フィッシングメールが増加し続け、注意喚起されるたびに浮上する疑問が、「そもそもどうすれば疑わしいメールと本物のメールを見分けられるのか」ということだ。フィッシングメールは実際のメールをコピーして使うことも多いため、本文だけでは見分けが付かない。また、メールの仕様上、「差出人」欄に表示される送信元情報を偽装して送ることも容易だ。
そんな中、一つの解決策として注目を集めている技術が「BIMI」(Brand Indicators for Message Identification)だ。DMARC認証をパスしたメールに対し、企業やブランドのロゴを表示させることで、なりすましメールではないことをユーザーにわかりやすく示すもので、フィッシング対策としてだけでなく、メールの開封率やブランド認知の向上といった効果も期待されている。
ただ、DMARC は日本でも徐々に普及してきたのに対し、BIMI の導入はまだまだこれからだ。2024 年 11 月 11 日、12 日に行われた「JPAAWG 7th General Meeting」のセッション「BIMIの対応って大変なの? BIMI対応企業パネルディスカッション」では、国内でいち早く BIMI を導入した楽天グループと KDDI の担当者を招き、導入時のポイントや効果などを紹介した。
●「メールを読ませる技術」にもなりつつあるBIMI
あらためて確認すると、BIMI とは、DMARC認証をパスした場合に、ブランドのロゴ画像を表示する送信ドメイン認証技術だ。
日本スマートフォンセキュリティ協会(JSSEC)/KDDI の本間輝彰氏は、「JSSEC ではフィッシングメールに対し、点ではなく面で、入口から出口までという観点で対策を考えています。中でも、まず入口の部分で利用者に安全なメールをわかりやすく示す手段として BIMI が優れていると考え、推奨しています」と述べた。
ただ、BIMI でロゴを表示するにはいくつか条件がある。まず SPF や DKIM を設定し、その上で DMARC を、ポリシーが quarantine もしくは reject の状態で設定する必要がある。さらに、表示したいロゴの商標登録を行い、認証局から「認証マーク証明書」(VMC:Verified Mark Certificates)を取得し、証明書申請時に使用した SVG-PS(以下、SVG)形式のロゴ画像ファイルとともにインターネット上で公開することが必要だ。
なぜ BIMI には、VMC という専用の証明書が必要なのだろうか。電子証明書を発行する認証局の一つであるデジサート・ジャパンの林正人氏は、Web における認証と通信の暗号化に用いることができる TLS証明書と比較しながら、その理由を説明した。
TLS証明書は商用の認証局のほか、Let's Encrypt のようなフリーの認証局でも無償で発行できる。それも、メールの到達性さえ確認できればすぐに発行できるケースが多い。これは手軽な反面、「悪意ある攻撃者であっても、正規のドメインに類似したドメイン名を取得し、そのドメインに対する証明書を取得できてしまうことになります」(林氏)
デジサートなどの商用の認証局ではこうした事態を防ぐため、登記簿謄本などと申請情報を突合することにより「本当にその会社が存在しているか」を確認し、組織のロゴが登録商標データベースにあることを確認した上で証明書を発行するため、実態のない組織による取得を防いでいる。「攻撃者による証明書の取得を技術的に防ぐだけでなく、手間をかけさせることでコスト的にも防いでいます」(林氏)。こうした取り組みはまた、適切な認証を経た人だけがオンラインという確認が難しい世界で正当性を明示できる「デジタルトラスト」の世界にもつながるとした。
こういった技術の上に成り立っているのが BIMI だ。「DMARC はあくまでも送信元がなりすまされていないことを示す技術であり、フィッシング対策ではないと考えています。その DMARC を生かす技術が BIMI です」と本間氏は述べた。
繰り返しになるが、ごく普通の利用者に「送信元を確認してください」と言っても難しく、タイミングによっては詳しい人ですらだまされてしまう可能性がある。「利用者に対して過度な期待をかけるやり方は、そもそもセキュリティ対策として間違っていると思っています」(本間氏)
これに対し BIMI に対応すれば、正しいメールには商標登録されたロゴが表示される。これにより、「ユーザーには『ロゴが出ているメールだけが安全です。それ以外のメールは危険だと思ってください』と言うことができます」と本間氏は述べた。
そもそも、なぜ企業がメールを送るかと言えば、内容は何であれそのメールを読んでもらうためだ。だが、メールボックスがジャンクメールであふれていれば、どのメールを読めばいいかわからなくなってしまう。「そんなとき、ロゴが付いたメールがあれば目に付きます。実際、BIMI 対応によってメールの開封率やブランドの想起率が上がるという調査結果も出ています」と本間氏は紹介し、今や BIMI はフィッシング対策を超え、「メールを読ませる技術」になりつつあるとした。
●楽天と KDDI が実体験を基に語る、BIMI導入時に手間のかかるプロセスは?
