JSSEC セキュリティコラム
25年7月号「メールなりすまし対策強化 ― BIMIの現状について」
~ CMC登場によるBIMI普及促進へ ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォン、その便利さの裏には思わぬ落とし穴が潜んでいます。それが、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
JSSEC技術部会・マルウェア対策WGでは、スマートフォン・サイバー攻撃対策ガイドの中で第8回※1、第11回※2でフィッシングメール詐欺対策としてコラムを公開しています。そのコラムの中で、フィッシング対策に有効な対策としてメール一覧やメール画面に送信元のブランドロゴを表示するBIMI(Brand Indicators for Message Identification)の紹介を行っています。また、JSSEC利用部会が2023年に発表したスマートフォン利用シーンに潜む脅威 Top10 2023※3の対策ガイドとして発表した、「スマートフォン利用シーンに潜む脅威Top10 解説ガイド(No.1:フィッシング)」※4の中でも、フィッシング対策に有効な効果としてBIMIの紹介を行い、サービス提供者に対して積極的なBIMI導入の推奨を行っています。
BIMIを導入する企業は、国内外で徐々に増加していますが、まだ認知度が低い状況です。したがって、BIMIの有効性の改めて説明を行い、また、BIMI導入の障壁となっていたVMC(Verified Mark Certificate)の取得に関する課題の対策として新たに導入されたCMC(Common Mark Certificate)の解説を行います。
BIMIはフィッシング対策だけではなく、メールにブランドロゴを表示することで、ブランド価値の向上も期待されています※5。本コラムを通じて、BIMIに興味を持たれた企業は、ぜひともBIMI導入の検討をされることを期待しています。
※1 https://www.jssec.org/column/20220620.html
※2 https://www.jssec.org/column/20240329.html
※3 https://www.jssec.org/report/news20230228.html
※4 https://www.jssec.org/smartphone-use-10threats202301
※5 https://www.palisade.email/resources-post/how-to-improve-your-open-rates-by-39-with-bimi
BIMIとは
BIMIは、メール一覧やメール画面に送信元のブランドロゴを表示する技術です。BIMIに対応すると図 1に示すように、メール一覧やメール画面にブランドロゴが表示され、送信者を視覚的に識別することが可能となります。
図1 BIMIによるブランドロゴ表示例
また、BIMIに対応するには、送信元がBIMIに対応したメールを送信し、受信側でBIMIに対応した認証を行い、さらにメールアプリなどがBIMIの認証結果をもとにロゴを表示する機能を備えている必要があります。すなわち、メールの送受信元に加えメールアプリの協力がなくては成り立たない技術です。 特に、受信側(以下、メールサービス)とメールアプリが対応していないと、送信側がBIMIに対応していてもロゴが表示されないため、メールサービスとメールアプリのBIMI対応が広まることがBIMI普及のカギと言って差し支えありません。
国内においては、2025年6月現在、表1に示すメールサービスとメールアプリの組み合せで利用すればロゴ表示が可能となっており、徐々にBIMI対応が増加しています。送信側がBIMI対応することでロゴ表示されるメールが増えつつあり、BIMI導入による効果が期待できる状況になっています。
表1 BIMI表示可能なメールサービスとメールアプリなどの主な組合せ例
なお、BIMIに対応しているメールサービスはBIMI GroupのHP※6に公開されており、比較的メジャーなメールサービスはBIMIに対応している状況です。
※6 https://bimigroup.org/bimi-infographic/
なぜBIMIの導入が必要か
メールは、郵便と同じ思想で仕様が策定されていると言っても過言ではありません。郵便では、宛先が正しければ、送り主を詐称して送信することが可能です。さらに言えば、架空の送り主を使っても問題ありません。
同様にメールでも、送信先のメールアドレスが正しければ、送信元のメールアドレスは、そのメールアドレスのドメインが存在していれば(一般的にはそのドメインがメール受信可能であること)、どのようなメールアドレスでもメール送信が可能となっています。特定のgTLD(Generic Top-Level Domain)や特定のccTLD(Country Code Top-Lever Domain)を使ったドメインを除けば、未使用のドメインであれば誰もが自由に取得できるため、攻撃者は攻撃に使うドメインを取得することで、詐欺メールなどを容易に送信することが可能になっています。
