BIMI(Brand Indicators for Message Identification)は企業等のブランドロゴをメール受信者の受信トレイに表示する認証技術で、フィッシング詐欺防止やブランドの信頼性向上に役立つ技術として国際的に活用が進んでいる。
BIMI の導入には DMARC 対応(p=quarantine または p=reject)が必須で、近年日本でもようやく DMARC 対応が進み注目を浴びているが、その意義や効果、BIMI 対応にあたって必要となる具体的な手順やプロセス、実務上課題となりやすいポイントなどについてはまだ充分な情報があるとはいえない状況が続いていた。
こうした背景をふまえ、メールセキュリティの専門企業である株式会社TwoFive は 2024 年末、DMARC/BIMI対応が早急に必要なオンラインバンキングやクレジットカードなどの金融機関を対象に、メールセキュリティや BIMI に関する専門家や、すでに DMARC と BIMI 対応を終えた国内大手金融機関のシステムやセキュリティ担当者らを招へいし、フィジカル開催のセミナーを実施した。
大手金融機関の具体的事例が紹介されるという性質上、オンライン配信は行われないエクスクルーシブ開催であり、メディアの参加はNG、本誌もその例にもれなかった。しかし終了後、2024 年末現在の BIMI と DMARC に関して一般にも広く共有すべき情報が網羅されていたため、金融機関の実際の事例を除く部分に関してのみ執筆が認められた。
本稿は TwoFive 広報から提供を受けた一部資料(提供を受けた資料は記事完成後に完全に削除済)をもとに作成した。セミナーでは、TwoFive の支援を受けて DMARC と BIMI 対応を達成した二つの銀行とひとつの銀行系カード会社から対応までの道のりや学びについて非常に有意義な内容が語られており、ご紹介できないのは残念ではあるが、顧客の安全を守るために取り組まれていることをお伝えしたい。
TwoFive 代表取締役社長の末政 延浩 氏の開会挨拶に続き、フィッシング対策協議会、デジサート・ジャパン、TwoFive のアーキテクトなど、DMARC /BIMI普及に尽力するキーマンが、最前線の情報を提供した。
●「p=quarantine にしてもなりすまし送信が減らない」フィッシング対策協議会 平塚氏
JPCERTコーディネーションセンター フィッシング対策協議会 事務局 平塚 伸世 氏は「2024年度版フィッシングメールの現状と対策」と題した講演に登壇し、冒頭で月別フィッシング報告数集計では残念ながら 2024 年 10 月(このセミナー開催の前月に該当)が過去最高の報告数となったと報告した。また、フィッシングとは別に、警察庁の発表資料から 2023 年は不正送金被害件数 5,578 件、被害額 87.3 億円とこちらも過去最多を記録したことを紹介した。
セミナー開催の当年 2024 年上期の集計結果によれば、依然として被害が多い状況ではあるものの 2023 年と比較して不正送金被害の件数は減少、被害額も約 10 億円減っており、各方面のいろいろな努力が成果に表れていることを示唆した。
分野別のフィッシング報告では、被害報告はクレジットカードが利用できるサービスが中心であり、金融系ブランドでは過去「メガバンク」→「インターネットバンキング」→「地銀」の順に狙われたが、2024 年 8 月から「労金」「信金」「JA」「消費者金融」を騙るフィッシングが増加しているという。
平塚氏は、実際に大量のフィッシングメールをばらまかれた、とあるサービスの DMARC レポートの集計を引用し p=quarantine に変更したものの、なりすましメールは全く減少せず、p=reject に変更後、ようやく沈静化した具体例を挙げた。
「この事例からわかるのは p=quarantine にしてもなりすましメールの送信はそんなに減らないということです。また、受信者は迷惑メールフォルダを見る場合もあるので p=quarantine で迷惑メールフォルダに同じブランドが多数並んでいたりすると『なぜこのブランドはちゃんと対策をしないのか』と思うのも当然かなと思います(平塚氏)」
例に挙げた「大量のフィッシングメールをばらまかれた」ブランドはその後、正規メールも信用されなくなり、メールマーケティングを行っていたもののメルマガ経由の購買が顕著に減少してしまったという。
●「完璧な申し分のない正規メール」がフィッシング報告されてしまう
