顧客対応・サポートの記事
ARTICLE~エピソード13~自社のメールアドレスのなりすましを防ごう!確認しておくべき送信者側の対策
掲載日:2024年7月25日更新日:2024年9月5日
私の名前は渦真木(うずまき)。港区にあるIT企業、スパイラル株式会社に勤める27歳の会社員だ。「顧客接点DX調査班」という、社内外を問わずDXに関するギモンに答えるというプロジェクトに参画しており、毎日、さまざまな業界のDXについて調査をしている。
2024年7月某日、朝8:30。
ふぅ~今日も暑いなぁ。7月も下旬となったが、梅雨入りが遅かったせいか、むし暑い日が続いている。今年の夏は知床にでも旅行に行きたいな、などと考えながら会社に到着し、PCを開くと、ボスからの指令が届いていた。
班長
渦真木さん、おはよう!ふむふむ、今回の調査はなりすましメール対策ね。
渦真木
SNSやLINEなどで顧客にプッシュする企業が増えていますが、BtoB領域ではビジネスメルマガは根強く活用されていますよね。
班長
そうだね。でもなりすましメールってここ数年すごく増えていて、私のところにも毎日のようにショッピングサイトや金融機関、運送業者などからのなりすましメールが来るよ。
渦真木
多いですよね。なりすましメールの被害も増えているようで、警察庁が2023年12月に発表した注意喚起(※1)によると、なりすましメールによる不正送金の被害は、2023年11月末時点での被害件数は5,147件、被害額は約80.1億円で、過去最多だそうです。
(※1)参照 令和5年12月25日警視庁・金融庁
フィッシングによるものとみられるインターネットバンキングに係る 不正送金被害の急増について(注意喚起)
班長
ここ数年で急速に増えた印象はあったけど、実害も増えているのね。
渦真木
私は送信元メールアドレスのドメインを確認したり、文章の不自然さなどで見分けたりしているのですが、 “東洋経済ONLINE メールセキュリティの新基準「DMARC」とは(※2) “にある記事を読むと送信元の会社名やメールアドレスの表示が偽造されている場合もあるとのこと…。もう見分けることは難しいかもしれないです。
(※2)参照 東洋経済ONLINE メールセキュリティの新基準「DMARC」とは
班長
私はそもそも身に覚えのないメールは開かないようにしているけど、いくら注意喚起されていても、巧妙なメールタイトルだったり、受信するタイミングによっては騙されてしまう人もいるよね。
渦真木
それでは今回はなりすましメールの対策について調査してきますね!
なりすましメールの被害とは…?
渦真木
まずはメールを受け取る側の被害ですが、なりすましメールの案内に従って金銭の振り込みをしてしまったり、クレジットカードなどの決済情報を入力してしまったりして、金銭をだまし取られる場合が多いようです。またそのようなメールが横行しているため、本当のお知らせに対応できずに何かしらの損害を負ってしまうケースもあるようです。
班長
なりすましメールの内容に対応することで被害にあうだけではなく、本当に必要な連絡が受け取れないといった被害もあるのね。
渦真木
はい。それからメールを送る側ですが、前述の被害からメール受信者を守るために、メールプロバイダーのスパムフィルタリングが厳しくなってきています。そのため、お客様に連絡すべき内容のメールを送信した場合でも、迷惑メールとして認定されてしまい、情報がお客様に届かない…ということがあります。
班長
プロバイダーのスパムフィルタリングは各社さまざまだし、設定は公開されていないものが多いから、送信者側としては対策が難しいという側面もあるよね。
渦真木
はい。それに大手企業となると自社の名前を騙るなりすましメールも多く、ブランドイメージの低下につながってしまう危険性もありますね。
班長
そうだね。そういうリスクを避ける意味でも、なりすまし防止には力を入れるべきだね。ところで、なんでこんなになりすましメールが増えているの?
なりすましメールが増えている理由は?
