見出し画像

「クレジットカード業界(加盟店含む)必見! なりすましメール対策 ご紹介ウェビナー」でのご質問への回答

この度は、6/15(木)「クレジットカード業界(加盟店含む)必見! なりすましメール対策 ご紹介ウェビナー」にご参加いただき、誠にありがとうございました。

ウェビナー中にいただいたご質問への回答を致します。

Q1.特にSPF認証だけ対応しているような場合には受信先の環境によっては正しいSPF認証を設定していても、DMARC認証が失敗と判定されてしまうケースもあるかと思います。導入企業さまにおいては、本リスクの判断はどのように行ったのでしょうか。

A1.SPFのみでの対応ですと、やはり転送メールの取り扱いが問題になると思います。
同一メールシステム内での転送の場合は問題になることはありませんが、宛先から更に外部へ転送された場合、100% DMARC認証が失敗しますので、その不達リスクをどう考えるかになると思います。
実際にSPFのみで、ポリシーを強化した事例もあります。
その事例では、該当メールシステムから送られるメールの種類が、携帯メールアドレスなどに転送されるのが好ましくなかったため、転送先に不達になっても問題ないと判断されました。
このように、メールシステムの用途と、転送メール不達時の業務影響を勘案して、ディシジョンメイキングをしていただく必要があります。

Q2.DMARC等の導入を政府が勧めているということですが,どれだけの拘束力がありますか(例えば,導入しなければ罰金等)?日本だけでなく,海外の状況も教えていただけると幸いです

A2.法的な拘束力はありません。 ただ、今後は政府関連のシステム調達条件にDMARC等が含まれるなどで、商取引上、実質的に対応が必要なケースが増えてくると考えられます。

Q3.VMCを配置するサーバについて、制限や規定などありますか?

A3.VMCを配置するためにはDNSサーバへのBIMIレコードの設定と、認証済みロゴとVMCの配置が必要となります。
BIMIレコードの設定についてはVMCで指定の自社ドメイン名を管理しているDNSサーバに設定する必要がございます。
認証済みロゴ(SVGファイル)とVMC(pemファイル)につきましては公開ウェブサイトなど、一般公開されているサーバにHTTPS通信可能な状況で配置ください。

なお、VMC取得時にご申請いただいたロゴファイルと同一データのSVGファイルを配置していただく際に、改行コードなどが変換されてしまうとVMCのロゴが正しく表示されない原因となってしまいます。(アップロードの際やメールでロゴファイルの受け渡しをしている場合などに発生することがございます。)
これを防ぐために、デジサートではVMCのロゴファイルをお客様の代わりにホストするオプションを無償でご提供しておりますので、よろしければVMCご申請の際にオプションサービスをご選択ください。

Q4.別セミナーでDMARC普及率を見たのですが、まだrejectやquarantineのポリシーに設定している企業は少ないように思いました。DMARCポリシーがnoneでもなりしましメールへの抑制効果はあるのでしょうか。

A4.技術的には、DMARCポリシーがnoneの状態では、なりすましメールの抑制効果があるとは言えません。
一方、攻撃者の傾向として、セキュリティレベルの低いものを狙うという傾向がございます。
実際にポリシーをnoneで公開した後、なりすましメールの流通・問い合わせが減ったとの事例もあります。
どのドメインを悪用するかは基本的に攻撃者の手の内にありますので、現時点では何らかの効果がある可能性はありますが、DMARCの普及が進めば、効果は期待できなくなると考えられます。

Q5. DMARCのポリシーを「none」としてレポートの受け取り設定をする場合、受信先へのメール送達影響はないと考えておりますが、実影響が発生した例もないでしょうか。

A5.TwoFiveが知る限り、ポリシー「none」でのDMARCレコード公開での悪影響が発生した事例はございません。
ただし、DMARCレコード自体を削除したところ、最大1時間程度、gmailなどで迷惑メール扱いとなったケースがございます。
一度、DMARCレコードを公開した場合には、基本的には削除されないようにお勧めいたします。

Q6."どこまでいっても、なりすましメールは取り除けないと思いました。受信側のリテラシーがないと、BIMIなどでロゴ表示できなくても HTMLメールならメールを開くとロゴはそこで表示できてしまいます。 この差が利用者は認識できるか。 メーラで迷惑メールを締め出す、アラートを出すなど 利用者に明確に見分けがつく、もっと理想は、迷惑メールを受信しなくできるようになるでしょうか?

A6.ご意見の通り、100%は難しいと考えております。 ただし、BIMIのロゴの表示領域はHTMLメールでの指定ができない箇所です。
BIMIに対応している企業様は、ロゴ確認箇所の案内などの啓蒙活動も同時に行なっております。 そういった活動により認知度が上がれば、なりすましメールによる被害の絶対数を低減する効果は期待できるのではないかと考えております。

Q7. VMCを設置するWebサーバについて、メール送付ごとにアクセスがあると考えた方が良いでしょうか?数万通のメールを一斉送信したような場合には一気に数万件のアクセスが発生する可能性があると考えた方が良いでしょうか?

A7.ご認識の通り、理論上の最大値は、メール送信数宛先分のアクセスが来る可能性がございます。
ただ、実際には最初にBIMIの検証を実施するMTA、実際にロゴを表示するメールソフトともに過去の情報をキャッシュしますので、アクセスはかなり抑制されます。 実際にTwoFive社でウェビナーの案内をする際にはBIMIに対応したメールを送信しておりますが、VMCへのアクセス数はBIMIに対応した送信先アドレス数より遥かに少ないアクセスに留まっております。