BIMIをご存知ですか?
BIMI(Brand Indicators for Message Identification)をご存知ですか?最近は、GmailなどSPFの設定をしていないと、迷惑メールとして処理され、正常に受信出来ないなど、メールセキュリティが強化されてきておりますが、2020年頃に登場した新しいメール仕様です。今回は、メールセキュリティの一貫として注目されるBIMIについてご紹介をさせていただきます。
1.メールセキュリティのおさらい
このブログでも「メールフィルタをすり抜けるフィッシングメール〜攻撃者はどんな情報も悪用する!?(https://www.securebrain.co.jp/blog/2023/0613/ )」や「DMARCの普及からなりすましを考える(https://www.securebrain.co.jp/blog/2023/0823/ )」でも、なりすましメールについてお伝えしてきましたが、まだまだ「なりすましメール」による被害は、多く確認されています。
「なりすましメール」の多くは、送信元アドレス(ヘッダFrom)を詐称することで、送信元の偽装を行います。
なりすまし対策として、ほとんどの企業では、SPF(Sender Policy Framework)という認証技術を使うようになりました。SPFでは、送信元ドメインを管理するDNSに受信したメールの送信元が登録されているかを問い合わせることで正当なメールサーバーであるかを判別することができます。ただし、SPFでは、転送されたメールの判別が行えないことやサーバーが利用する送信元アドレス(エンベロープFrom)の正当性を判断するものであり、ヘッダFromの詐称は判断出来ません。
しかし、SPFだけでは対応できない場合もあり、最近ではDKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication、Reporting and Conformance)」の導入が推奨されていいます。DKIMは電子署名を利用してメール送信元が詐称されていないかどうかを確認する手法です。この手法は、電子署名に使用されるドメインを認証するもので、ヘッダFromの認証を行うものではありません。
これに対し、DMARCは、SPF認証またはDKIM認証で正当性が確認されたドメインとヘッダFromのドメインが一致するかの検証を行うことで、ヘッダFromのなりすましを防ぐことができます。また、認証に失敗したメールの取り扱いポリシーを公開することで、受信側での認証失敗時の取り扱いを規定することができます。
2.BIMIが導入される背景
BIMIは、DMARCと連動して動作します。メールがDMARCの認証をパスして信頼性の高いメールと判断された場合に、送信元ドメインのDNSにBIMIレコードがあるかを参照します。BIMIレコードが登録されている場合にメールアプリ上に指定されたアイコンを表示することで、メール受信者に対してより安全かつ信頼性の高いメールであることを示す規格です。なお、BIMIに表示されるブランドのロゴは商標登録されている必要があります。
BIMIを設定するためには、DMARCの設定を実施する必要があります。そのため、BIMIを設定しなくても、一定以上のメールセキュリティは担保されることになります。では、なぜBIMIを導入するのか?というと、大きく3つの意味があります。
・ブランドロゴ認知の向上
・メールの開封率が向上する
・なりすまし被害の予防
メールに企業のアイコンが表示されることで、視認性が向上し、ロゴの認知度を向上させることにも期待ができますが、それ以上に「メール開封率の向上」や「なりすまし被害の予防」に意味があると思われます。
BIMIが普及することで、A社から送信されたメールにロゴがない場合は、不正なメールであることが、ひと目でわかるようになります。結果的に、ロゴがないメールは怪しいと判断し、メールを開くなどの行動を抑止できるようになるため、被害を予防することが可能となります。
そして企業活動としても不可欠なメールを、ユーザー側で開いてくれない(不正なメールかもしれない)という行動を、A社のロゴがあるので安心して開けるようになれば、開封率の向上も見込めます。
メールはなくてはならないツールです。不正なメールを開かないというユーザー側の目線も大切ですが、ユーザーが安心してメールを開けるように、セキュリティ対策を講じることも企業としては大切なことですね。
