突撃！となりのエンジニア！なりすましメールの今と対策についてわかりやすく解説【前編】

田：早速ですが小島さん。最近、迷惑メールフィルターをすり抜けてくる怪しいメールが増えた気がするのですが、これって気のせいでしょうか……？

小島さん：いえ、気のせいではありません。むしろ状況は悪化しています。実際に従来のスパムフィルターでは防げない巧妙なメールが増えているんです。

田：やっぱり……。昔は日本語がおかしかったりして、すぐに「怪しい」と気づけたのですが、どんどん巧妙化しているし、届くメールの量もどんどん増えている気がします…。このような巧妙ななりすましメールが急増している理由って何かあるのでしょうか？

小島さん：最大の理由は「AI」の登場といえると思います。2022年末にChatGPTが登場して以降、海外の攻撃者がAIを使って完璧な日本語を書けるようになってしまいました。さらに、実はメールの仕組み上、昔から送信元アドレス（ドメイン）を偽装することはハッカーにとって非常に簡単なんです。それがAIによる自然な日本語と組み合わさったことで、見た目だけで判断するのはほぼ不可能な時代になっています。

田：恐ろしいですね。ドメイン（送信元アドレス）の見せ方をだます技術というのは、企業からのメールではなくてもその企業と同じドメインを使ってメールを送れるということなのでしょうか？

小島さん：はい。封筒の裏に書く『差出人』の名前を、勝手に他人の名前にしてポストに投函できるのと同じように、違うドメインから送っていてもメーラーの表示上は正規の企業アドレスに見せかけることができてしまうのです。

田：そんなことができるのですね…！そんなことまでできたら、騙されてしまう人も確かにどんどん増えていきそうです。実際に被害も増えているのでしょうか？

小島さん：はい。警察庁のデータでも、フィッシング詐欺の報告件数は右肩上がりです。特に2023年からは、銀行の不正送金被害額も一気に跳ね上がっています。AIの普及時期と見事に重なっているんですよ。

田：個人がだまされるのはもちろん気を付けておきたいところですが、よくよく考えたら、名前を使われた企業側にも被害者といえますよね？

小島さん：はい。そこがこの問題の根幹です。たとえ企業側に非がなくても、自社の名前をかたったメールでお客さまが被害に遭えば、「あの会社からのメールは信じられない」という不信感につながり、ブランドイメージが大きく傷ついてしまいます。

田：確かに〇〇社だからメールを開いたのに、それで被害にあってしまったら、不信感につながりますし、企業側にとっても立派な「被害者」といえますね。

小島さん：そうなんです。だからこそ、企業側としては「自社の名前を勝手に語らせない」ための対策が必要になります。

田：会社としてできる対策もあるのですね！具体的にはどんなものがあるんでしょうか？

小島さん：今、世界的に標準となっているのが「DMARC（ディーマーク）」という技術です。

田：聞いたことないキーワードですね…！具体的にはどんなことができるんですか？

小島さん：簡単にいうと、企業が自社のドメインに「このドメインを偽って送られたメールは、受信側ではじいてください」というルールを事前に設定しておくものです。これにより、攻撃者が偽装して送ったメールを、受信者の手元に届く前にブロックできます。

田：なるほど…！つまり、企業側からあらかじめ『これがうちの正しいメールの基準だよ』と宣言しておくことで、勝手に名前を使われた偽メールがお客さまに届くのを防げるということですね…！もし企業側がこのような対策ができるのであれば、被害に遭うお客さまも減りますし、企業側のブランドイメージも守れるので、Win-Winになりますね！

小島さん：その通りです。そしてもう一つ、今注目されているのが「BIMI（ビミ）」という仕組みです。

田：できることはDMARCだけではないんですね！BIMIは何ができるんですか？

小島さん：BIMI はDMARCで正しく保護されているメールに、企業の「公式ロゴマーク」を表示させる仕組みです。この対策ができるとGmailなどでメールを開いた際、送信者の横に青い認証マークや企業のロゴが表示されるようになるんです。

田：あ、Xなどでもよく見るようになりましたが、公式なものであると証明する企業マークみたいなもので、一目で公式だとわかるようになるやつですね？

小島さん：はい、「ロゴ所有証明書」は、厳しい審査を経て表示されるものなので、攻撃者は真似できません。DMARCが「裏側での防御」なら、BIMIは「表側での信頼証明」といえますね。あまり聞き馴染みのないキーワードかもしれませんが、海外ではこれらの対策がごく一般的にされているんです。

田：海外ではすでに当たり前に近いのですね！今思えば、昔のWebサイトは『保護されていない通信』と警告が出なかったですが、今となっては対応していない（SSL化されていない）サイトはブラウザ側が制限しますもんね…！メールの世界でも、それと同じようなことが起こりそうですね！

小島さん：そうなんですよ！実はGoogleや米Yahoo!、Microsoft（Outlook）などはすでに、DMARCを導入していないドメインからのメール受信を制限し始めています。日本でも、対策をしていないと「メールが届かない」という時代がすぐそこまで来ているといっても良いと思います。

田：海外では一般的になりすましメール対策として導入されるDMARCやBIMIについて、すぐにでも導入した方が良さそうですが、自社ですぐに設定できるものなのでしょうか？

小島さん：正直にいうと、ハードルはかなり高いです。DMARCは専門的な知識が必要で、もし設定をミスすると「本物の自社メール」まで届かなくなってしまうリスクがあるからです。

田：なんと…それは怖いですね……。エンジニアの方とかでも難しいのでしょうか？

小島さん：運用エンジニアの方でも、DMARCを触ったことがないという方は多いです。そのため、私たちのような専門チームが代行したり、第三者として知見を提供したりするケースが増えていますね。

田：本日はありがとうございました！なりすましメール対策は、単なるセキュリティの問題ではなく、企業の「信頼」を守るためのブランディング対策な側面もあるんだなと実感しましたし、先ほどのWebサイトのSSL化のお話のように、メールでもこのようにDMARC対策などがされていないと「メールが届かない」という時代に突入し出しているということがよくわかりました。

小島さん：その通りです。お客さまに安心してメールを開いていただくために、ぜひ早めの対策を検討開始していただきたいですね。

田：弊社のサービスでも、ロゴの調整からDMARCの設定までまるごとサポートしていますので、まずは現状の課題感だけでもお気軽にご相談ください！今ならお問い合わせで初月50%オフのキャンペーンも実施中です。ぜひチェックしてみてくださいー！