国内大手メディア ITmedia 誌等が取材した 2023 年の三井住友銀行の注意喚起メールの記事に関しても平塚氏は言及し、同行のメールは「SMIME」「DMARC」「SPF」「DKIM」と正規メールとしては 100 点満点の完璧な申し分のないメールだったにも関わらず、約 20 件のフィッシング報告がフィッシング対策協議会になされたと語った。
平塚氏は、このようにここ数年、なりすましメールを見分けられない事象が増えてきており、それでもメールを送る必要がある以上、「正規メールであると証明する方法がある」という「啓発」に切り替えていかなければならないと提案した。
啓発すべきは以下の二点だという。
ひとつは送信ドメイン認証によって正規メールであると検証できたメールの見分け方の周知。もうひとつはセキュアなメールサービスを使用してもらうこと。
正規メールの視認性を向上する取り組みとして有効かつほぼ一択の強力な選択肢として平塚氏は BIMI を挙げた。
利用者にとって必要なのは、そのメールが正規メールであるかどうかの判断を助ける情報だが、正規性を文章等で書いてもそれが詐称される可能性がある。一方で BIMI でブランドロゴが表示されるのであれば、「ロゴがついたメール=正規のメールとして証明されているメール」と啓発と認知拡大を進めれば利用者側もすぐに判断がつくようになる。
●ユーザーへの BIMI のリテラシー普及の重要性
現在どの程度のブランドが BIMI 対応しているのか。講演にあたって平塚氏は自身のメールボックスを開いてみたという。思った以上に BIMI 対応ブランドが増えており、たまたま開いた受信ボックスで BIMI のロゴがついていないのは二通だけだった。
そのうち一通はある銀行の正規メールだったそうだが、ほか全てのメールにロゴが並んでいる中でロゴがついていないのは目立たないし、ロゴがついたメールの方が数として多い状態であるだけに「なんとなく心配でメールを開こうという気持ちになれない」と感じたという。ちなみに BIMI 対応していない銀行のメールを開くと SMIME 署名がついていたのだが、それは一覧ではもちろん見えないとも語った。
正規メールの視認性向上の取り組みとして平塚氏は、BIMI以外に Yahoo!メールが実装する「ブランドアイコン」に言及した。これは BIMI と異なるYahoo! 独自の規格であり、申し込んでロゴを提出すると、送信ドメイン認証をバスしたメールにのみロゴを表示する。「なりすましメールには警告を出す機能もあり信頼と安心感のあるメールサービス」と評した。
平塚氏はまた、ロゴを表示するだけではなく、プラットフォーマーの楽天のように、利用者向け啓発として正規メールの表示例をスクリーンショットを交えて積極的に広報するべきであり、利用者側がリテラシーとして BIMI について知らない場合、見分けられない状況になる、とサービス運営側=メール送信側へ要望を述べた。
「これからスマホデビューする方々は Android も iPhone も標準メールサービスはどちらも BIMI 対応済みであり、国内キャリアではすでに au(KDDI)が対応済み、NTTドコモも今後対応を表明しているため、今後 BIMI を表示できる環境の利用者がどんどん増えていく」と平塚氏は見通しを語り、モバイルを中心にさらに BIMI 対応が進むと予測した。
「『正規メールは見てわかる』それがとても重要であると申し上げて、私の発表を終わらせていただきます」平塚氏の講演結びの言葉が胸に刺さって余韻が残った。すべからくセキュリティ対策とはユーザーの判断の手間を最小限にすることを目指すべきだ。正論が刺さるなんて。おそらくはこの人の人徳なのだろう。そして正しいと心から信じて言ったからだろう。がんばれ BIMI 、そして平塚さん。
● BIMI ロゴ表示の三つの条件
「コンサルタントによる DMARC、BIMI の技術解説」と題して登壇した株式会社TwoFive の加瀬 正樹 氏は、BIMI の前提となる DMARC の仕組みをパスポートを用いた入国審査にたとえて説明した。市役所と戸籍簿等にたとえるなど、記者は職業柄いろいろな DMARC の説明を聞いているが、この説明はパスポートを使ったことがある層に対しては直感的(かつ正確)に理解しやすいと感じた。
加瀬氏は BIMI は次の三つの条件を満たす場合にロゴが表示されると述べた。
最初の条件は DMARC の設定が p=quarantine または p=reject という強制力を持ったポリシーであること。なお TwoFive ではポリシー変更の判断材料となる、DMARC レポートを収集してなりすましメールの配信状況等を把握する分析サービス「DMARC/25 Analyze」を提供している。
