昨今フィッシング詐欺メールが広く出回っており、「今見ているメールは本物なの?」と疑心暗鬼になっている方も多いと思います。今回紹介するVMCとBIMIという仕組みによって、Gmailなどのメールクライアントでメール送信者のロゴが表示されるようになり、フィッシング詐欺メールを見分ける新しい手段が提供できます。なお、VMCを購入、設定するのはメールを「企業や組織として送信する側」の方になります。メールを「受信する側」の方は、どこでBIMIが確認できるのか?を知っておきましょう。
BIMIとVMCって何?
BIMI(Brand Indicators for Message Identification)とは、メールクライアント(Gmail、Appleメールなど)上にメール送信者が指定したロゴ画像をプロフィール画像のように表示する機能です。このBIMIを表示する際に、「送信者のドメインは間違いなくドメイン所有者から送られてきている」ことを誰かに認証してもらう必要があります。ここで使うのがVMC(Verified Mark Certificate)です。VMCは、WebサーバにおけるSSL証明書のようなもので、認証局が組織認証やドメインの所有権確認を行って発行されます。
BIMIはGmailなどの対応しているメールクライアントで表示できます。Gmailでは以下のように指定したロゴが表示され、メールアドレスの横に青地にチェックマークの認証アイコンが表示されるようになります。
BIMIの表示条件
BIMIを表示するための条件としては以下になります。
- DMARCの設定: ドメインがDMARC(Domain-based Message Authentication, Reporting, and Conformance)を設定していることが必須です。DMARCが設定されて機能しているということは、SPF,DKIMが正常に設定されていることを表します。
- DMARCポリシーの適用: DMARCポリシーが「quarantine」または「reject」に設定されている必要があります。迷惑メールと判定されたメールは迷惑メールフォルダに隔離されるか、受信拒否される可能性があります。
- 認証マーク証明書: 公式のロゴを使用する場合、認証マーク証明書(VMC: Verified Mark Certificate)を取得している必要があります。
- ロゴの準備: BIMIに適合したSVG形式のロゴファイルを用意します。
- BIMIレコードの設定: メール送信ドメインに「default._bimi.example.jp」のようにサブドメインを作成し、TXTレコードにBIMI用のレコードを設定してそこにロゴ、VMCのURLと必要な情報を含めます。
DMARCって何?
DMARCやDKIM、SPFについての詳細は、以下の記事で詳しく解説しています。
送信先で迷惑メール扱いされない?DKIM機能って何? | さくらのホームページ教室
要は、受け取ったメールをメールクライアントが本当に表示されているドメインから送られてきているのかを確認するのが、SPF、DKIMやDMARCです。これをパスしていることが、BIMI(ロゴマーク)を表示する条件となります。特に、BIMIにおいてはDMARCの迷惑メール処理ポリシーの中でも、none(なにもしない)は受け付けません。quarantineかrejectに設定しておく必要があります。これは、受信側で迷惑メールを強いポリシーで隔離、拒否する場合のみBIMIを表示する仕様になっているからです。さらに、DMARCは標準ではSPF、DKIMどちらかで認証とアライメントができればPASSとなりますが、必要に応じて厳格さを変更することができます。
ポリシーのnoneは、シグナルとしてはnoneですが、DMARCのレポーティング機能は有効です。初めてDMARCを有効化する場合は、まずポリシーnoneでレポートだけを受信するという導入も推奨されています。
VMCの役割
VMCはSSL証明書と同じ公開鍵暗号を利用しており、データの暗号化ではなく電子署名に使っています。SSL証明書におけるドメイン認証(サーバのドメインと、サーバが一致するかの認証)と同じイメージで、そのメールが本当に表示されているドメインの所有者が送信しているかを認証してくれます。メールを受信するサーバで検証され、BIMIレコードがメールヘッダに追加されます。メールクライアントではメールヘッダに基づいて指定されたロゴファイルのURLへアクセスし、ロゴを受信して表示します。VMCの発行を受けるためには、SSL証明書の組織認証と同等か、それ以上の認証レベルが要求されます。さらにロゴ画像においても、特許庁で商標登録されているか、それに準じる海外の認証を受けている必要があります。VMCは、ドメインの所有、組織の実在性、ロゴが登録されていることを保証してくれるわけです。そして、VMCが確認できると、BIMIが表示されるという流れになります。
BIMIやVMCの具体的なメリット
