DMARC活用通信キャリアが考えるなりすましメール対策（JPAAWG講演レポート）

2025年1月17日掲載

インターネットを利用した詐欺が年々巧妙化する中、フィッシングやなりすましメールの被害が急増しています。これらのメールは、一見すると本物の送信者からのように見せかけてユーザーの個人情報や機密データを騙し取ろうとします。特に有名企業やブランドを装ったフィッシングが多発しており、社会的にも大きな課題となっています。

こうした状況を踏まえ、2024年11月にメッセージングセキュリティを中心にインターネット上のさまざまな脅威への対策を協議するJPAAWG（Japan Anti-Abuse Working Group）が開催した7th General Meetingの中で、携帯電話キャリア3社の有識者が『通信キャリアが考えるDMARCを活用したなりすましメール対策』と題して講演を行いました。
本記事では、講演内容を振り返りつつ、メールを取り巻く現状を解説しながら、メールセキュリティ分野で注目されているDMARCを中心とした送信ドメイン認証技術の仕組み、さらにその先にある、メールの正当性を視覚的に示す「BIMI」という技術について詳しくお伝えします。

メールを取り巻く現状

昨今、フィッシングの被害が急増しています。フィッシング対策協議会のレポート^※1によると、2023年のフィッシング報告件数は過去最多の119万6390件を記録し、前年から約1.2倍増加したと言います。2024年に入ってからも増加傾向は続いており、そこにはモバイルへの攻撃拡大やAIの活用も背景にあると言われています。

※1 出展：フィッシング対策協議会「フィッシングレポート2024」

講演では、ソフトバンクの熊沢が、その多くになりすましメールが悪用されていると説明しました。

「皆さんご存知の通り、フィッシングには、なりすましメールが悪用されています。フィッシング協議会の報告によると、フィッシングの77%程度が実在するサービスのメールアドレス（ドメイン）を使っていると言います。メールヘッダーの偽装自体は難しくないため、もはや対岸の火事ではなく、自分たちのドメインがいつなりすましに悪用されるのか、秒読みの世界に入っています」（ソフトバンク熊沢）

そんな中で、政府も具体的な方向性を示したと言います。

「2024年6月に開かれた、犯罪対策に関する重要事項を検討・決定する犯罪対策閣僚会議の中で、フィッシングに対して、岸田前総理が直々に『送信ドメイン認証技術』を推進していくという、具体的な技術の概要を指し示して提言しました。これは大きな内容でした」（熊沢）

送信ドメイン認証技術とDMARC

前段の本会議で出た『送信ドメイン認証技術』とは、なりすましメールやフィッシングを防ぐために設計された仕組みのことです。SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、そして、DMARC（Domain-based Message Authentication Reporting and Conformance）からなっており、これらの技術を組み合わせることで、安全で信頼性の高いメールの運用が可能になります。

SPFは、メール送信元のドメインが正規のものであるかを確認する技術 のことで、まずメールを送信するサーバー側が、使用するIPアドレスなどをDNSに登録し、正当性を明示します。受信側は、届いたメールの送信元IPアドレスをDNSの情報と照らし合わせ、不正なメールかどうかを判別します。このシンプルな仕組みにより、なりすましメールを効果的に防ぐことが可能です。

SPFの仕組み

一方、DKIMは、メールが送信中に改ざんされていないことを保証する技術 です。送信側が秘密鍵を使ってメールに電子署名を付与し、その検証に必要な公開鍵をDNSに登録。受信側がこの公開鍵を利用して署名を確認し、送信内容が改ざんされていないことを確認します。このプロセスを経ることで、信頼性の高いメール運用が実現します。

DKIMの仕組み

そして DMARCは、SPFやDKIMを統合し、それらの認証結果を基に受信側でどのような対応を行うか指示する仕組み です。SPFやDKIMが正しく設定されていても、認証に失敗したメールをどう扱うかが明示されていなければ、不正なメールが受信者に届いてしまう可能性があります。DMARCでは認証に失敗した場合に『何をするか』（ポリシー）をDNSに設定します。認証に失敗したメールをそのまま受け取る（p=none）、隔離する（p=quarantine）、完全に拒否する（p=reject）といった選択肢があります。