これらの対策として、送信ドメイン認証技術(DMARC(Domain-based Message Authentication, Reporting, and Conformance)※7、SPF(Sender Policy Framework)※8、DKIM(Domain Keys Identified Mail)※9)、による送信者の詐称対策が規定され、多くの企業が送信対策として導入しています。
しかしながら、これらの技術は送信されたメールのドメインが、正しい送信元から送信されたことを保証するだけで(例えば、JSSECのドメインである“jssec.org”から送信されるメールは、JSSECが管理するメールシステムから送信されていることのみが保証される)、その送信元が安全であるかどうかを判断できるものではありません。その結果、攻撃者もDMARCに対応してメールを送信することが可能であり、フィッシングメールを抑止する効果は期待薄となります。
これらの課題を解決するために登場したのが、メールアプリにブランドロゴを表し、そのメールの安全性を証明する技術であるBIMIとなります。
BIMIに対応したメールを送信するには、VMC(認証マーク証明書)という証明書を取得する必要があります。このVMCは、BIMI Group※10に承認されたIssuer(証明書発行機関)※11のみが発行を認められており、2025年06月時点では、DigiCert社、GlobalSign社、SSL.COM社の3社のみが発行可能です。また、VMCを取得する際には、サーバ証明書の1つであるEV(Extended Validation)証明書を取得する際と同様に、ドメイン所有者、ビジネス組織、および関連事業の法的実体などが取得時に求められ、厳格な審査が行われます。さらに、メールに表示するロゴは商標登録が必要となっています。加えて商標登録を行う機関も日本の特許庁を始め17の登録機関※12に限られています。その結果、Issuerが厳格にVMCの取得審査を行っていることが保証されるのであれば、BIMI対応しているメールは、十分信頼のおける企業のみとなり、攻撃者が入り込む余地がありません。
また、Issuerが信頼出来るかという観点がありますが、過去にサーバ証明書の発行管理に問題があり、ブラウザから証明書の無効化がされた事例がある通り、VMC証明書の発行管理に問題がある場合は、メールサービス提供者が該当のIssuerは発行する証明書を無効化することは可能であると推測され、厳格な発行管理を行うものと推測される。
したがって、BIMIに対応し、メールにブランドロゴが表示されるメールは安全なメールであることの保証となり、利用者もブランドロゴが表示されたメールは、その内容を信用しても問題がなくなります。
※7 https://datatracker.ietf.org/doc/html/rfc7489
※8 https://datatracker.ietf.org/doc/html/rfc7208
※9 https://datatracker.ietf.org/doc/html/rfc6376
※10 https://bimigroup.org/
※11 https://bimigroup.org/vmc-issuers/
※12 2025年2月時点で、United States Patent and Trademark Office (USPTO)、Canadian Intellectual Property Office、European Union Intellectual Property Office、UK Intellectual Property Office、Deutsches Patent- und Markenamt、日本 経済産業省 特許庁、Spain - Oficina Española de Patentes y Marcas、Office of Controller General of Patents, Designs and Trade Marks、(Korean Intellectual Property Office)、National Institute of Industrial Property, MOE (INPI)、IP Australia、French Patent and Trademark Office (INPI)、Benelux Organization for Intellectual Property、Danish Patent and Trademark Office、(Swedish Intellectual Property Office)、Swiss Federal Institute of Intellectual Property、Intellectual Property Office of New Zealand (IPONZ)の17機関