BIMIを表示することにより、「当社から送信されたメールかどうかを確認するときに、メールのアイコンと認証マークを確認してください」というコミュニケーションを取ることができます。メールでは、Fromを偽装することもできますし送信IPアドレスの偽装なども可能です。タイトルを本物のメールと同じくすることも簡単にできてしまいます。そういった状況で、フィッシング詐欺を行う悪意のある人々が簡単に真似することのできない、BIMIという仕組みはフィッシング詐欺の防止に非常に有効です。
実際に、メールを多く送信している会社では「こういった内容のメールが来ているが、本物なのか?」という問い合わせが非常に多くなっています。こう言ったお問い合わせに対しても、「Gmailのこの部分にマークが表示されていますか?」といった簡単な問いかけで本物のメールを受信しているかどうかを判断することができます。BIMIは受信者であるエンドユーザにとっても、メールを送信している事業者側にもメリットのある仕組みなのです。
フィッシング詐欺の手口とBIMIによる対策
BIMIが表示されるためには、SPF,DKIM,DMARCをパスする必要があります。しかし、これらのメール送信ドメイン認証は「メールに表示されているドメインから送られてきている」ことを認証するだけであって、メール本文に書いてある○○銀行といった組織から送信されていることを認証するものではありません。実際のフィッシング詐欺メールにおいても、タイトルや本文は精巧に作られていますが、送信はHotmailなどのフリーメールから行われているものも多くあります。そして、送信者の名前(Fromヘッダ)が偽装されていなければ、これらのメールはSPF,DKIM,DMARCをパスしてしまいます。「Amazonです。お客様のクレジットカードが無効で支払いが行われていません!」といった、目を引くメールタイトルをつけると、それに目を奪われて送信者名やアドレスをよく確認しないという人間心理が悪用されているのも要因の一つです。 Gmailにおいては、BIMIにより送信者名の横に青いチェックマークが表示され、送信者の登録したロゴが表示されます。BIMIを導入し、「メール送信者の横のアイコンを確認する」ことを徹底してコミュニケーションすることでこうしたフィッシング詐欺被害を少しでも減らしていきましょう。
BIMIの限界
BIMIの致命的な欠点は、メールクライアントが対応していないとアイコンを表示できないという点です。特に、2024年7月現在、メールクライアントでも大きなシェアを占めるMicrosoftのOutlookが非対応というのが大きな弱点です。GmailやYahoo!メールは対応しているので、個人に送るメールという点では市場シェアよりも多くの個人顧客がBIMIの恩恵にあずかれるかもしれませんが、ビジネスユーザーの多くはOutlookの対応待ちとなります。
また、最終的に目視確認に頼ってしまうのも問題です。BIMIが今後普及していけば、よりフィルタルールを強化してBIMIが設定されていないメールに対する処理を強化することもできるかもしれませんが、残念ながらまだBIMI、VMCはそこまで普及している状況ではありません。WebサイトにおけるHTTPSはGoogle調べでも90%以上のトラフィックで使われており、HTTPSファーストモードなども導入時の混乱はありましたが普及が始まっています。メールにおいてもBIMIのような送信者ドメイン認証の仕組みがより厳格になっていけばメールクライアント側でのフィルタを強化することも、あるいは可能かもしれません。 ただし、これまではメールヘッダなどを確認しなければ本物かどうかわからなかったメールも、アイコンとロゴを見ると送信者をある程度確認できるようになるのは非常に大きな進歩です。
S/MIME証明書との違い
同じようなメール送信者認証、暗号化の仕組みに、S/MIME(エスマイム)証明書というものがあります。S/MIMEの大きな特徴は、メールの内容を暗号化し、送信者のアドレスとともに認証局が認証してくれる点です。メール送信者、メールの内容の改ざん防止、途中経路での盗聴を防ぎ、それを認証局が認証してくれるのがポイントです。。
一方BIMIは@example.jpのドメイン部分のみを認証し、電子署名はDKIMに依存するため署名は送信サーバの自己署名になります。DKIMの電子署名はサーバ設定に依存しますし、暗号化はDKIMの規格上は行われません。その分コストは安くなっており導入ハードルはS/MIME証明書よりも低いのがポイントです。
例えば、個人対個人で秘匿性の高い、かつ送信者が認証される(本当にそのメールアドレスを保有している人が送信している)必要がある場合にはBIMIではなくS/MIME証明書が適しています。一方、メールマガジンや購入確認メールのような組織から個人へ送信されるメールの場合はBIMIが適しています。特に、BIMIは認証されたブランドロゴを表示できるのが強みになります。
誰がVMCを買えるの?
