ニュース

「プレミアムバンダイ」をかたる偽メール対策として「DMARC」技術を導入

 バンダイの公式通販サイト「プレミアムバンダイ」を運営する株式会社BANDAI SPIRITSが、なりすましメール対策として「DMARC」技術を導入し、株式会社TwoFiveが提供するDMARC可視化サービス「DMARC / 25 Analyze」を採用した。TwoFiveが15日、発表した。

「DMARC」技術および「DMARC / 25 Analyze」サービスの仕組み

「DMARC」とは?

 「DMARC(Domain-based Message Authentication, Reporting & Conformance)」とは、メールの送信者情報を詐称して送信される“なりすましメール”への対策のための仕組み。

 メール送信者の身元を判別するための送信ドメイン認証技術としてはすでに、IPアドレスに基づく「SPF(Sender Policy Framework)」と、電子署名に基づく「DKIM(Domain Keys Identified Mail)」という方法が普及しつつあるが、これらSPF/DKIMでは、認証に失敗した場合、なりすましメールなのか、何らかの技術的な問題が発生しているだけなのか判断することが難しいという。そのため、認証に失敗したメール(なりすましの可能性のあるメール)についても、多くの場合は受信を拒否(破棄)しない運用になっているのが現状だとしている。

 これに対してDMARCでは、SPF/DKIMの認証に失敗したメールを受信側がどう扱うべきかというポリシーを、送信側(ドメイン管理側)で設定できるようにしている。具体的には、「何もしない(そのまま受信)」「隔離」「拒否」といった設定がある。これにより、認証に失敗したメールを、受信側で不正メールと断定し、適切に破棄できるようになるという。また、ドメイン認証設定の正当性を確認して配信されたメールの状況を送信側で把握できるよう、受信側の認証結果をDMARCレポートとして送信者が受け取ることもできるようになっている。

 DMARCは“なりすましメール撲滅の切り札”とされており、世界的に導入が加速し、成果が上がっている一方で、日本では導入が遅れているのが実情だと、TwoFiveでは指摘する。

「DMARC」の認証結果情報を可視化できる「DMARC / 25 Analyze」

 TwoFiveが提供する「DMARC / 25 Analyze」は、DMARCで提供される膨大なXML形式の認証結果情報(DMARCレポート)を解析・可視化することで、「メールを利用する全ての企業や団体が、特別な専門知識がなくてもDMARCレポートを適切に活用できるように支援する」ためのサービスだ。既存のメールサーバーに導入・設定すればすぐに使用を開始できるクラウド型サービスとなっており、DMARCの活用をより簡単に行えるとしている。

 具体的には、DMARCレポートを集計し、「なりすまし疑い:第三者がなりすまして送信した可能性の高いメール」「転送メール:認証に失敗しているが、転送された正規のメールである可能性が高いメール」「認証失敗:送信者は正規のユーザーの可能性が高いが、何らかの技術的な問題で認証に失敗しているメール(ドメイン管理者が把握していないネットワークからの送信など)」「正規のメール:DMARCの認証に成功しているメール」に分類。なりすましの疑いがあるメール送信を検知した場合、レポート上に警告を表示し、管理者に通知するなどの機能もある。

 「このサービスを利用することにより、自社のドメインが不正利用されていないか確認することができ、なりすましの疑いがあるメール送信を迅速に検知できる。万一、不正な送信に利用された場合でも、フィッシングメールの存在や内容を的確に把握できるので、自社のメールを受信する可能性のある顧客やビジネスパートナーに警告通知するなどにより、被害を抑止することが可能」(TwoFive)。

 BANDAI SPIRITSが運営する「プレミアムバンダイ」では、さまざまな人気キャラクター製品を販売するバンダイの公式通販サイトとして、受注・発送連絡やメールマガジンによる各種キャンペーン/プロモーションなど、数百万人規模の顧客とのコミュニケーション手段としてメールを活用している。これまでも、なりすましメール対策として送信ドメイン認証技術のSPF/DKIMなどを導入しており、これにに続いて今回、DMARCを導入したかたちだ。