見分けのつかない不正メール 対策の一つがBIMI
上村氏は、「DMARCが保護できる範囲は限定的」と指摘する。「ヘッダFrom」の詐称やなりすましなどは防げるものの、差出人として表示されるディスプレイネーム、正規のものと類似したドメイン、件名や本文はDMARCの保護の対象外だからだ。特に件名や本文は、AI技術の発展により、正規メールと見分けがつかないケースも増えている。
「少し前まで、フィッシングメールには、日本語に違和感のある文章が多く見受けられました。しかし、この数年は手口が非常に巧妙化しています。一般ユーザーが見分けるのは難しいでしょう」
上村氏は一例として、Amazon.co.jpを装ったフィッシングメールと正規メールの画面を並べて比較。「フィッシングメールの差出人名に半角スペースが入っている点以外は、目立った違いがない」と説明した。
「DMARCに対応しても、30%以上のフィッシングメールが認証をすり抜けるという報告もあります。配信したメールが『本物』だと、受信者にどう証明するかが課題です」
その解決策として注目されているのが、メールの送信主を明らかにするために受信トレイに企業ロゴを表示する技術「BIMI(Brand Indicators for Message Identification)」だ。開発にはGoogleなどの企業が関わっており、現在はGmailのほか、iCloudメールやauメールアプリなどが対応している。
Gmailの受信トレイでは、企業ロゴと「認証済み」を示すチェックマークの表示に加え、受信者がチェックマークをマウスオーバーした際に送信元の詳細を表示する仕組みが実装されている。
BIMIの導入は、プラットフォーマーだけでなく、楽天グループ株式会社やauじぶん銀行株式会社など、メールの配信数が多い企業でも進んでいる。
「BIMIの導入を、事前にプレスリリースなどでユーザーへ知らせる企業もあります。『自社の正規メールには企業ロゴを表示する』と積極的に示すこと自体が、セキュリティ対策になります」
現在は、企業のドメインからBIMI導入の有無を確認できるツールも登場しており、受信者が気軽に安全性を確かめられる土壌が整いつつある。
.jpg)