DMARCの選択肢

クレジットカード会社に対し、経済産業省、警察庁、総務省が共同でDMARC対応を推奨する要請をしたり、 Google や米国の Yahoo! が1日に一定数以上のメールを送信する企業にDMARC対応を義務化する「メール送信者のガイドライン」を発表した背景もあり、DMARCは日本企業でも急速に広まりつつあります。NTTドコモの正見氏は、DMARCの普及について次のように説明します。

「たった1年で状況は劇的に変わりました。弊社が想定していた以上にDMARCの普及は進んでいると考えています。ドメインベースで見たときに、2023年10月では大体6割ぐらいのドメインがまだDMARC未導入という状況でした。2024年10月では未導入は9%程度。ほとんどの企業が「p=none」まではやっていただいたと考えています。一部まだできていない業界があるとすれば自治体です。まだ未導入の団体様があると伺っているので、引き続き導入をお願いできればと思っています」（NTTドコモ正見氏）

「p=none（そのまま受け取る）」ではなく「p=reject（拒否）」にしなければいけない訳

多くの企業が導入時に「p=none」の設定のまま放置してしまうことがありますが、これでは本来のDMARCの効果を十分に発揮することができません。「p=none」はあくまで監視目的であり、認証に失敗したなりすましメールもそのまま届いてしまうからです。NTTドコモの正見氏は「p=none」ではなく「p=quarantine」や「p=reject」にする必要があると強く訴えます。

「最近は『p=none』のドメインが踏み台として勝手に使われているという状況です。無関係な企業においても全て被害者になる可能性があることをご理解いただきたいと思います」（正見氏）

また、踏み台にされた場合の影響についても解説します。

「もし自社のドメインが踏み台にされてしまった場合、まずそのドメインのレピュテーションが下がりますので、スパムに判定されやすくなってしまいます。また、お客さまから多くの問い合わせが寄せられるため、対応に追われ、業務負担が増大する恐れがあります。自社が何も悪くないのに『なりすましにご注意ください』のような、本来出さなくてもいい告知を出さなくてはいけない。これによってお客さまに伝わるデメリットも非常に大きなものだと考えています。ですので、踏み台にされてからでは遅い。踏み台にされる前に、最終的にしっかりと「p=reject」にしておくことが重要です」（正見氏）

その先にあるBIMIへ

DMARCをベースに、メールの信頼性をより効果的に伝えるための仕組みとして BIMI（Brand Indicators for Message Identification）があります。BIMI は、DMARCによって送信元の正当性が保証されたメールにブランドロゴを表示するもので、「安全であること」をより視覚的に分かりやすくする仕組み です。これにより、受信者はメールの正当性を一目で確認でき、不審なメールとの区別が容易になります。

BIMIイメージ、認証されたメールに企業ロゴを表示できる

BIMIイメージ

KDDIの中島氏はBIMIについてこう説明しました。

「DMARCの次のステップとしてBIMIがあります。auも1年くらい前にBIMI対応を完了してますが、『p=none』ではBIMIは表示されません。色々とやることはありますが、『p=reject』までできればBIMIまでの大きな峠も越えたともいえます。『p=reject』、そしてBIMIまで行い、安心なメールを『安心なメールだよ』とお客さまにしっかりお伝えするところまで行っていただければと思います。auではたくさんのメールを受けていますが、かなりのドメインがロゴ表示されているのを確認していて、今は500を超えるドメインでBIMIのロゴが出ている状況ですので、ぜひ一員に入っていただければと思っています」（KDDI 中島氏）

まとめ

本記事では、急増するフィッシングやなりすましメールの現状を背景に、JPAAWGの講演を振り返りながら、DMARCを中心とした送信ドメイン認証技術の仕組みと重要性を解説しました。DMARCはSPFやDKIMと連携し、なりすましメールのリスクを大幅に減らすことが可能ですが、「p=quarantine」そして「p=reject」に設定することが重要です。また、DMARCの先にあるBIMIは、メールにブランドロゴを表示することで、受信者に視覚的な信頼性を提供し、なりすまし対策をさらに強化します。

なりすましメールの脅威が増加する中、自社はもちろん取引先や顧客の安全性を確立するためにも、適切なメールセキュリティ対策は企業にとって不可欠です。ソフトバンクでは、攻撃の対策を一括で行える次世代型メールセキュリティプラットフォーム「Proofpoint Eメールセキュリティ」や、DMARCへの対応を強力に支援する「Proofpoint EFD」を提供しています。ご興味がある方はこちらも併せてご確認ください。