フィッシング対策協議会、「なりすまし送信メール」の対策をサービス事業者向けに解説

フィッシング対策協議会「なりすまし送信メール対策について」より

　フィッシング対策協議会は、サービス事業者向けに、実在する事業者の正規のメールアドレス（ドメイン）をかたってメールを送信する「なりすまし送信メール」の対策を解説した記事「なりすまし送信メール対策について」を公開した。

　同協議会によると、なりすまし送信メールは2020年以降急増し、現在もフィッシングメールの半数以上を占めるという。正規のドメインをかたることで、受信者は正規のメールだと誤認し、フィッシング詐欺に遭うケースが増加していると考えられる、としている。

　公開された記事では、なりすまし送信メールとは何かを簡単に解説した後、メール受信側が正規の送信元からのメールかどうかを検証できる「送信ドメイン認証」のための3つの技術「SPF」、「DKIM」、「DMARC」の概要を解説。検証方法はそれぞれに異なり、正規のサーバー（IPアドレス）から送信されたかを検証するSPF、電子署名で検証するDKIMの単体だけでは認証をすり抜けることがあるが、両者の検証結果を使って検証するDMARCにより、それらを検出できるとしている。

受信者のメールソフトに表示されたなりすまし送信メールの例。「なりすまし送信メール対策について」より

　送信ドメイン認証では、各技術をサポートしているメールサービスが検証を行うが、検証に対応するために、事業者がするべきことも解説。検証に使われる情報が3つの技術で異なり、事業者はDNSでそれぞれを公開しておく必要がある。

　このほか、記事の最後では、技術資料などへのリンクや同協会ほかによる講演資料など、実践や理解を深める際に参考になる情報も紹介されている。

DMARCの概要図。「なりすまし送信メール対策について」より

　送信ドメイン認証に対応するメリットは、受信側が正規の送信元かなりすましメールかを検証できるようになることだが、これに加えて、正規のメールであることを視覚的に確認できる「BIMI（Brand Indicators for Message Identification）」や、「Yahoo!ブランドアイコン表示」「ドコモメール公式アカウント表示」を利用できることを挙げている。

　これらは、対応するメールサービスの受信トレイなどの画面で、メールの件名と一緒にサービスのアイコンが表示されるサービスで、一目で正規のメールであることが分かるようになる。