メールを介したサイバー攻撃や、フィッシングメールは残念ながら増加の一途をたどっている。フィッシング対策協議会の調査によると、多少の増減はあるものの、特に 2023 年に入ってからは右肩上がりの状況だ。
しかしこの状況を座視することなく、業界が一丸となったなりすましメール対策も進んでいる。その 1 つが「DMARC」と呼ばれる技術だ。SPF や DKIM といった送信ドメイン認証のチェック結果を踏まえ、そのドメインの持ち主が、なりすましと思われるメールをどのように処理してほしいかを指示する仕組みで、ユーザーの元に自社をかたったなりすましメールが届かないよう制御することができる。
さらに、DMARC によってなりすましではないことが保証されているメールを受信した際に、受信者がよりそれを判別しやすくする仕組みとして「BIMI(Brand Indicators for Message Identification)」が提唱されている。DMARC の認証が通ったメールについては、メーラー上にその企業のブランドロゴなどを表示することで、なりすましではないことが一目でわかるようにする仕組みだ。
はたして BIMI は現在、どの程度普及しており、対応にあたってどんな課題があるのか。一連のメールなりすまし対策技術の推進にあたってきた株式会社TwoFive の開発マネージャー 加瀬 正樹 氏と、BIMI の実装に必要な認証マーク証明書(VMC)を発行するデジサート・ジャパン合同会社のプロダクトマーケティングマネージャー 林 正人 氏の両名が、これまでの歩みと今後の展望を語った。
●徐々に普及進む ~ 見た目でわかりやすく「正しいメール」を示す BIMI
加瀬:TwoFive はメッセージセキュリティ企業として、DMARC の導入率を定期的に調査し、レポートを公開してきました。この一年ほどは特に、政府の後押しもあって確実に普及しています。そして BIMI についても徐々に、けれど確実に増加していることが見て取れます。特にブランドロゴの表示に必要な「認証マーク証明書(VMC:Verified Mark Certificate)」を取得しているドメインが増えており、最新の 2023 年 6 月時点で約 1,000 件に上っています(TwoFive調べ)。
BIMI対応時の前提条件の一つが、DMARC に対応し、かつポリシーを強制力のある quarantine 以上の設定に切り替えることです。これは企業にとって厳しい条件であることも事実であり、一気に導入するのはそう簡単ではありませんが、それでも徐々に増加しているのを見ると、多くの皆さんが興味を持ち始めているように思います。
林:グローバルも含めると、やはり対応企業はどんどん増えていますね。これまで DMARC への対応にはハードルがあったように思いますが、ようやく最近になって火が付き、それに伴って BIMI対応も増加しています。今後さらに DMARC が普及し、またメーラー側の対応が拡大すれば、BIMI はさらに一般的になっていくと期待しています。
BIMI は、メーラーの中でロゴを見せる形で、そのブランドが DMARC にきちんと対応していることを担保し、視覚的にわかりやすくする規格です。VMC という証明書を組み合わせることによって、攻撃者がそう簡単には詐称できないようにしています。VMC は、認証局がその企業の存在や営業状況を確認し、指定したロゴの所有権を持っているかどうかを確認してはじめて取得できるものなので、そこが防波堤になり、「BIMI でロゴが表示されるものは、きちんとその所有者から送られたものであり、信頼できるところですよ」と理解いただける仕組みになっています。
加瀬:そうですね。BIMI には見た目でわかりやすいという特徴があります。皆さんがよく知っているアマゾンや楽天といったサービスのロゴがメールアドレスの差出人のところに表示されるため、マーケティング的メリットもあり、認識されやすいこともポイントでしょう。企業を代表するロゴを表示することで会社のブランドを守り、プレゼンス向上にもつながるため、企業としてのインセンティブにもなると思います。
●落とし穴はどこに、BIMI の 3大設定不備とは?