渦真木
まずはここ数年で、さまざまな業務がデジタル化されたことでオンライン決済が増えたことが1番の理由かと思います。そして大量にメール配信するコストが安い点から、成功した場合の収益も高く、犯罪者からみると魅力的なのだと思います。
班長
腹立たしいけど犯罪者のフィッシング技術も巧妙になって、検出が困難になっているということもあるよね。
メール送信者側ができるなりすましメール対策
渦真木
メール送信者側としてできる対策としては、「送信ドメイン認証技術の導入」が有効です!Google メール送信者のガイドラインで対応した企業も多いかと思いますが、あらためてまとめてみました。
渦真木
ざっくり言うと、SPFは「IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認する認証技術」で、DKIMは「電子署名を利用してメール送信元が詐称されていないかどうかを確認する」ものです。
班長
ふむふむ。
渦真木
そしてDMARCですが、SPFの送信者アドレスとDKIMの署名が、DMARCポリシーで指定されたドメインと一致しているかをチェックして、検証に合格したメールだけを受信します。SPFまたはDKIMの検証に失敗したメールに対して、「そのまま通す(none)」、「隔離する(quarantine)」、受信拒否する(reject)といった処理方法を宣言します。これによって、なりすましメールを排除する効果が高められます。
参考:「送信ドメイン認証技術」SPIRAL® ver.1 サポートサイト
班長
この辺りはGoogle メール送信者のガイドラインの調査をした時にも出てきたよね。
渦真木
そうですね!まずは送信ドメイン認証技術を導入すること、そしてメールを配信するプラットフォームのセキュリティやメールを送信するユーザーへの教育、ミスが起きにくい手順などを確認しておくと良さそうです
メールの信頼性を向上できるBIMI認証って…?
螺旋
オホン!それでは私からは、2020年頃に登場した比較的新しい、BIMI認証についてご紹介しましょう!
班長
メールのアイコンに自社のロゴを表示できる規格…だったかしら?
螺旋
はい。BIMI(Brand Indicators for Message Identification)とは、電子メールのセキュリティと信頼性を向上させるためのメール認証規格です。メール欄に電子メール送信者の自社ブランドのロゴを表示させることができます。これにより、受信者は正規の送信元から配信されたものであることを視覚的に簡単に認識できるようになります。当社のロゴだとこんな感じです。
班長
なるほど!ロゴだと視覚的に安全性を判断できるからわかりやすいね。
螺旋
仕組みとしてはDMARCの認証に成功したメールについて、登録した自社のアイコンを表示させるものになります。受信者のメールサービスがBIMI認証に対応している必要がある、という前提はあるのですが、現時点でGmailやYahoo!メールも対応しており、今後増えてくるのではないかなと思いますね。
班長
この企業ロゴのアイコンを表示するためにはどのような手続きが必要なの?
螺旋
まずは前述したとおりDMARCに対応している必要があります。次に表示させるアイコンを準備し、“VMC”というロゴの所有権を証明する電子証明書を取得します。 この証明書はDigiCert社やEntrust社で購入できます。そして管理している公開サーバーにロゴと証明書をアップロード、差出人FromアドレスのドメインのDNSサーバーに、BIMIのTXTレコードを設定、という流れになります!
※参照:「SPIRAL ver.1 BIMIを使用してメールにブランドロゴを表示させたい」SPIRAL®️ ver.1 サポートサイト
班長
ふむふむ。BIMI認証とはメールに所有権を証明しているロゴを表示させてユーザーの信頼を得ることができる認証規格ということだね。
螺旋
オホン!メール送信者側としてはスパムフィルターの回避率の向上はもちろん、同時に企業のロゴをアイコンで表示させることでブランドを認知させることや信頼性の向上ができるという仕組みなのです!オホン!
班長
螺旋さんありがとう!今後対応するメールサービス業者が増えていくことで、BIMIを導入する企業が増えていきそうだね!2人とも今回もありがとう! あとでポイントをしっかりまとめて調査報告書を提出してね!
というわけで、今回の調査も無事に終わった。メール配信はどの企業でも利用するものだし、今後も顧客接点業務に関わる方々のために、新しい技術なども引き続き調査していきたいな。
次回も頑張って調査しよう!
(※本コンテンツの登場人物、部署等はフィクションです。)