ここ数週間、私たちは kafkai.com のドメインにおけるDMARC失敗レポートの急激な増加を監視している。監視サービスのURIPortsが先週の報告サイクルで、DMARC検証に失敗したメッセージが43.2%増加したとフラグを立てた。これらのメールは私たちから送られているわけではない。何者かがkafkai.comのドメインを装ってフィッシングキャンペーンを行っており、私たちは皆さんに状況を知ってもらい、自分自身を守る方法を伝えたいと考えている。

現在確認されていること

レポートは一貫している。何者かがkafkai.comのアドレスを名乗る偽造されたFrom:ヘッダーでメールを送っている。これらのメッセージは、日本とアメリカのプロバイダー、主にNTT Docomo、KDDI、Spectrum、Verizonといった通信事業者の回線から大量に流れている。メールはDKIMとSPFの両方で失敗しており、私たちのインフラストラクチャーによって何らかの形で認証されているわけではない。単に私たちのふりをしているだけだ。

Screenshot of a data table showing DMARC fail reports for kafkai.com, featuring columns for Source IP and SPF status.

私たちが取った対策

kafkai.comのDMARCポリシーは既にrejectに設定されている。

v=DMARC1; p=reject; aspf=r; adkim=r; ...

これは、DMARCをチェックする受信メールサーバーに対し、SPFとDKIMの両方が揃わないメッセージは問答無用で拒否せよという指示である。実際には、適切に設定されたプロバイダーはそのメッセージを破棄するか、最低限スパムフォルダに振り分けるはずだ。私たちが見ているデータでは、ほとんどのプロバイダーがまさにそのように対応している: 報告された処分はrejectとなっている。

また、ホスティングおよびメールプロバイダーとともに、被害を最小限に抑えるための追加対策も検討している。

皆さんに取っていただきたい対策

厳格なDMARCポリシーが設定されていても、インターネット上のすべてのメールプロバイダーがそれを強制しているわけではない。小規模なプロバイダーや、適切に設定されていないシステムでは、メッセージをインボックスに届けてしまう可能性もある。よくある話だ。そこで簡単な注意喚起を:

  • 私たちは、パスワード、支払い情報、確認コードを求める不請自メールを送ることはありません。 kafkai.comを名乗るメールがそのようなものを求めてきたら、それは私たちからのものではない。
  • 実際の送信者アドレスを慎重に確認してください。 表示名は「Kafkai」や公式っぽい名前になっているかもしれないが、重要なのはその裏にあるメールアドレスだ。綴りの間違いや不自然なドメインを見逃さないように。
  • 予期しないメールの添付ファイルを開いたり、リンクをクリックしたりしないでください。 不安なら、メールのリンクを辿るのではなく、新しいブラウザタブを開いてkafkai.comkafkai.aiに直接アクセスしてください。
  • 疑わしい場合は、私たちに直接ご連絡ください。 kafkai.comのお問い合わせフォーム、または皆さんが私たちの製品を利用している場合の既存のサポートチャネルからご連絡いただけます。

メールインフラストラクチャーに関する補足

私たちは自社のメールサービスを慎重に運用している。独自ドメインのメール転送サービスであるKaiMailや、その他のメールインフラストラクチャーは、メール認証が重要だという前提のもとに構築されている。これらの偽造メッセージがすべてのチェックで失敗しているという事実は、逆説的ではあるが、システムが設計通りに動作している証左とも言える。失敗は検出されている。問題なのは、チェックを行わない少数のメールサーバーだ。

もし皆さんのところにもこのようなメッセージが届き、何をすればいいかわからなかったとしたら、混乱させてしまって申し訳ない。悪いことをしていない側が謝罪し、他の人に罠に落ちないよう注意しなければならないというのは、実に哀しいことだが、世の中そういうものである。

私たちは状況を継続的に監視し続け、何か変化があればこの記事を更新する。