二番目の条件は、ブランドロゴを表示する画像を指定されたフォーマットで作ることだ。スクリプト等を除去した、ベクター形式の SVG ファイルが必要になる。TwoFive ではロゴ画像作成や調整をサービス提供しておりキャリアや ISP など多数の実績がある。
最後の三番目の条件は、申請している組織がそのロゴを正当に所有しているということを示す証明書「VMC」と呼ばれる認証マーク証明書だ。
BIMI に関しても DMARC と同じように DNS のテキストレコードの設定をドメイン管理者が行う。下記のように v=BIMI1 の後に「ロゴ画像のURL」と「証明書のURL」を置く形をとる。
加瀬氏は、今後、特にコンシュマー向けサービス提供している企業は顧客とのメールを活用したコミュニケーションにおいて BIMI が非常に重要な要素となってくると講演をまとめた。
●「たとえ p=reject に設定しても 3 割以上のフィッシングメールがすりぬける」デジサート・ジャパン 林氏
「フィッシング対策を補完する BIMI とその導入ポイント」と題したセッションで登壇した林 正人 氏が所属するデジサート・ジャパン合同会社は、BIMI 導入のために必要な VMC などの「マーク証明書」を提供するベンダである。マーク証明書とはサーバ証明書と同じく証明書のひとつの種類。
同社はインターネット黎明期に「日本ベリサイン」の商号で国内事業を開始、約 30年、四半世紀を超える歴史の中で、サーバ証明書から IoT、電子文書へとすべてのデジタル世界のつながりの安全安心を担保する企業として事業を拡大してきたと語った。
林氏は BIMI の必要性について、DMARC 対応だけでは、たとえ p=reject に設定しても「類似名を用いたなりすましドメイン」「詐欺目的で登録した有名企業等にそっくりなドメイン」「メール表示名偽装」などは防ぐことができず、結果として 3 割以上のフィッシングメールがすりぬけると語った。そういった議論の中から、正規メールであることが「視覚的に見えた方がいい」と提案されたのが BIMI であると述べた。
林氏はまた、マーク証明書は三つの種類で提供されていくことに言及し、一般企業向けの VMC(認証マーク)、政府官公庁向けの GMC(ガバメントマーク)、ロゴを円形に変更するなどした標章(BIMI で視認しやすいように行う)を用いる CMC(コモンマーク)のそれぞれの違いを説明した。なおコモンマーク証明書は、当該セミナーが開催された翌週月曜日(2024年12月2日)に日本でデジサート・ジャパンからリリースされている。
林氏はデジサートの認証サービスの最も重要な役割として、その企業の実在性や、商標をその企業が正当に所有するものであるかをきちんとチェックをするチェック機能を挙げた。
「逆の言い方をすると、サイバー犯罪者が自分たちで企業情報を作って登録商標をとったりしても、犯罪としてペイしない状況を作る(林氏)」
● BIMI、商標登録や画像ファイル作成の注意点
林氏は BIMI 対応の実務面について、想像以上に苦戦することが多い「商標マークを取る際の注意点」を三つ挙げた。
VMC は、きちんとした登録商標をまず取得して、証明書を申請する認証組織と名称が一致しなければならない。たとえば合併を繰り返すような会社の場合、ロゴと申請する組織の商号が一致している必要がある。また、海外の特許オフィスなどでも商標登録ができる。世界中でいろいろな拠点を持っている金融機関の場合、日本でまとめて登録できることもある。林氏はインドネシアの金融機関の対応事例を挙げ、インドネシアの特許庁ではロゴの登録が認められないので、インドネシア企業はオーストラリアや日本でロゴを登録する必要がある等々の、実務的かつ当事者に大事な各論について言及した。
GMC 取得は、政府機関が明確に「このロゴが我々の持ち物である」「色やサイズ」等が明確に定義されている必要があるという。
●「VMC よりスピーディーに使えるのが CMC 証明書?」
最後に CMC は、たとえば金融機関でその季節ごとのロゴや、季節ごとのキャンペーン等を行いたい等の理由で、ロゴの背景色をクリスマス時期は緑や赤に変える等ができる証明書だという。すでに VMC で BIMI を運用している組織でも、キャンペーン実施や別ブランドロゴ活用などの際に CMC を利用することができる。
