Googleは不正なメールや迷惑メールを防止するため、個人用Gmailアカウントにメールを送信する場合、「メール送信者のガイドライン」への準拠を求めている。このガイドラインでは、今年4月から、1日当たりのメール送信件数が5,000件以上の場合、ドメインにDMARC認証を実装することを求めており、企業は対応に追われている。

こうした中、横浜銀行はフィッシング対策として、日本プルーフポイントとデジサートの製品を導入して、DMARC(Domain-based Message Authentication, Reporting and Conformance)とBIMI(Brand Indicators for Message Identification)に対応した。同行はDMARCとBIMIへの対応を進めるにあたり、どのような課題を乗り越えたのだろうか。

横浜銀行の取り組みを紹介する前に、DMARCとBIMIについて整理しておきたい。

SPFとDKIMによる認証だけでは攻撃者を防御しきれない

DMARCは、メールの認証、ポリシー、レポーティングに関するプロトコル。メールの送信ドメイン認証技術として普及しているSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)プロトコルをベースに、作成者(「From:」)のドメイン名との関連付け、認証に失敗した場合に受信者がメールを処理する方法を定める公開ポリシーや送信者へのレポーティングを追加することで、ドメインを不正なメールから保護し、モニタリングする。

ただし、組織内で認識をしていないメール送信システムも存在するため、SPFやDKIMの設定に苦労することも少なくありません。また受信したエラーレポートを理解するのは難しく、ツールを利用するのが一般的

日本プルーフポイント チーフ エバンジェリスト 増田幸美氏は、「メールの仕組みのセキュリティは弱い。送信元アドレスは誰でも書き換えられるので、隠れた認証は危険」と指摘した。

  • 日本プルーフポイント チーフ エバンジェリスト 増田幸美氏

SPFとDKIMによる認証は攻撃者からのメールもパスしてしまうので、隠れた認証は危険だという。増田氏は、DMARCならなりすまされたドメイン保有者側で、詐欺メールをコントロールできるとして、そのメリットを強調した。

DMARCは「None(監視のみ)」「Quarantine(隔離)」「Reject(拒否)」という3つの段階がある。

  • 「None(監視のみ)」「Quarantine(隔離)」「Reject(拒否)」という3つの段階から成るDMARC

DMARCを補完するBIMI

増田氏は、「DMARCはドメインのなりすましを防ぐことができるが、さらに、BIMIによりメールにロゴを表示させると、すべてのなりすましメールに気づきを与えることができる」と説明した。

BIMIは、DMARCが設定されているドメインを保有する組織に対し、商標登録済みロゴと組織の認証を行うことで電子証明書を発行するメール認証規格。DMARCにはドメインの偽装に効果がある一方、受信者に正規メールであるのか伝わりにくいという側面があり、BIMIによってそこを補える。

デジサートは組織が実在し、商標登録済みロゴをその組織が有していることなどを認証することにより、GmailやiPhoneなどの受信者のメールに組織のロゴを表示している。

  • BIMIによってロゴを表示しているメールのイメージ

デジサート・ジャパン プロダクトマーケティング部 プロダクトマーケティングマネージャー 林正人氏は、メールにロゴが表示される効果について、次のように説明した。

「GoogleがGmailに実装しているブルーのチェックマークと企業のロゴを合わせることで、受信者に安心を与えられる。ロゴの効果として、ブランドの保護、DMARC対応の照明、メールの開封率の向上がある。メールの種類によるが、10%から30%開封率が上がると言われている」

  • デジサート・ジャパン プロダクトマーケティング部 プロダクトマーケティングマネージャー 林正人氏

林氏は、同社が表示するロゴの安全性について、証明書の認証時に登録商標と相違がないことを確認していると述べた。「登録商標に登録がないロゴ」「ロゴの所有者と申請組織名が一致しない場合」は認証に通らない。

現在、Apple、au、GoogleなどのメーラーがBIMIに対応しているが、Microsoftでも意見を求める動きが見られており、今後の対応が期待されるという。

予想以上に多かった送信失敗メール、その原因は?

説明会では、プルーフポイントのDMARCソリューション、デジサートのBIMIを導入できる認証マーク証明書(VMC)を導入した横浜銀行 ICT推進部 五十嵐 俊行氏が、DMARCとBIMIの導入について説明した。

  • 横浜銀行 ICT推進部 五十嵐俊行氏

五十嵐氏は、DMARCを導入したきっかけについて、次のように語った。

「2023年に、サイバー攻撃の被害が多かったクレジットカード業界に対し、DMARC導入の要請があったことから、意識し始めた。そして2024年、当行もフィッシングメールの攻撃を受け、相当の被害が出た。これを受け、経営陣もフィッシングをどうしたら防げるかを考えるようになり、DMARCとBIMIを導入するという方向性を決めた」

適切な設定を行わないと顧客にメールが届かない可能性があることから、「じっくり時間をかけて取り組もうと思っていた」と五十嵐氏。しかし、前述したように、Googleから1日当たりのメール送信件数が5,000件以上の場合、ドメインにDMARC認証を実装することを求めるガイドラインが出たことから、それに応じてDMARCとBIMIの導入を進めることとなった。

「お客様の3割から4割がGmailを使っているので、メールマガジンが届けられなくなるのは大きなダメージ。1年2年かけて導入するなんて言ってられない」(五十嵐氏)

とはいえ、同行におけるDMARCの導入はすんなり完了したわけではなかった。

五十嵐氏は、導入における課題として、業務メールを送信しているシステムを把握できなかったことを挙げた。同行は、顧客に対し、異なるベンダーのシステムから複数のメールを送信しているため、ICT推進部で調整したという。

先述したように、DMARCは3つのレベルがあり、同行は「None」からスタートした。五十嵐氏は、「メール送信の失敗率がどの程度になったら、「隔離」「リジェクト」といったレベルに上げられるのか、その判断基準がわからなかった」と話した。

プルーフポイントからは、メール送信の失敗率が0.3%程度まで下がったら、次のレベルに上げてはいいのではというアドバイスがあったが、五十嵐氏は「DMARCの失敗メールが想像以上に多かった」と振り返った。

レポートを分析した結果、その多くは、顧客の会社のメールサーバがARCの設定を行っていなかったために、宛先との関係がわからなくて転送できなくなっていることがわかったという。

この問題に対応することで、メール送信の失敗率が0.3%に達したことで、一番上のレベルの「リジェクト」に切り替えた。増田氏によると「第1段階から第3段階まで達するには時間がかかる」とのことで、同行の取り組みは珍しいようだ。

また、五十嵐氏はBIMIを導入した理由について、次のように説明した。

「ICT推進部は守りの案件が多い。BIMIは外部に対して先進的に発信できる取り組みなので、担当者のやりがいを踏まえてやるべきと考え、上司を説得して導入を進めた。攻めの施策ができてよかった」

五十嵐氏は、「今後、いろいろな会社がBIMIに対応して、どの会社のメールにもロゴが入っている、そんな世界観を実現できると、ロゴのないメールが怪しいと思ってもらえるようになる」と、今後のメールセキュリティに対する展望を語っていた。