2021年の秋頃から「メールを使った攻撃」の件数が増加しており、前年同月比で8.5倍にもなった期間がある程急増中の「なりすましメール」。手口も非常に巧妙になっており、本物と見分けがつかないほどのなりすましメールについて、株式会社Spelldataの代表取締役を務める竹洞陽一郎(たけほら よういちろう)氏は、日本の企業のなりすましメール対策が遅れていることについて、今回行ったインタビューで「危機感を覚える」と話している。

年々狡猾になる「なりすましメール」に要注意！

株式会社Spelldataは、Webサイトなどの表示速度を24時間・365日計測・分析し、フロントエンド・バックエンド両方の改善によって全国どこからでも1秒以内に表示完了できるまで高速化するという業務をメインにサービスを展開する企業。

高速化によって、注文確認のメールなどが増える一方で、なりすましメールを排除する必要があるため、最後のコンバージョンを確実にするためになりすましメール対策のサービスを販売開始されて1年半が経過し、現在は60ドメイン以上で利用されている。

代表取締役を務める竹洞氏は、昨今増えている「なりすましメール」による被害に警鐘を鳴らす。

「アメリカ(ヨーロッパ)では主要企業の8割がなりすましメール対策の技術を導入していますが、日本では殆ど普及していません。」と語る。

日本国内では、2021年秋頃から急速に増加したなりすましメール。SNSなどでも「某運送会社を名乗ったなりすましメールが届いた！」「国税庁を騙ったなりすましメールが来たよ。」という投稿を見たことがある方も多いだろう。実際に手元に届いた方もいるのではないだろうか。

竹洞氏は、日本のなりすましメールによる「マルウェア」感染や個人情報の抜き取り被害の拡大について話すと共に、なりすまし防止技術についても説明してくれた。

「SPF」「DKIM」「DMARC」なりすまし防止技術といたちごっこを繰り広げるなりすましメール

なりすましメールは、防ぐことは出来ないのだろうか。

結論から言うと、なりすましメールを防ぐための対策は存在している。

日本では内閣府や警察庁・厚労省・経産省などから、なりすましメール対策技術は推奨されており、さらに、「海外では主要企業のおよそ8割がなりすましメール対策を行なっている」と竹洞氏は教えてくれた。

一体どういう対策をとっているのかというと、私たち消費者が個別に対処するのではなく、なりすまされる側である企業などが対策を行い、自分達以外から来る「騙りによるなりすましメール」を受信しないよう、弾いてしまったり迷惑メールフォルダへ入れるといった指定が出来るのだとか。

SPF、DKIMは「メールサーバー内での認証」や、「公開鍵暗号方式(符丁や合言葉のようなもの)」で、一時は効果があり、なりすましメールは減っていた。

しかし、実はこの対策も長くは保たず、抜け穴をくぐり抜けるようになりすましメールが送られてしまっている。「本来ローマ字表記の配送業者のはずが、カタカナ表記での運送業者名を名乗ったなりすましメールが届いた」という事例が筆者にもあるが、まさにこれが「DKIM」突破のためのやり方なのだろう。

そこで現在アメリカやヨーロッパなどで主流となっている、なりすましメール対策として普及しているものが、「DMARC(ディーマーク)」と呼ばれる対策技術だ。

これは上述した2つの方法にプラスして、送信者側で変更が出来ないメールヘッダのReturn-Pathと「from」アドレスを照らし合わせてチェックする。これにより、一致しない不審なメールを確実に検出でき、更にDMARCのポリシーで「reject（排除）」と記述することで、受信者のメールボックスにそもそもなりすましメールを届けない設定にすることが可能となる。

しかし、日本では最新の1つ前のなりすましメール対策でも僅か2割ほどしか普及しておらず、最新かつ強固ななりすましメール対策「DMARC(ディーマーク)」に至っては、殆どの企業が導入していないのだそう。

なりすましメール対策をしていないと大変なことになる？

ここで1つの疑問が出るはずだ。「なぜなりすましメールの対策を企業が行わなければいけないのか？」と。

企業がしっかり対処・対策を行っているという、消費者へのアピールなのだろうか。

確かにその面もあるが、1番の問題は「騙られた企業が損害賠償請求をされてしまう可能性がある」という点に尽きる。

必要な水準の対策を取っていないとみなされると、不法行為を理由に損害賠償請求の責任が生じてしまうと、民法709条に定められている。さらに情報漏洩をしてしまった社員は、自分の会社から損害賠償を請求される可能性も出てくる。
※709条：故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。

感染が拡大しているマルウェア「Emotet(エモテット)」を送りつけるサイバー攻撃だけでも、2022年1~3月で過去最多の検出量となる107,670台に。さらにデータを人質に取って解放と引き換えに身代金を要求する「ランサムウェア」の発生件数も増加傾向にある。

こういったリスクを考えると、なりすましメール対策をしっかりと行なっていることは、私たち一般消費者の身を守るためにも、企業側のリスクを抑えるという意味でも必須。

そこで、上述した「SPF」「DKIM」「DMARC」を設定することで、受信メールにロゴを表記することが出来る「BIMI」という機能が、大きな意味を持ってくる。

なりすましメール対策で高い信頼性を担保してくれる機能「BIMI」

BIMI(ビミ)は、上述した「DMARC」などの対策をしっかり行なっており、信頼性が高いと認証された場合に、メールに商標登録されたブランドロゴを表示させる機能。

送信するメールにブランドロゴが付くことで、一目でなりすましメールでないことが判別しやすくなり、被害の低減が期待出来るほか、信頼性の向上によりメール開封率(閲覧率)の向上が期待出来る。

効果は劇的で、メール開封率は平均160〜170%、さらに無名の企業でもメール開封率が上がったというデータもあるそうだ。

逆に言えば、この「BIMI」を表示していない企業は、なりすましメールを送る犯罪者たちにとっては「カモ」と言っても過言ではないだろう。セキュリティ対策をしっかりしているかどうかが、分かりやすくなったということは、対策をしていないカモとなる企業も分かりやすいという事なのだ。

Spelldataでは、なりすましメール対策のDMARCをはじめ、BIMI取得までの手続きサポートのサービスも提供している。

実際に竹洞氏が自社でSPF・DKIM・DMARC・BIMIを設定したところ、2～3ヵ月でなりすましメールはほぼ100%なくなったという。

竹洞氏はなりすましメール対策が遅々として進まない日本企業に危機感を抱いていると共に、そこに商機があるとも話す。

「ITシステムはコストではなく、お金を産む可能性がある。」

開封率が上がることで、メールマガジンや営業メールなどの成功にも繋がる可能性はあるほか、将来的にはなりすましメール対策は必須となることは間違いない。既に大手企業の一部では、サプライチェーン内での取引企業のセキュリティチェックを始めているとも報じられている。

被害が出てからでは遅い、なりすましメールによる違法行為。大きな損害が出る前に迷惑メール対策を始めることが肝要だ。

「情報がなく分からない」という方は、専門家に頼ってみるとよいだろう。
竹洞氏の運営するSpelldataでは、可視化のしやすさや料金の手頃さなども相まって、大手企業などからも依頼されているそうなので、なりすましメール対策に課題を感じている方は一度問い合わせてみてはいかがだろうか。

【株式会社Spelldata】
本店：東京都千代田区大手町一丁目7番2号 東京サンケイビル27階
資本金：1000万円
設立：2000年10月16日
代表取締役：竹洞 陽一郎
WEBサイトURL：https://spelldata.co.jp/