CMC(コモンマーク証明書)の登場
VMC取得にあたっては、表示するロゴの商標登録が必要であり、ロゴの商標登録から開始が必要な場合、取得に時間を要するという課題がありました。その結果、BIMI対応を考えた際に、タイムリーに導入できないという課題が存在しています。さらに、登録した商標は有効期間があり、有効期間が過ぎた後に更新していないケースも存在しています。さらに、商標登録されているロゴの形状がメール画面に表示する際に適切でない場合もあり、ロゴを加工したいという要望が存在していました。
これらの課題を解決するために、CMCが定義され※13利用可能になっています。また、CMCの種類としては、“Prior Use Mark Certificates(先使用マーク証明書)”と“Modified Registered Trademark Certificates(修正登録商標証明書)”の2つがあります。
Prior Use Mark Certificatesは、ロゴの商標登録が不要であることから、取得のハードルが低くなっています。しかしながら、どのようなロゴでも登録できてしまうと問題であり、登録するロゴは、申請者が1年以上利用していることが条件であり、登録にあたっては、そのロゴを先行利用していることを証明する必要があります。また、それ以外のロゴ取得時の審査はVMCと同等の審査となっており、誰もが容易に取得できるものではありません。
Modified Registered Trademark Certificatesは、“Modified”という単語からわかるように、商標登録したロゴを加工して登録することになります。ただし、どのように加工してもよいわけではなく、商標登録されているロゴから49%以上のデータを削除することは不可となっています。これにより、ロゴの形状がメール画面に表示する際に適切な形状でない場合などでも対応可能となっています。
これらの背景から、徐々にCMCを使ったBIMI対応サービスも増えてきています。
なお、参考までに、VMCも“Registered Mark Certificates(登録商標証明書)”と政府機関が利用する“Government Mark Certificates(政府マーク証明書)”の2つが定義されています。政府機関が利用するロゴは商標登録されていない場合も多く、政府機関がBIMI対応するには導入障壁がありましたが、Government Mark Certificatesが規定されたことで、政府機関でもBIMI導入が容易になっており、国内では金融庁が2025年3月にBIMI対応しています※14。
※13 https://bimigroup.org/announcing-common-mark-certificates/
※14 https://www.fsa.go.jp/common/about/gj-suisin/20250318.html
BIMI導入時の注意点
BIMIを導入することで、メールアプリにブランドロゴが表示されることで、提供するサービスの認識率が高くなるというメリットがあります。しかしながら、一部のロゴではロゴを表示する際に背景色が黒になっており、かつ、表示されるロゴも黒に近い色の場合、メールアプリに表示された際にロゴの識別ができないケースが散見されています。したがって、表示するロゴがメールアプリで識別できる形で表示されるか確認し、識別が困難な場合は、何らかの対処を行うことが推奨されます。
また、BIMIの導入時には、VMC/CMCの証明書ファイルとロゴデータであるSVGファイルをHP上で公開する必要があります。これらファイルを公開するにあたり、証明書発行先のシステムで公開する、SIerのシステムで公開する、自社のサーバで公開するの3つが主に利用されています。このうち、証明書発行先のシステムとSIerのシステムで公開する場合は、これら証明書を公開する条件に適した形で公開しているため問題はありませんが、自社のサーバで公開する場合、Webサーバの設定パラメータが不適切で問題となるケースがあります。一例として、ブラウザのキャッシュを0(禁止)にしている場合があります。一部のHPでは意図的にブラウザキャッシュをさせない設定にすることはありますが、BIMI関連のファイルを公開する際に、ブラウザキャッシュをゼロにしてしまうと、BIMI対応した該当のドメインからのメールを受信する都度、BIMI関連のファイル取得しにアクセスするため、もし大量にメールが送信された場合に、大量のファイル取得アクセスが発生することでサーバが処理しきれず認証失敗になる恐れがあります。そのため、ブラウザキャッシュを適切に設定する、自社で提供しているサービスのWebサーバ上で公開しているなどブラウザキャッシュを変更できない場合は、BIMI関連のファイルを公開するサーバを別サーバに変更し適切なブラウザキャッシュを設定するなどの対策が必要となります。ブラウザキャッシュをゼロにすることは、自社サーバに負荷をかけるだけではなく、受信側のサーバにも必要以上なファイル取得処理をさせ負荷をかけることになるため、絶対に避けるべきです。