加瀬:一方で、5 月に公開した TwoFive が行った調査によれば、VMC の設定状況に不備があるケースが 29.1 %見られました。大半は VMC で取得した証明書と実際のドメインが一致しないケースです。ひとつは VMC の方で親ドメインではなくサブドメインを設定しているためにロゴが表示されない、といった場合があるかと思います。
次に多いのは VMC の有効期限が切れてしまったケースです。VMC に限らず、手動で証明書を管理していると更新漏れや設定変更の漏れが生じがちです。
そして三番目は、VMC と画像の不一致です。VMC には表示すべきロゴ画像のハッシュ値の情報が含まれていますが、それを実際の画像のハッシュと突合しても一致しなかった場合が該当します。おそらくオペレーションミスや管理ミスに起因するように思います。
林:もう一つ大きなハードルがあると感じています。ロゴ画像の準備です。BIMI で使うロゴ画像は商標登録しておく必要があります。ただ、商標登録は行っていても、その後合併などさまざまな理由で社名が変更された際に、特許庁申請時の社名を変更しておらず、前のままだったといったケースもあります。
また、Gmail や Apple Mail など BIMI に対応したメールアプリケーションでは、ほとんどがロゴ画像を円形の枠の中に表示します。しかし企業のロゴが横長ですと、枠に入れてしまうとよく見えずに判別しづらかったり、見栄えが悪いといったことが起こり得ます。ブランディング戦略の中でどういったロゴを使いたいのか、場合によっては別のロゴを使うのか、といった事柄をきちんと精査した上で進めることが必要になります。
加瀬:実際に TwoFive でも、VMC の購入を検討されているお客様から「商標登録はしているけれども、これで VMC を登録できるのか」「ロゴはどのように見えるのか」といった事柄を気にされる企業様が多くありました。デジサートさんのサポートではこうした疑問に可能な範囲で回答していただけるので、多くの企業の助けになっていると思います。
林:BIMI対応では、これまで証明書や ITシステムにあまり接点のなかったデザイナーやマーケティングといった方々が関わってくることもあり、ロゴ画像について苦労される方が多い印象がありますね。VMC で利用する画像ファイルは、SVG Portable/Secure(SVG-ps)というやや特殊な形式になるのですが、たとえば、Illustrator でロゴファイルを調整していく際についクセで余計なレイヤーを追加してしまったり、レイヤー名に日本語を入れてしまったり……といったことでエラーが発生する場合があります。そういった Tips や注意点については、弊社のブログでも紹介しています。
加瀬:いまお話がありましたが、DMARC対応に関してはエンジニアが所属する IT部門や技術部門で解決できる部分が多いのですが、BIMI への対応となると、法務や広報、マーケティングといった複数の部門が共同する取り組みになります。そこでうまくスクラムを組んでいく必要もあるかと思います。
林:DMARC はいろんな部署との調整が必要で、どんな部署がどんなメールを送っているのか、その際外部のどんなサービスを使っているのかといったことを調べ上げる必要があります。これはこれで大変な作業ですが、BIMI を導入する段階ではそれらがすでに整理された状態となっているため、BIMI の難易度は DMARC ほど高くはないと思います。
●ホスティング機能で VMC証明書の管理を自動化し、ミスの削減を
加瀬:とはいえ、調査でも明らかになったように、こうした調整を経てせっかく BIMI を導入しても、設定ミスによって効果が得られないケースもあります。原因としてはやはり期限切れや設定ミス、管理ミスが多いと思われます。
証明書というと、多くの方は「SSL サーバ証明書」をイメージすると思います。SSLサーバ証明書も、今は基本的に約 12カ月で更新が必要となっており、そのたびに証明書や鍵を配置するといった作業が発生します。VMC も同様に有効期限が設けられており、定期的な更新が必要です。そのあたりをうまく自動化していくことが、運用のポイントだと考えています。
