BIMIとは?Yahoo!も対応開始、フィッシング対策に繋がる送信元認証

先月、インターネット大手・ヤフーが自社サービスからのメールに対する「BIMI対応」を発表しました。BIMIは、DMARCをベースとした送信元認証の仕組みで、メールの受信トレイや本文で自社のロゴを表示させることで送信元が詐称されていないことを視覚的にアピールでき、フィッシング詐欺をはじめとしたなりすましメールによる被害の防止に役立つことが期待されています。
今回は、BIMIの仕組みとその役割、普及に向けた取り組みなどをご紹介します。
1.BIMIによる送信元認証の仕組み
BIMI(Bland Indicators for Message Identification)とは、その送信元から送られている正規のメールであることを示すために、自社や当該サービスのロゴマークをメールに表示させる仕組みです。
(図)BIMIに対応したメールの例。右のように自社のアイコンを表示できる。
上のように、BIMIの設定がされていない場合にはアカウント名の頭文字やイニシャル等が表示されますが、BIMIの設定がされている場合は右図のようにロゴが表示されるようになります。
BIMIの判定にはDMARCを採用
BIMIにおいて前提となる「送信元が詐称されていないか」の判断には、送信元ドメイン認証の仕組みであるDMARC(Domain-based Message Authentication, Reporting, and Conformance)が用いられます。DMARCは、送信元ドメイン認証技術のSPF(Sender Policy Framework)及びDKIM(DomainKeys Identified Mail)により「なりすましメール」と判定されたメールに対する受信側の取り扱いを定義(ポリシー宣言)する仕組みで、「そのまま受信する(none)」「受信したうえでスパム扱いする(quarantine)」「拒否する(reject)」の3種類から取り扱いを定義することができます。
ここで言う「なりすましメール」は、DMARCがよりどころとしているSPF及びDKIMによる認証の何れにも失敗したメールを指します。但し、これには「なりすましではないけどSPF及びDKIM何れの設定もされていない」メールも含まれます。現在、日本国内におけるDKIMの普及率は50%程度であるものの、SPFの普及率は90%程度とされておりほとんどのメールが何れかの認証には成功する一方で、裏を返せば全体の最大1割程度は認証に失敗する可能性があります。そのため「拒否」扱いとした場合に、なりすまされていないメールも正しく受信できなくなるリスクが存在します。
しかしながら、BIMIはその適用対象を「DMARCポリシーで『拒否』と定義されているドメイン」に限定しています。即ち「未設定も含めて認証できないドメインからのメールを受け取らない」という強力ななりすまし対策水準を設ける必要があり、当然ながら送信側自らが正しくDMARC対策を行わなければなりません。後述する通り、BIMIへの対応は単なるなりすまし対策のみならずレスポンス率の向上にも資するものであり、その適用を受けようとする事業者には適切ななりすまし対策を講じるよう求めていると言えます。
2.BIMIは送信者側にとってどう役立つのか
BIMIはなりすまし対策として実装されており、その本義は「受信者が正規の送り元か否かを視覚的に判別しやすくする」点にあることは言うまでもないでしょう。
一般に、画像は文字の10倍近い情報量を持つと言われています。また、送信者名やアドレス、件名などはどのような名称を騙っても問題無い一方で、BIMIは認証済みの送信元でないと対応できないこともあり、アイコンやロゴが画像として表示されていることの安心感は特に高いと言えます。
しかしながら、BIMI対応によって送信者側として特に期待できるのは「受信トレイ内で目立つようになり、反応アップが期待できる」点ではないでしょうか。
上記の調査結果からわかる通り、ビジネスでも既に3分の1が、プライベートでは過半数がメール閲覧環境として「スマートフォン」を利用しています。また、PCからの閲覧でもWebメールクライアントを利用する場合、スマートフォン同様にBIMIへの対応が可能です。
ただでさえ文字の羅列であることの多い受信トレイにロゴやアイコンがあれば、それだけで目を引く要素になり得ます。さらに今はまだ対応している送信元事業者が多くない段階でもあり、より視覚的な訴求効果が高いタイミングとも言えます。現時点では、受信トレイ内で表示できるリッチコンテンツは「件名・プリヘッダーの絵文字」と「BIMI対応によるアイコン・ロゴ画像」しかなく、「開封前に高い訴求力を持つ」数少ないコンテンツの1つとしても、送信側にとって活用価値は大いにあると考えられます。
3.各プラットフォーム・事業者における対応状況
現時点ではBIMIは「Internet-Draft」の段階で、正式な規格(RFC)として定義されていない状態です。しかしながら、昨年Gmailが対応を開始したのに続き、今年9月にMac OS及びiOSでのサポートが開始されました。BIMIはそれ自身というより、その前提となるDMARCへの対応において送信側事業者に一定の手間を必要とするものでありますが、受信トレイを司るプラットフォーム側での対応が進むことによって、本格的な普及の足掛かりとなることが期待されています。
4.まとめ
今回は、なりすまし対策の一環として普及が期待されるBIMIについて、その仕組みと効果をご紹介しました。
Yahoo! における導入の話題をご紹介しましたが、同社サービスは特に積極的にメールによるプロモーションを活用しており、Yahoo! を騙る正規でない送信元からの被害を防ぐため、受信者保護の観点から導入に至った経緯があります。
Webマーケティングの進展によりメールの送信数量も増えていますが、活発なメールコミュニケーションを実施していたり、販促チャネルとして重視していたりする場合にはなおさら、なりすまし対策をはじめとしたメールセキュリティの強化が求められます。ロゴ・アイコンの表示による反応向上の効果も含め、送信者側のより一層の取り組みに期待です。
キューノート エフシー
メール配信システムCuenote FC(キューノートFC)は、会員管理やメール配信後の効果測定をグラフィカルに表示。システム連携用APIなども提供しており、一斉配信からメールマーケティングまで行えます。独自開発のMTA(配信エンジン)とノウハウで、月間のメール配信数60億通・時間1,000万通以上(※)の高速配信を実現し、スマートフォンや携帯にもストレスなく高速・確実にメールを届けます。 ※クラウド型サービス(ASP・SaaS)の実績値