フィッシング被害が急増 企業で広がるDMARC対応
通信データの暗号化に必要な電子証明書の認証局を運営するデジサートは、「SSLを誰にとっても簡単に」の理念のもと、2003年に米国で立ち上げられた。法人向けに、TLS/SSLサーバ証明書やPKI(Public Key Infrastructure)、IoT、署名ソリューションなどを提供している。その日本法人がデジサート・ジャパンだ。
「当社のコンセプトは、“デジタルトラスト”です。顔が見えないインターネットの世界で、ウェブサイトやサービスの信頼を確立するソリューションを提供しています」
上村氏は、セッション冒頭で、2023年11月にセコム株式会社が発表した「日本人の不安に関する意識調査」に触れた。本調査では、「最近1年で不安を感じた出来事」の1位が、「偽メールや詐欺サイトを通じたフィッシング詐欺」となっている。2位の「無差別の通り魔事件」、3位の「空き巣などの住宅侵入」を上回り、フィッシングに対する消費者の不安がうかがえる結果だ。
実際、警視庁の発表:フィッシングと見られる不正送金によると、2023年のフィッシングと見られる不正送金の被害件数は、前年比4.5倍に急増したという。上村氏は「AI技術の発展により、正規メールとの区別が難しくなっている」と話す。
こうした状況を受け、EC事業者も対策を迫られている。たとえば、送信ドメイン認証のなりすましを防ぐ仕組み「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」への対応だ。
送信ドメインの認証には、IPアドレスによる認証「SPF」と、電子署名によって改ざんの有無を判断する「DKIM」がある。DMARCでは、この二つの認証が失敗したメールをどう扱うか、ポリシーを設定できる。
ポリシーは3種類ある。一つ目の「none」は、何も処理をせずにそのままメールを送信する設定だ。二つ目の「quarantine(隔離)」は、認証に失敗したメールを迷惑メールフォルダに分類し、三つ目の「reject(拒否)」は、認証できなかったメールを受信しないよう設定できる。送信者はDMARC認証のレポートを受け取れるため、どのようなメールが認証に失敗しているか確認可能だ。
Googleが2023年10月に発表したGmailの新ガイドラインでも、送信ドメインの認証が求められている。1日5,000件以上のメールをGmail宛に配信する場合は、「SPFとDKIMのメール認証の設定」「送信元ドメインでのDMARCポリシーを設定する」といった要件を満たさなければならない。同ガイドラインの発表による影響もあり、大手企業を中心にDMARCへの対応が進んでいる。
見分けのつかない不正メール 対策の一つがBIMI
上村氏は、「DMARCが保護できる範囲は限定的」と指摘する。「ヘッダFrom」の詐称やなりすましなどは防げるものの、差出人として表示されるディスプレイネーム、正規のものと類似したドメイン、件名や本文はDMARCの保護の対象外だからだ。特に件名や本文は、AI技術の発展により、正規メールと見分けがつかないケースも増えている。
「少し前まで、フィッシングメールには、日本語に違和感のある文章が多く見受けられました。しかし、この数年は手口が非常に巧妙化しています。一般ユーザーが見分けるのは難しいでしょう」
上村氏は一例として、Amazon.co.jpを装ったフィッシングメールと正規メールの画面を並べて比較。「フィッシングメールの差出人名に半角スペースが入っている点以外は、目立った違いがない」と説明した。
「DMARCに対応しても、30%以上のフィッシングメールが認証をすり抜けるという報告もあります。配信したメールが『本物』だと、受信者にどう証明するかが課題です」
その解決策として注目されているのが、メールの送信主を明らかにするために受信トレイに企業ロゴを表示する技術「BIMI(Brand Indicators for Message Identification)」だ。開発にはGoogleなどの企業が関わっており、現在はGmailのほか、iCloudメールやauメールアプリなどが対応している。
Gmailの受信トレイでは、企業ロゴと「認証済み」を示すチェックマークの表示に加え、受信者がチェックマークをマウスオーバーした際に送信元の詳細を表示する仕組みが実装されている。
BIMIの導入は、プラットフォーマーだけでなく、楽天グループ株式会社やauじぶん銀行株式会社など、メールの配信数が多い企業でも進んでいる。
「BIMIの導入を、事前にプレスリリースなどでユーザーへ知らせる企業もあります。『自社の正規メールには企業ロゴを表示する』と積極的に示すこと自体が、セキュリティ対策になります」
現在は、企業のドメインからBIMI導入の有無を確認できるツールも登場しており、受信者が気軽に安全性を確かめられる土壌が整いつつある。
メール開封率の向上やブランディング効果も
BIMIの導入によるメリットは、多岐にわたる。まずは、エンドユーザーに安心感を届けられる点だ。加えて、メール開封率の改善にも効果的といえる。上村氏は、「BIMIの導入によって、メール開封率が10%以上向上した海外事例もある」と強調した。また、企業ロゴの表示によるブランディング効果、認知獲得、問い合わせ対応の負担軽減も期待できるという。
「BIMIの導入後、フィッシングメールに関する問い合わせが削減された企業もあります。自社が配信するメールの正当性を受信者に証明できるのは、大きなメリットです」
さらに、実施しているセキュリティ対策の可視化は、各企業への信頼につながる。
「DMARCへの対応は重要ですが、受信者側の立場からは見えづらい仕組みです。わかりやすく企業ロゴを表示し、正規メールだと視覚的に伝えることで、受信者に安心を届けられるでしょう。結果的に、受信者がメールを開封した後に記載されたリンクをクリックし、遷移先で安全に買い物をするという流れが生まれます」
一方、BIMIによる企業ロゴの表示には、要件が大きく二つある。一つ目が「DMARCへの準拠」だ。DMARCのポリシーを「quarantine(隔離)」あるいは「reject(拒否)」に設定する必要がある。
二つ目の要件は、「VMC(Verified Mark Certificate/認証マーク証明書)の取得となっている。これは、デジサート・ジャパンなどの公的に信頼された認証局による登記簿などの確認や、企業ロゴの商標登録を経て発行されるものだ。
ここで上村氏は、人事労務系のクラウドサービスを提供する株式会社SmartHRの事例を挙げた。同社は、なりすましメールの排除を目的に、いち早くDMARCとBIMIを導入。DMARCの設定によって、ドメインの不正使用やなりすましを防いだ上でBIMIに対応し、企業の信頼性と好感度の向上に成功した。
上村氏は、最後に本セッションのポイントを改めて説明するとともに、メール配信の仕組みの見直しを呼びかけた。
「フィッシングメールや不正送金の被害が急増し、消費者の不安も大きくなっています。その不安を取り除くために、DMARC対応は必須です。しかし、それだけではすべての被害を防げません。受信者目線で正規メールをわかりやすく区別できるBIMIなら、安心感を与えるだけでなく、メール開封率やクリック率の向上、自社ECサイトへのアクセス増加という副次的効果も得られます。より確実な対策として、DMARCとBIMIの両方を導入するのがおすすめです」