こうした背景から海外はもちろん、国内でも金融系を中心に BIMI を導入するサービスが徐々に増えている。だが、その際にはさまざまな課題に直面するのも事実だ。
「お客様の安全を守るために偽メール対策に取り組む」という方針の下、先陣を切って BIMI を導入した楽天グループの高田加菜江氏は、「ロゴの準備」と「組織ドメインにおけるDMARC対応」に手間取ったと振り返った。
前述の通り、BIMI対応においては、SVG というやや特殊な形式でロゴ画像を準備する必要がある。「楽天の場合、すでに『R』というマークが商標登録されていましたが、一から商標登録を取得するとなると短くても数ヶ月かかるでしょう。表示に適したわかりやすいロゴを準備するところから始めるのであれば、時間とコストがかかるのではないかと感じました」(高田氏)
これに関連してデジサートの林氏は、SVG形式のファイルを加工・作成する際、エディタの種類によっては不要な改行データが入り込んでしまうケースがあるとコメントした。そうした意外と知られていない Tips については同社の Webサイトで紹介されているという。
また、BIMI を導入するには DMARC のポリシーが reject もしくは quarantine となっている必要があるが、これはサブドメイン単位ではなく、楽天の場合ならば「rakuten.co.jp」「rakuten.com」といった組織ドメインで設定されている必要がある。「弊社ではサブドメイン単位で DMARC を設定していたケースが多かったため、『え、親ドメインで対応していなければいけないの?』という点が、はまりポイントでした」(高田氏)
同じく BIMI に対応している KDDI も、「au.com」「ezweb.ne.jp」といったドメインを約 20 年もの間メール送信に使ってきた。長年にわたって各サービスで独自に管理してきたため、「どのサービスがどのサブドメインを利用しているか、誰が担当しているかを把握する方法がありませんでした」と、KDDI の蔡京泰氏は振り返った。
それも、社内に担当エンジニアがいるサービスならばともかく、「外部の配信業者に委託し、担当者が本文やタイトルだけ入力すれば送信できるような仕組みでは、『DNS に DMARC を登録してください』と依頼しても話が通じず、支援やサポートに苦労しました」(蔡氏)という。
DMARC や BIMI導入を支援してきた TwoFive の伊藤隼人氏も、外部の配信事業者やサービスを利用している場合にはまるケースが見受けられるとコメントした。「そもそも DMARC や DKIM に対応していないサービスがあるため、BIMI にも対応しようがなく、時間がかかってしまうケースがあります」(伊藤氏)
また、一通り対応を済ませた後に DMARCレポートを見ると認証の成功率が 100 %になっておらず、よくよく確認してみると、実は社内に把握できていないメール送信環境があったことが判明するケースも珍しくない。これも対応に時間がかかる一因だ。
本間氏は、こうした「シャドーIT」はどこの企業にもある問題だが、今後「駆逐」していくべきだとした。それも「メールだけでなく、ドメイン管理、DNS管理もしっかりやっていく必要があります」とし、絶滅危惧種のように知識のある技術者が少なくなっている技術にも目を配り、管理していく必要があると呼び掛けた。
もう一つ、BIMI の手前の DMARC対応においてしばしば課題となるのが、ポリシーを none から quarantine や reject に移行していくプロセスだ。
ポリシーを変更することで、これまで顧客に届いていたメールが届かなくなるのではないか、という社内の懸念はつきものだ。これをどう乗り越えていったのかという問いに対し、高田氏は「地道な努力と説得です」と答えた。
また蔡氏は、一週間ごとに DMARC のパス率を確認し、まず none から quarantine へ、そして reject へと少しずつ刻みながら、「石橋を叩くようにやっていきました」とコツを紹介した。そして「実は quarantine で 100 %に到達すれば、reject へもほぼ問題なく移行できます」と、実体験に基づいて説明した。
