フィッシング対策協議会、サービス事業者に向けなりすまし送信メール対策を呼びかけ

　フィッシング対策協議会は7月14日、サービス事業者に向け「なりすまし送信メール対策について」の記事を公開した。

　同会では、メール差出人に正規のメールアドレス（ドメイン）を使用した「なりすまし送信メール」が2020年以降急増しフィッシングメールの半分以上を占め、正規のメールであると誤認しフィッシング詐欺にあうケースが増加していると指摘し、その対策として送信ドメイン認証について解説している。

　送信ドメイン認証は、受信したメールが正規の送信元から送られてきたかを検証できる技術で、SPF、DKIM、DMARCの3種類があり、なりすまし送信メールはSPFやDKIM単体では検証をすりぬけることがあるが、DMARCの使用で検出できる。

　同会では事業者に対し、送信ドメイン認証をサポートしているメールサービス（受信側）が検証するために、下記情報をDNSで公開する必要があるとしている。

SPF：送信側メールサーバの IP アドレス
DKIM：メールに付加された電子署名を検証するための公開鍵
DMARC：受信者が認証に失敗した場合のポリシー（メールの取り扱い）、その検証結果をドメイン管理者へレポートしてもらうためのメールアドレス

　同会では、送信ドメイン認証に対応することで、メール受信側で正規メールかなりすまし送信メールかの検証ができる、正規メールであることをユーザーが視認できるBIMI（Brand Indicators for Message Identification）、Yahoo! ブランドアイコン表示、ドコモメール公式アカウント表示を利用できることをメリットとして挙げている。