たとえばデジサートさんでは、申請サイト「CertCentral」の中で、これらの更新の手間を省けるホスティング機能を無料で提供されていますね。デジサートさんが用意したホストにロゴ画像や証明書を配置すると、自分たちで一年に一度更新する必要がなく、自動的に更新されます。更新作業そのものが不要になる上に、それに付随する DNS上の URL の書き換えといった作業も省けます。また、証明書に含まれるロゴのハッシュ値についても、申請時に使われたロゴをそのままホスティングするので間違ったファイルをサーバにホストすることにより起こる VMC とロゴ画像の不一致といったミスも気にしなくてよくなると思います。
林:デジサートではちょうど二年前、2021 年 7 月から VMC発行サービスを開始しました。最初は証明書の発行だけを行っていましたが、付随するホスティングサーバや CDN の準備であったり、証明書とロゴの管理といった部分にも留意しなければいけない、というお客様のペインポイントを減らしていくために生まれたのが、このホスティングサービスになります。自分で画像をホストすることもできますが、デジサートに任せていただくことで、証明書も画像も一括で管理できるため、負荷の面でも楽になると思います。
証明書の更新はどうしても作業と作業の間隔が空いてしまうので、「どうやればよかったんだっけ?」となりがちです。その点、CertCentral は非常にわかりやすく、ユーザーフレンドリーに作っているため、迷わずすぐに発行・更新ができます。
加瀬:私どものお客様の一社で、12 月に最初に VMC を取得されたところがありました。次の更新時期がちょうど年末年始に当たるため、できる限りメンテナンスをしたくない、サーバに手を付けたくない……と悩まれていました。そういった場合には、ホスティングによって自動的に更新される仕組みがあれば非常に楽だと感じます。
また、デジサートさんではディスカウント付きの長期利用プランも用意していますよね。基本的に、一度 BIMI でロゴを表示し始めたらそれ以降も継続することになるため、こうしたプランを検討されるのもいいと思います。
TwoFive はデジサートさんの販売代理店として、VMC で得られる価値をお客様にお伝えし、CertCentral ならではのメリットやロゴ表示にまつわるポイントなどもお伝えしながら提案しています。もちろん、BIMI や VMC の前提として「DMARC の運用をどうしたらいいかわからない」といったお悩みがあれば、メールセキュリティ企業としてお手伝いさせていただく形で連携しています。
林:デジサートはこれまで、どちらかというとサーバ側のサービスを中心にしてきたため、eメール関連サービスの経験となるとまだまだの部分があります。その点 TwoFiveさんはメールセキュリティの第一人者であると認識していました。そこをすべてカバーいただけ、お客様としっかり信頼関係でつながっていらっしゃるという意味で、TwoFiveさんは非常に価値のあるパートナーであり、頼りにしていますし、これから普及活動を一緒に推進していきたいと考えています。
●BIMI のさらなる普及を通してメール経由の脅威の削減を
加瀬:BIMI は DMARC と同様、送信する側と受信する側の両方が対応することで、価値が高まる仕組みです。ですので今後は特に、受信側、BIMI を表示する側のメールサービスやメールアプリの裾野を広げられるよう、手助けしていければと考えています。また、VMC そのものについても、より付加価値を高められるような仕組みを実現できればいいなと思っており、これからもいろいろ考えていきたいと思います。
林:両社ともフィッシング対策協議会に参加しており、メールの安全性に関していろいろと訴求してきました。そういった活動をもっともっと強化していきたいと思いますし、二社共同のセミナーを通しても情報を発信できればと考えています。
フィッシングもサイバー攻撃も、大半のきっかけはメールです。ただ、普通のユーザーさんに「ヘッダーを見て確認してください」といっても、おそらく無理でしょう。本当の送り主が誰かを簡単に見分けられる BIMI という方法を広げるのが一番であり、それがお客様のためにも、メールを受け取るエンドユーザー様のためにもなると考えています。今はまだメールがサイバー攻撃の脅威の大きな入口になっているので、その入口をなるべく狭めていく戦略を、これからも進めていければと思います。
