視覚的にフィッシングメールを識別する方法(BIMI)の現状について

株式会社エアー 藤川 弘充

視覚的にメールの送信者が詐称されていないか見分ける仕組みとして、私の以前のコラムでBIMI(Brand Indicators for Message Identification)とYahoo!メールブランドアイコンについてご紹介しました。今回のコラムでは、これらの仕組みについて2022月2月時点でのアップデート情報をご案内したいと思います。

検証済みマーク証明書(VMC、Verified Mark Certificates)

BIMIを使用した場合でも、悪質な業者が偽装ドメイン(例:c0mpany.com)を使用する一方で、BIMIの仕組みで正規のドメイン(例:company.com)のロゴを提供すると偽の「c0mpany.com」のメールが一見本物と同じに見える弱点がありました。こちらを防ぐために導入されたのが、検証済みマーク証明書(VMC)になります。現在のところ下記の2つの認証機関がVMCの発行に対応しています。

・Digicert
https://www.digicert.com/jp/tls-ssl/verified-mark-certificates
・ Entrust
https://www.entrust.com/ja/digital-security/certificate-solutions/products/digital-certificates/verified-mark-certificates

認証機関がドメインに紐付いたロゴが正規のものか審査して、問題なければ電子証明書を発行します。証明書とセットで提供されていないロゴはメールクライアントの画面上で表示されないようになります。

GmailのBIMI対応

Outlookと並んで利用者が多いメールクライアントであるGmail(※出典:一般社団法人日本ビジネスメール協会「ビジネスメール実態調査2021」)が正式にBIMIに対応しました。
※現時点ではGmailのデスクトップ版のみ対応しているようです。

・BIMI を使用してGmail などのメールセキュリティを強化
https://cloud.google.com/blog/ja/products/identity-security/bringing-bimi-to-gmail-in-google-workspace
 
ただ難点として、現状Googleアカウントのプロフィール写真として設定した画像も同じようにメール上でロゴとして表示されるため、BIMIのロゴと区別出来ないようになっています。この辺りはまだ発展途上で今後表示のされ方が変わってくるかもしれません。

Yahoo!ブランドアイコン

Yahoo!メールでしか使用出来ないのが難点ですが、BIMIを採用している国内企業がまだほとんどない一方で、現時点で実際に使えるサービスになっています。参加企業もまだ多いとは言えませんが、着実に増えているようです。

・ブランドアイコン表示企業・サービス一覧
https://announcemail.yahoo.co.jp/brandicon_list/index.html

私もそうですが、楽天グループが含まれているので“楽天経済圏”の方にはおすすめです。

タイトルとURLをコピーしました