前編では、メール経由の脅威、特にクレデンシャルを狙うフィッシングが増加している昨今の実情を紹介しました。そして、主要な攻撃手段であるなりすましメールへの対策としてDMARCという技術が存在し、実際に効果を上げていることをお伝えしました。

後編では、そのDMARC普及に立ちはだかる壁をどう乗り越えていくかのヒントをいくつか紹介するとともに、DMARCをベースに「正しいメール」を見分けやすく表示してくれる新たな対策技術「BIMI」について解説します。

効果が実証されているにもかかわらず、遅れる日本のDMARC対応

前編で説明したとおり、DMARCはなりすましメール対策として効果を上げています。しかし残念ながら、日本国内でのDMARCの普及率は、徐々に上昇してはいるものの海外に比べるとまだまだという状況です。プルーフポイントの調査によると、2022年12月の時点で、日経225企業のうちDMARCに対応している企業は31%にとどまっています。

目を海外に転じると、アメリカではFortune 1000企業のうち88%がDMARCを導入しています。またデンマークでは、国がDMARC対応の指針を打ち出したこともあり、DMARCの導入率は100%に達しました。注目すべきはこうした欧米諸国だけでなく、タイやフィリピン、あるいはアフリカ諸国も日本よりDMARCの導入率が高く、日本は調査対象中最下位になってしまっていることです。

このように、日本でのDMARC対応に遅れが見られる理由はいくつか考えられます。中でも、大きな要因は言語の壁です。日本でやり取りされるのは日本語のメールがほとんどです。部署や業務にもよるでしょうが、英語のメールというだけで「ん?」と警戒されがちです。

また、日本語でフィッシングメールが作られたとしても、以前はそのクオリティは低いものがほとんどでした。ネイティブの日本語話者にとっては違和感のある表現が多々あり、不審なメールに気付くことができていました。

しかし、長年にわたって日本のユーザーを守ってきた言語の壁もそろそろ頼れなくなっています。ご存じの通り、ChatGPTなどの生成AIや翻訳ツールによって、非常に洗練されたフィッシングメールが容易に作れることが実証されているからです。これまでの対策で何とかなる状況はそろそろ終わりに近づいており、そういった意味からも、DMARC対応の必要性は高まっています。

実は日本政府もDMARCの効果を認識し、なりすましメール対策の推奨を始めました。2022年2月には、警察庁と経産省、総務省が連名で、クレジットカード会社にDMARC導入を要請する文書を公表しました。さらに「政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版)」でもDMARC導入が基本対策事項の一つとして挙げられており、いよいよ本格的な対応が求められる時期に来ています。

なお、「うちはDMARCに対応しているんだろうか?」と気になった場合は、プルーフポイントでは無償でDMARCレコードを確認できる「DMARCレコード生成、チェックツール」を公開していますので、ぜひ試してみてください。

実は杞憂? DMARC導入時に浮上する悩み

こうした流れを受け、いざDMARC導入に一歩を踏み出そうとすると、今度はもっと実務的な部分でさまざまな悩みに直面することが多いようです。

その前にDMARCの仕組みをおさらいしておきましょう。基本的な動作は意外とシンプルです。

まず送信ドメイン認証技術のSPF、もしくはDKIMでメールの送信元をチェックし、正規のドメイン所有者のシステムから送られたものであれば受け取ります。もし認証に失敗し、なりすましメールだと判断された場合は、ドメイン所有者が宣言したDMARCのポリシーに従って、隔離したり、削除するといった処理を行います。

さらに、その結果をDMARCレポートとしてドメイン所有者に送ります。これにより、これまでは受信者のリテラシーに頼るしかなかった、自社へのなりすましメールの扱いを自動的に処理でき、その状況を可視化することができます。

一連の処理におけるポイントは、SPFとDKIMのどちらかで「アライメントを取る」、つまりメーラー上に表示されているメールドメインの情報と、SPFかDKIMで認証しているドメインが一致しているかどうかを見る、という部分です。

SPFを用いてアライメントを取る場合は、メーラーの画面には表示されないenvelope-fromのドメインと画面に表示されているheader-fromのドメインが一致しているかどうかを確認します。同様にDKIMでは、DKIMで認証したdタグのドメインとメーラーに表示されているheader-fromのドメインが一致しているかどうかを確認します。

こうした仕組みを説明すると、現場のエンジニアの方は疑問を抱くこともあるようです。疑問とは、「DKIMに対応していないのでDMARCは導入できないのではないか」「これまで送っていたメールが届かなくなるのではないか」「DMARCレポートが届かなかったり、逆に届いても活用できないのではないか」などです。これらの疑問を順に解き明かしていきましょう。