一方、サーバへのアクセスを軽減するため、ブラウザキャッシュを異常に長い値に設定している場合があります。その結果、ブラウザキャッシュされている期間に証明書の有効期限が切れてしまい、結果としてBIMIの認証が失敗するケースも発生します。サーバ負荷を下げる目的でキャッシュを長くすることは対策として正しいですが、必要以上に長いブラウザキャッシュ時間を設定してしまうと、結果として証明書の認証失敗が発生するリスクが出てくるためブラウザキャッシュの時間は適切に選ぶことが重要となります。
このような問題を防ぐためには、証明書発行元のシステムで公開することが無難であると言えます。
BIMIの現状と課題
BIMIによるブランドロゴが表示されることで、自社サービスを詐称したフィッシングメールに対する抑止効果があり、さらに自社ブランドの想起によるメール開封率向上など、様々な効果が得られることから、導入する企業は図2に示す通り徐々に増えてきています。なりますまし対策ポータルサイト「ナリタイ」※15の調査では、2025年06月末時点で2,100社以上、約3,700ドメインがBIMIを導入していることが確認※16されています。また、このうち、国内企業は120社以上、約340ドメインがBIMI導入済みとなっています。さらに、CMCによるBIMI対応も徐々に増えており、月ごとに占めるCMCの割合は15%を超えるようになっています。
図2 確認できたBIMI対応ドメインの推移
このように、BIMIは着実に導入が増えている状況ではありますが、いくつかの課題が残っています。
その1つは、国内での利用者が比較的多いメールサービスのいくつかがBIMI非対応になっている点です※17。BIMI普及のためには、多くのメールサービスがBIMIに対応することが不可欠であるため、BIMIが導入されることを期待しています。
もう一点は、BIMIに対応した汎用のメールアプリがiOS/iPadOSメール、Macメールのみしか存在しないという点です。今後メールサービスがBIMIに対応しても、メールアプリでロゴが表示されないと意味がないため、メールアプリ側での対応、さらには、メールアプリのアドオンでの対応などが進むことが期待されます。
さらには、BIMI対応しているにも関わらず、DMARCポリシーが“none”となっているサービスが存在していることを確認しています。BIMIの仕様※18では、下記の通りDMARCポリシーは、“quarantine”または“reject”にする必要があり、“none”ではロゴが表示されないこととなります。したがって、BIMIを導入する際には、DMARCポリシーを“quarantine”または“reject”にすることが必須となります。なお、DMARCポリシーは多くのセキュリティドキュメントで”reject”とすることが推奨されているため、特に問題がなければDMARCポリシーは“reject"にすることが推奨されます。
※15 https://www.naritai.jp/
※16 BIMI対応条件は、BIMIレコードが公開されており、VMC/CMC、ロゴファイルがダウンロード可能であり、且つ、証明書が有効であること
※17 https://bimigroup.org/bimi-infographic/
※18 https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/
まとめ
BIMIは、フィッシング対策に加え、ロゴ表示によるブランド想起によるメール開封率向上など、さまざまな効果が得られることから、導入する企業は徐々に増えています。しかしながら、利用者やサービス提供者ともに十分に認知されている状況にはなっていません。。また、BIMIに対応しているメールサービスも限られており、利用者がBIMIでロゴ表示されることを期待しても、実際にはロゴが表示されないのが実態です。
BIMIによるフィッシング対策の効果を上げるためには、利用者が利用する環境の多くでブランドロゴが表示され、十分に認知されることが重要です。したがって、利用者にメールでの連絡を行っているサービスプロバイダの多くがBIMIに対応することが期待されます。実際に、海外の事例では、アパレル関連のサービスでBIMI導入が進んでいます。さらには、BIMI非対応のメールサービスでのBIMI導入や、BIMI対応したメールアプリの増加によって、BIMIの効果がより期待できることから、メールに関わる多くのサービスでBIMIの導入が進むことが期待されています。