株式会社エアー 藤川 弘充
昨今フィッシングメールが本物のメールを真似る精度はますます向上しています。メールの受信箱に入っているネット通販や金融機関、公的機関などからのメールが本当に当該の企業や団体からのメールであると識別するにはどうしたらいいでしょうか?
いくつか観点があるかと思いますが、ここでは見分けるポイントの一つとして送信元のメールアドレスについて取り上げたいと思います。フィッシングメールの送信元メールアドレスとして2パターンが考えられます。
(1)本物のメールアドレスに偽装したケース
正しいメールアドレスの例:xxx@example.co.jp
偽装したメールアドレスの例:xxx@examp1e.co.jp
こちらに気付くには送信元のメールアドレスをしっかりと確認することが必要になります。
(手前味噌ですが、弊社で提供しているWISE Alert v3.6.0で偽装されたメールアドレスのチェックに役立つ機能が実装されました)
(2)本物のメールアドレスをそのまま使用しているケース
今回は上記の(2)の欠点を補うことなどを目的とした新しい規格である”BIMI”(及び類似のYahoo!メール ブランドアイコン)についてご紹介します。
○”BIMI”(Brand Indicators for Message Identification)
Google, LinkedIn, SendGridなどからなるワーキンググループ (https://bimigroup.org/)で標準化が進められています。
DMARCによるチェックによりメールが本物の送信者から送られたと判断された場合に、メールボックス内の当該のメールの横に送信元の組織のブランドのロゴを表示させます。
現時点ではGoogleやYahoo!(米)で試験的な導入がされています。
https://bimigroup.org/bimi-adoption-october-2020/
詳しい内容はSendGrid社の以下のサイトが参考になるかと存じます。
「BIMIとは?」https://sendgrid.kke.co.jp/blog/?p=12833
○Yahoo!メール ブランドアイコン
https://announcemail.yahoo.co.jp/brandicon_corp/index.html
Yahoo! JAPAN独自の仕組み。BIMIとは異なりメールの真偽の判定にDMARCではなくDKIMを使用されているようです。現在の参加企業は下記になります。
https://announcemail.yahoo.co.jp/brandicon_list/index.html
まだこれから増えていく段階だと思いますが、個人的には楽天グループが入っているため多いに活用させて頂いています。
<公式Twitter> ぜひフォローしてください!