ドコモメールが「DKIM」「DMARC」に対応、より高精度ななりすまし対策が可能に

公開日:2022/08/30
  • このエントリーをはてなブックマークに追加
freemail.jpg

 NTTドコモが提供するキャリアメールサービス「ドコモメール」において、送信元ドメイン認証方式として新たに「DKIM」及び「DMARC」に対応したことが発表されました。既に対応している「SPF」と併せ、DKIM・DMARCでの認証が可能となったことから、高精度ななりすまし対策として期待されています。

 今もなお後を絶たないなりすましメールへの対策として、今回ドコモメールが対策を強化した背景とメールセキュリティの現状について取り上げます。



1.ドコモメールにおけるなりすまし対策


 既に2021年の時点で、ドコモメールでは「公式マーク」の導入に際しSPFによる送信元ドメイン認証が実装されていました(参考:ドコモメールが「公式マーク」対応をスタート、適用メリットや仕組み、その方法は?)。公式マークは、SPF認証をpassした=送信元が詐称されていないメールを「企業公式から送られているメール」としてドコモがお墨付きを与える仕組みで、金融機関やEC事業者をはじめ国内既に50以上の企業が対応しています。

 認証に用いられているSPFは、国内で流通するメールのおよそ9割が対応しており広く普及した認証方式であるものの、転送などで元の送信元以外のサーバーを経由して届いたメールだと認証が出来ないという設計上の欠点もあります。


 一方、DKIMはSPFと比べ設定に手間を要するため普及率は4割強に留まっているものの、メールそのものに電子署名を付加する方式のため転送などによって配送経路が変わっても影響を受けない点が特長です。そのため、SPFとDKIMの両方に対応させることで、それぞれの欠点や普及度のギャップを補いつつ送信元認証の精度を高められます。今回のドコモメールにおける対応は、より強固ななりすまし対策を実装することでユーザーの安全を守るためのアップデートと言えるでしょう。


2.今もなお後を絶たない「なりすましメール」の被害


 インターネットの利活用に関する様々な調査を行っている一般社団法人日本データ通信協会が発刊する「迷惑メール白書 2021年版」によりますと、2020年度国内で認知されたメールを起点としたフィッシング詐欺は30万件を超え、過去最多となりました。2019年の認知件数が約7万件だったことを考えると驚異的なペースで増えており、実際には報告されなかった事案も一定数存在すると考えると、実態はより深刻であると推察されます。

 フィッシング詐欺は、正規の送信者になりすましたメールを送り付け、受信者を安心させたうえで悪意のあるリンクへ誘導し、個人情報や金融資産情報(クレジットカード情報や銀行口座の番号、暗号資産のウォレット情報等)を抜き取る手口が一般的です。ひとえに、受信者がそのメールの送信元に疑問を持ち、確認するプロセスを経るだけで防げる機会も多かったはずです。しかしながらなりすましメールは年々巧妙化しており、実在するドメインと類似した文字列を送信元ドメインとして表示させる、ビジネス上のよくある用件(請求書や資料送付など)に見せかけて添付ファイルの開封を促す、等といった手口で受信者の隙を突こうとしてきます。


 こうした犯罪を未然に防ぎ、その手口をふさぐ観点からも「送信元が詐称されていないか」を担保する仕組みとして普及が期待されているのが、冒頭でご紹介した送信元ドメイン認証の仕組みです。受信側での取り組み(フィッシング詐欺に近いパターンのメールを自動で迷惑メールに振り分ける等)も進みつつありますが完全ではなく、やはり水際にあたる受信トレイ、もしくはメール文章内にて「なりすまされていないか?」と気づくことのできる仕組みとして、送信元ドメイン認証の仕組みが重要となってきます。

 先ほど触れた通り、SPFの普及率は9割ほどに上る一方で、DKIMの普及率は4割台にとどまっています。DKIMの設定には電子署名の解読に利用する秘密鍵・公開鍵の作成が必要であり、サーバー設定の権限や知識が無い人にとっては難しく感じられることが普及率の差に現れていると推察されます。メール配信サービスやレンタルサーバーの提供事業者によりSPF・DKIMの設定をサポートしているケースもありますが、サポートがオプションとして有償サービスに入っていることや、そもそもDNS編集が出来ない場合もあり、今後の普及における課題の一つとも言えます。加えて、なりすまし対策技術そのものの認知向上も、普及に向けた課題として提起されています。


大手企業に選ばれ続けるメール配信システム Cuenote FC


3.おわりに


 今回は、ドコモメールにおけるなりすまし対策の強化と、今もなお被害が後を絶たないなりすましメールの実態について取り上げました。

 いくら送信側が対策を行ったとしても、認証済みであることを受信側が認識できなければ意味がありません。ドコモメールにおいては、単になりすまし対策を実装するのみでなく「公式マーク」の仕組みなどを通じ、受信者=自社ユーザーの視認性を高めることによってなりすまし対策の実効性を高めている点が特徴です。と同時に、企業から消費者に送られるメールの重要性が高まっていることの表れとして、送信元の同一性をキャリアが担保する仕組みが取り入れられているとも考えることが出来ます。誰しもがターゲットになる可能性のあるなりすましメールの被害を未然に防ぐためには、送信側・受信側そしてそこに介在する事業者が一体となって対策を進めていくことが重要です。


メール配信システム・メルマガ【Cuenote FC】 キューノート エフシー

メール配信システムCuenote FC(キューノートFC)は、会員管理やメール配信後の効果測定をグラフィカルに表示。システム連携用APIなども提供しており、一斉配信からメールマーケティングまで行えます。独自開発のMTA(配信エンジン)とノウハウで、月間のメール配信数60億通・時間1,000万通以上(※)の高速配信を実現し、スマートフォンや携帯にもストレスなく高速・確実にメールを届けます。 ※クラウド型サービス(ASP・SaaS)の実績値

メール配信システム・メルマガ【Cuenote FC】について詳しく見る >>


この製品に関してのお問い合わせ

  • このエントリーをはてなブックマークに追加
この記事の運営企業

東証グロース上場のユミルリンク株式会社は、18年以上にわたり、メール配信システムをクラウドサービス・ソフトウェアとして提供し、メールに関する専門的な技術や運用ノウハウを蓄積してきました。
メール以外にも、SMS配信サービスWEBアンケート・フォームシステムもクラウドサービスとして提供しています。

ページの先頭へ