VMCは、メールサーバがSPF,DKIM,DMARCに対応し、申請者が法人組織であり表示したいロゴが商標登録されていれば購入が可能です。銀行を始めとした金融機関で導入が始まっていますが、日本ではまだまだ普及が進んでいません。しかし、フィッシング詐欺の被害がものすごい勢いで増えているなかで、金融機関だけではなくECサイトや有料のWebサービス事業者などは積極的に導入を検討しても決して早すぎるということはありません。費用はやや高額ですが、ドメインごとの課金となるため複数メールアドレスで共用が可能です。
このため、メールをエンドユーザに送信する機会のある事業者であれば、全ての方におすすめできる製品となっています。メール送信側でSPF,DKIM,DMARCに対応している必要はありますが、さくらのレンタルサーバ、メールボックスではすでに対応済みで、DNS編集機能も提供開始しているため、VMCを購入し、設定することでBIMIを表示することができます。
さくらのレンタルサーバでの使い方
さくらのレンタルサーバではSPF,DKIM,DMARC全てに対応しています。
これらのサポートページの内容に従って、SPF,DKIM,DMARCの設定を完了します。特に、DMARCポリシーについてはquarantineかrejectに設定してください。
BIMIを表示する準備ができているかどうかはチェッカーで確認できます。
VMCを申請する前に、表示したいロゴが商標登録されているかを必ず確認してください。端が切れていたり、会社名の表示有無などで登録されている商標と異なる場合はVMCの発行ができません。必ず、登録されているものと同じロゴを申請時に使用してください。もし、どうしてもBIMIで表示したいロゴが登録商標にない場合は、商標登録を行ってからVMCの発行申請をする必要があります。
ここまで準備ができたら、さくらのSSLから購入申請を進めましょう。ロゴやVMCのファイルは発行元の認証局であるDigiCertが公開してくれる機能がありますので、さくらのレンタルサーバ側ではドメイン設定のDNS編集から、BIMI用の設定を追加するだけになります。
さくらのレンタルサーバ以外でも使えるの?
もちろん、さくらのSSLで購入したVMCは、ご自身の管理するサーバや他社のレンタルサーバでも利用可能です。メール送信システムがSPF,DKIM,DMARCに対応しており、DNSの編集が可能ならVMCは利用可能です。詳しくはお使いのレンタルサーバ会社に確認してみてください。ご自身のサーバでSendmailなどを使っている場合はお使いのMTAの設定が必要になりますのでご注意ください。VMC自体は、ご自身のメールサーバやウェブサーバにファイルを置く必要はないので、DNSの編集さえできれば大丈夫です。
VMCの購入
VMCはさくらのSSLで購入することができます。1ドメイン1年間257,730円で、条件がクリアされていれば1週間程度で発行可能です。購入に際していくつか条件があるので、事前に確認しておきましょう。特に厳しい組織認証を行う都合上、担当者が認証局の審査担当とZoom等のオンライン会議ツールを使って面談を行う場合があったり、SVGファイルを特殊なフォーマットで作成する必要があります。さくらのSSLでは、DigiCertのVMCを取り扱っており、この部分のサポートも認証局から直接受けられるのもポイントです。