なお講演後の質疑応答で「VMC には手続きと商標登録に時間がかかるが 、CMC はスピーディーに適用したい時に使うものという認識で合っているか」という質問に対して林氏は、一部説明を割愛した部分があると語り、CMC には「これまでその企業がそのブランドロゴを使ってきたという実績」が必要になり、世界中の過去のウェブサイトをレコーディングしているアーカイブ等をもとにして、過去一年間といった一定期間の利用実績があること、そして他の商標などとの重複や矛盾の有無などをチェックするプロセスを経るという。つまり VMC も CMC も、ともにロゴの正当性が担保されなければ運用できないと回答した。
●意外と難しい SVG ロゴファイル
具体的な BIMI のロゴは 32 KBと非常に小さいファイルであり、メール一覧の小さな四角の枠の中に収まらなければいけない。ここでトラブルが多発するという。企業のロゴがグラデーションだったりすると視認性が悪く、サイズが大きくなり、ロゴの作成が難しくなるという。
BIMI が要求する SVG ファイルは、Photoshop 等の画像加工ソフトで作っただけでは使えないことも多く、ほとんどの場合、いろいろな修正が必要になってくるため、その際はデジサート・ジャパンのブログ記事を活用してほしいと述べた。
出回っているいろいろな「BIMI 用の SVG ファイル作成ツール」を使ってみたが動かなかった事例を林氏は多数聞いているという。最終的に役に立ったのがデジサートのブログ記事であったとコメントをもらったこともあったという。
編集部註:
https://www.digicert.com/jp/blog/getting-ready-for-bimi-prep-your-logo
https://knowledge.digicert.com/ja/jp/solution/SOT0041.html
証明書の購入はデジサート・ジャパンの Web サイトからすぐに可能。料金体系は基本的に「1 ロゴ 1 ドメイン」がベースになっており 1 年間 234,300 円。そこにさらに違ったドメイン、たとえば「co.jp」「.com 」「.net」と増やしていく際の追加料金が 1 年間 96,300 円。
最後のポイントとして林氏は、ロゴと証明書のホスティングについて述べた。
BIMI ではテキストレコードに書き込んで証明書の場所を指定するので、メールを大量配信した際には、その証明書や SVG ファイルが格納されたサーバへのアクセスが、配信した件数の確実に何割かが来ることになる。デジサートは証明書の死活チェック等をサービスとして行っており、一日約 10 億件の問い合わせをグローバルから受け付ける。「大規模トラフィックをまかなう CDN を弊社は世界中に複数ホスティングしているので信頼いただける(林氏)」という。
加瀬氏に劣らず林氏もプレゼンテーションに優れている。「いい話」ばかりで講演を終わらせない。
林氏はまだ Microsoft が BIMI 対応をしていないことに触れて、現在では BIMI は消費者向けのサービスであり、Microsoft が入らなければ B2B 領域への普及は限定的であると語った(吉報として林氏は Microsoft が BIMI を検討する段階にあり、ユーザーからの意見募集を始めているというニュースも紹介している)。
●三つの金融機関がチーム体制やスケジュール等の事例共有
冒頭でこの記事は「金融機関の実際の事例を除く部分に関してのみ執筆が認められた」と書いた通り、本セミナーには株式会社TwoFive の支援を受けて DMARC と BIMI 対応を達成した二つの銀行と一つの銀行系カード会社が参加した。
各組織の実務の一線あるいはリーダーにあたる人物から DMARC と BIMI 対応への道のりと、それぞれのポイントや学び等について語られる極めて有意義な内容だった。
具体的な実施カレンダーや組織体制、社内根回し、実施後の認証率の変化等々、実務者の参考となる情報ばかりだった。しかし有意義であればあるほど同時にそれは、こうしたメディアで記事として書くことが大いにためらわれる情報ともなる。もし銀行が中小企業のように国内に数千万行存在するのなら匿名で書けばいいかもしれないが実際はそうではない。OSINT となり中国語に翻訳されて DB にファイルされかねない。
ひとつだけ書いておくと、登壇した二つの銀行はたまたまだが記者自身が個人口座を持っていて、何年も(双方 10 年以上)利用している銀行だった。こうしてきちんと対策がなされていること、そして登壇者達のような優れた頭脳と強いハートの担当者達が(本誌編集部のように猫好きな担当者もいた)その仕事に日夜あたっていることが知れたことは、ことのほかその 2 行への信頼を深めるきっかけとなったことを最後に記しておきたい。