まず、DMARCに対応するには、SPF「か」DKIM、どちらかに対応していれば大丈夫です。もちろん両方に対応するのが最適解ですが、SPFだけでもDMARCを始めることができます。DKIMの場合、鍵管理などの手間もあって普及率はまだ5割を下回っていますが、SPFはほとんどの企業が導入しており、その環境であればすぐに、「レポートだけ送る」という簡単な設定で始めることができます。その後、余裕ができれば、段階的にDKIMも対応していく、といったステップを踏むことをお勧めしています。

ただ、実はDMARC対応を済ませたと思っていても、何らかの設定ミスでうまく反映されず、エラーが生じることもあります。「レポートが届かない」という場合は、DMARCの設定のどこかにミスがあり、バリデーションエラーが発生している恐れがあります。ぜひ、先ほどご紹介したDMARCレコードの確認ツールで設定が正しくなされているか、エラーがないかをチェックすることをお勧めします。

もう一つよく伺う懸念が、「メールが届かなくなってしまうのではないか」というものです。確かに、今やメールは顧客や取引先との重要なコミュニケーションツールであり、マーケティングにも欠かせません。情報システム部門が把握していないところで、メールマガジンなどが配信されているといったケースは珍しくなく、それが届かなくなれば大問題でしょう。

ただDMARCでは、隔離「quarantine」や削除「reject」は強制ではなく、選択肢の一つです。まずは、レポートだけを受け取る「none」(何もしない)というポリシーからスタートすれば、実運用に影響が生じることはありません。そして、DMARCレポートをもとに「どこでどのようなメールを送っているか」を棚卸しし、整理していただくことで、メールの最適化も可能になるでしょう。

そして、3つ目の心配事はDMARCレポートに関するものです。レポートが届き始めると、あまりにレポートが多すぎて読み切れないし、XML形式のレポートをうまく読み解けないという悩みが生じます。企業によっては、さまざまなクラウドサービスやホスティングサービスも含め、100を超える環境からDMARCレポートが届くこともあります。こうした場合、DMARCレポートを読み解くツールをうまく活用し、整理していくことをお勧めしています。

DMARCの次のステップ、正規のメールの視認性を高める「BIMI」

もう一つ、なりすましメール対策としてぜひ覚えていただきたい技術があります。正規のメールの視認性を高めるBIMI(Brand Indicators for Message Identification)です。

BIMIは、DMARCとセットになった技術です。DMARC認証をパスしたメールに対しては、送信元企業・組織があらかじめ登録していたロゴマークを表示し、受信者が一目で「これはなりすましメールではなく、正規のメールだ」と区別できるようにします。逆に、見知った企業やサービスからメールが届いていても、ロゴ表示がなければ「これは怪しいな」と見分けることが可能です。

標準規格としてのBIMIの仕様はまだドラフト段階ですが、業界ではそれに先行する形で実装が始まっています。Gmailやヤフーメール、そしてiOSなどがすでにBIMIに対応しており、DMARC認証をパスしたメールにはロゴが表示されるようになっています。

ただ、BIMIに対応するにはいくつかの条件が必要です。まず、DMARCにただ対応するだけでなく、quarantineあるいはrejectポリシーを設定しておく必要があります。また、BIMIに基づいて表示するロゴについては商標登録が必要なほか、そのロゴ画像に対する証明書「VMC」を取得する必要があります。すでにエントラストとデジサートがVMC証明書の発行を開始しています。

このようにBIMIを巡る環境は整いつつあります。設定作業自体もほんの十数分で終わりますが、対応は少しずつ時間をかけて段階的に進めていくことになるでしょう。

まずはSPFやDKIMに対応し、その上でDMARCをまずnoneのポリシーで導入し、DMARCのレポートを読み解いてどんなサーバからどのようなメールが送られているかを確認し、整理していく必要があります。ロードマップに沿って段階的に進めていけば問題ないでしょうが、もし不安がある時には、メールセキュリティで実績のある企業に頼るのも一つの手です。

DMARCに加えてBIMIに対応することによって、なりすましメールを簡単に見破ることができるということは、逆に言えば自社が送るメールの信頼性が増し、到達率が向上することにもなります。日頃からロゴを表示することによって、ブランド力の強化にもつながります。

こうしたメリットは、コンシューマー向けサービスを展開する企業だけの話ではありません。前編で説明したとおり、なりすましメールを用いたビジネスメール詐欺(BEC)も横行しており、一度引っかかってしまうと多額の損失を被ることが明らかになっています。むしろ、一度に動くお金の大きいB2Bの事業を展開している企業だからこそ、身元をしっかり担保できるBIMIのような仕組みは重要と言えるでしょう。

対応までの道のりを考えると、「面倒そうなので先送りしておこうか」と思いたくなるのも無理はありません。しかし、現実になりすましメールは横行しています。それにだまされて被害を受ける取引先や顧客が出てからでは遅いのです。サプライチェーン全体を守るという意味でも、ぜひDMARC、そしてBIMI対応を進めてみてはいかがでしょうか。