM Verification | 4.1.5 (TR-03182-05-M) DKIM 検証 |
| 4.1.6 (TR-03182-06-M) DMARC Policy | 4.1.6 (TR-03182-06-M) DMARCポリシー |
| 4.1.7 (TR-03182-07-M) Verifying DMARC | 4.1.7 (TR-03182-07-M) DMARCの検証 |
| 4.1.8 (TR-03182-08-M) Sending DMARC Reports | 4.1.8 (TR-03182-08-M) DMARCレポートの送信 |
| 4.1.9 (TR-03182-09-M) Receiving DMARC Reports | 4.1.9 (TR-03182-09-M) DMARC報告の受信 |
| 4.1.10 (TR-03182-10-M) Evaluating DMARC Reports | 4.1.10 (TR-03182-10-M) DMARC報告の評価 |
| 4.1.11 (TR-03182-11-M) Unused Domains | 4.1.11 (TR-03182-11-M) 未使用ドメイン |
| 4.2 Non-Functional Requirements | 4.2 非機能要件 |
| 4.2.1 (TR-03182-12-M) Security Concept | 4.2.1 (TR-03182-12-M) セキュリティ概念 |
| 4.2.2 (TR-03182-13-M) Data Protection | 4.2.2 (TR-03182-13-M) データ防御 |
| 4.2.3 (TR-03182-14-M) Mandatory Reporting | 4.2.3 (TR-03182-14-M) 報告の義務付け |
| 4.2.4 (TR-03182-15-M) Transparency | 4.2.4 (TR-03182-15-M) 透明性 |
| 5 Proof of Compliance | 5 コンプライアンスの証明 |
| 5.1 IT Security Labels | 5.1 ITセキュリティラベル |
| 5.2 Certification to Technical Guidelines | 5.2 技術ガイドラインに対する認証 |
| 6 Key Words for Requirement Levels | 6 要求レベルのキーワード |
| 7 Glossary | 7 用語集 |
| Bibliography | 参考文献 |
・2024.01.24 BSI TR-03182-P Testspecification, Version 1.0
目次...
| 1 Introduction | 1 序文 |
| 2 Testing | 2 テスト |
| 2.1 Interfaces | 2.1 インターフェース |
| 2.2 Target of Evaluation (TOE) | 2.2 評価対象(TOE) |
| 2.3 Conformity Email Test Infrastructure (CETI) | 2.3 適合性電子メールテスト基盤(CETI) |
| 2.4 Test Tools | 2.4 テストツール |
| 2.5 Test Messages | 2.5 テストメッセージ |
| 2.6 DNS-Resolution | 2.6 DNS解決 |
| 2.7 Authoritative DNSSEC | 2.7 権威あるDNSSEC |
| 2.8 Test Operator | 2.8 テストオペレーター |
| 3 Profiles | 3 プロファイル |
| 4 Implementation Conformance Statement | 4 実装適合性宣言 |
| 4.1 User Information Source | 4.1 ユーザー情報ソース |
| 4.2 Unused Domains | 4.2 未使用ドメイン |
| 4.3 Online Interfaces | 4.3 オンラインインターフェース |
| 4.4 Operational Information | 4.4 運用情報 |
| 4.5 DMARC Evaluation | 4.5 DMARCの評価 |
| 4.6 DMARC Quarantine | 4.6 DMARCの検疫 |
| 4.7 Profiles | 4.7 プロファイル |
| 4.8 DNS Resource Records | 4.8 DNSリソースレコード |
| 4.9 Location | 4.9 所在地 |
| 4.10 Certificate Information | 4.10 証明書情報 |
| 5 Configuration | 5 設定 |
| 5.1 Test Setup | 5.1 テスト設定 |
| 5.2 DNS Zone and Record Specification | 5.2 DNSゾーンとレコードの仕様 |
| 6 Test Cases | 6 テストケース |
| 6.1 Module A – User Interface | 6.1 モジュール A - ユーザーインターフェース |
| 6.2 Module B – DNSSEC | 6.2 モジュール B - DNSSEC |
| 6.3 Module C – Inbound SPF | 6.3 モジュール C - インバウンド SPF |
| 6.4 Module D – Outbound SPF | 6.4 モジュール D - 送信 SPF |
| 6.5 Module E – Inbound DKIM | 6.5 モジュール E - インバウンド DKIM |
| 6.6 Module F – Outbound DKIM | 6.6 モジュール F - アウトバウンド DKIM |
| 6.7 Module G – Inbound DMARC | 6.7 モジュール G - インバウンド DMARC |
| 6.8 Module H – Outbound DMARC | 6.8 モジュール H - アウトバウンド DMARC |
| 6.9 Module I – Inbound DMARC Reports | 6.9 モジュール I - インバウンド DMARC レポート |
| 6.10 Module J – Outbound DMARC Reports | 6.10 モジュール J - アウトバウンド DMARC レポート |
| 6.11 Module K – DMARC Monitoring | 6.11 モジュール K - DMARC 監視 |
| 6.12 Module L – Unused Domains | 6.12 モジュール L - 未使用ドメイン |
| 6.13 Security Concept | 6.13 セキュリティコンセプト |
| 7 Test Case Notation | 7 テストケースの表記 |
| 8 Keywords | 8 キーワード |
| Bibliography | 参考文献 |
Comments