Zenn
🖊️

DMARCレポートをJPCERT/CCに送ってみたら分かったこと

に公開
DMARC
jpcert
なりすましメール
インシデント報告
不審ip
idea

▶ はじめに

DMARCレポートを毎日見ているけれど、この情報はどこまで活用できるのか?
そんな疑問から、2025年8月に観測した不審な送信をまとめて
国内の調整窓口である JPCERT/CC に通報してみました。

▶ 8月に観測された不審送信の概要

DMARCレポートを解析した結果、以下のような傾向が見られました。

  • ベトナムのホスティング事業者経由の送信
  • ロシアやチェコなどヨーロッパ地域のISP経由の送信
  • 米国のクラウド(Azure、Comcastなど)からの送信
  • ドイツやフランスの大手ホスティング事業者からの送信
  • インドやノルウェーなど、過去に見なかった新規の国からの送信

いずれも SPF/DKIM が fail → DMARC reject されており、受信者には届いていません。
しかし、こうした送信が実際に行われていること自体は無視できません。

▶ JPCERT/CCとは?

JPCERT/CC(Japan Computer Emergency Response Team Coordination Center) は、
日本国内のサイバーセキュリティインシデントの調整を担う民間非営利組織です。

  • 日本初の CSIRT として設立
  • CSIRT(Computer Security Incident Response Team) とは、
    サイバー攻撃や不審アクセスといった セキュリティ事故対応を専門に行うチーム のこと
  • JPCERT/CCは、政府・警察・ISP・海外のCERTと連携し、報告された攻撃情報を整理・共有する役割を担っています

国内窓口なので、海外ISPやクラウド事業者に直接通報する負担を軽減できる点が大きなメリットです。

▶ 通報してみた

今回、8月分の不審送信の概要を整理し、JPCERT/CCへメールで報告しました。
報告の目的は「関係先への連絡を希望」です。

実際に提供したのは、次のような項目です。

  • 日付(観測された日)
  • 不審IPアドレス(※記事では非公開)
  • 国・組織(例:米国のクラウド事業者、チェコのISPなど)
  • 認証結果(SPF/DKIM/DMARCのfail状況)
  • レポート送付元(Outlook、Google、Seznam、KDDIなど)

▶ JPCERT/CCからの返答

すぐに返信があり、報告は受理されました。
ただし、以下の点が明確になりました。

  • DMARCレポートだけでは調整依頼は難しい
    → JPCERT/CCが関係するISP等に連絡するには、
    メールヘッダに含まれる「送信時刻」など詳細が必要
  • DMARCレポートは参考情報として記録される
    → 状況把握や分析には活用される
  • 実際のなりすましメール本体やヘッダが重要
    → 今後、調整を依頼する場合にはこれが必須

▶ 分かったことと今後

  • DMARCレポートは 攻撃の傾向把握や内部分析 には役立つ
  • ただし 対外的な調整に使うには限界がある
  • 実際のメールやヘッダを入手できれば、さらに有効な通報につながる
  • 海外ISPへ直接通報する選択肢もあるが、手間が大きいため、
    今回は国内の JPCERT/CCを通報窓口にする 方針にした

▶ まとめ

  • 2025年8月は、数は減ったが、世界各国のISPやクラウドからなりすまし送信が観測された
  • DMARCレポートを整理して JPCERT/CCに報告
  • 結果 → 「参考情報」として記録され、分析に役立ててもらえる
  • 今後は 実際のメールやヘッダ を確保できれば、より実効性のある調整につながる

✍️ この記事は、DMARCレポートを活用してJPCERT/CCに通報した実体験の記録です。
同じようにレポートを受け取っている方の参考になれば幸いです。

Discussion