この 1 ~ 2 年で日本国内でも DMARC は普及したと言われる。しかし、reject での運用が 90 %を占めるオランダをはじめ海外諸国に比べるとまだまだで、しかもポリシーは none派が多い。「reject派」の本間氏は、こうした状況は「メールセキュリティにおける発展途上国」だとし、「ぜひ、DMARC を導入するのであれば勇気を持って reject にしてほしいと思います」と呼び掛けた。
●VMC証明書の有効期限などに配慮しながら適切に運用し続けることも重要に
どのような技術もそうだが、対応するだけで “めでたしめでたし” とはならず、その後も適切に運用し続けなければならない。BIMI も同様で、特に VMC証明書の保存先や更新期間に配慮する必要があると本間氏は説明した。
VMC証明書は、証明書を発行した認証局側で公開することも、自社の Webサーバで公開することも可能だ。ただ自社Webサーバに保存した場合、メールを受け取った受信者からのリクエストが殺到することになるため、キャッシュなどの設定によっては、自分が行ったキャンペーンにより自社の Webサーバに DDoS攻撃を行うようなことになりかねない。また、サーバのメンテナンスとメール配信が重なると、VMC証明書を参照できず、BIMI でロゴが表示できないといった問題も起こりうる。
さらに林氏は、「証明書には期限があり、一定の期間で取り直す必要があります。そのたびにロゴと証明書を置き換える必要があるのですが、この作業を忘れるケースが意外と起こっています」と、意外な落とし穴の存在に触れた。この場合も、昨年の証明書と今年の証明書とで不一致が生じるため、ロゴが正しく表示がされなくなってしまう。こうした事態を避けるため、認証局各社が提供している、証明書をクラウド側にホスティングするサービスの利用も検討してほしいとした。
伊藤氏によると、証明書の期限切れを防ぐこれといった方法は存在しない。「まず、期限を意識し、管理するための体制をしっかり作っていくことが必要になってくるでしょう」(伊藤氏)。また、TwoFive では期限切れが近づくと通知するサービスを提供しており、この種のサービスを活用するのも一つの手だという。
「TLS証明書の場合、期限が切れるとアクセスできなくなるためすぐにわかります。しかし、BIMI でロゴが表示されるかどうかは、実際に見てみなければわからないため意外に確認しづらいのが実情です」と本間氏は述べ、ぜひここも頭の片隅にとどめてほしいとした。
こうした課題もある BIMI だが、導入後、どのような効果が得られるのだろうか。
楽天の場合、「BIMI を要因とする開封率の顕著な変化は、全体としては見られなかったというのが正直なところです。ただ、それ以上に事業側の反応が変わってきました。ロゴ表示はわかりやすく目を引くため、『このロゴを表示させるにはどうすればいいの』という問い合わせが内部から多く寄せられるようになりました」(高田氏)。これをきっかけに、社内での DMARC導入を促進していったという。
KDDI でも、まず金融・決済系のサービスを中心に対応を進めたこともあり、楽天同様にサービス担当者からロゴ表示方法の問い合わせ、そして顧客から「なぜロゴが表示されていないんですか、いつ BIMI に対応して表示されるんですか」といった問い合わせが入るようになったそうだ。こうした反響を見ても、徐々に、ロゴの有無が迷惑メールかどうかを判定する一つの基準になっていると感じており、「今後は金融以外の分野にも広げ、『ロゴが表示されるのは正しいメールだ』という認識をどんどん浸透させていきたいと考えています」(蔡氏)
BIMI のいっそうの普及には、Microsoft 365 をはじめとする Microsoft社の対応をはじめ、会場からの質問で指摘された B2B で利用される法人向けのメールでの対応など、課題も多々存在している。それでも、少しずつ対応が広がることでユーザーが「これは正しいメールか、どうなのか」と悩まずに済むような世界が近づいてくることを予感させるセッションとなった。
