JSSEC セキュリティコラム
25年11月号「BIMI導入の最前線」
~ 成果・課題と最新動向 ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォン、その便利さの裏には思わぬ落とし穴が潜んでいます。それが、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
フィッシング対策に加え、ブランド価値向上を目的にBIMI(Brand Indicators for Message Identification)導入している企業は徐々に増えつつあります。一方で、BIMI導入を検討している人、これから導入する人、導入済みの人それぞれに課題があるのも事実です。本コラムでは、JPAAWG 8th General Meeting※1で講演した、「BIMI導入の最前線 - 成果・課題と最新動向」の内容について抜粋し、これら問題について解説を行っています。
※講演資料については、以下URLからダウンロード可能です。
https://meetings.jpaawg.org/wp-content/uploads/2025/11/JPAAWG_8th_20251104_A2-6_%E6%9C%AC%E9%96%93.pdf
BIMI導入を検討している人だけでなく、すでに導入済みの人も是非参考にしていただけると幸いです。
※1 JPAAWG 8th General Meeting https://meetings.jpaawg.org/
なぜBIMIが必要か ― 利用者へ提供すべき対策は
多くの人は、多種多様なバイアスによって行動しやすいと言われています。サイバー犯罪や詐欺の手口では、これらのバイアスを巧みに利用して人を騙すケースが多いのが実態です。例えば、フィッシング詐欺や特殊詐欺では、有名な企業や公共機関を騙ることで信頼を得ようとします。また、「24時間限定のサービス」「緊急入荷」といった言葉や、「パスワードが漏洩した」「支払い滞納の危機」といった不安を煽る表現を用いて、利用者の判断力を鈍らせて騙しにかかります。さらに、一部の人は「自分は騙されない」と過信してしまい、被害に遭うケースも存在します。
これらは、人間の持つ脆弱性に由来するものであり、技術的な解決策だけでは完全に防ぎきれない部分です。また、リテラシー教育や啓発だけで解決できるとも限りません。したがって、利用者が騙されないための仕組みが必要だと考えられます。
ここで重要なのは、面倒な作業や手間を増やす対策は、利用者の理解や協力を得にくくなるため、日常的に負担なく使える仕組みであることです。たとえ技術的に有効でも、利用者がそれを理解し使いこなさなければ意味がありません。要は、「自分の日常の中で気軽に使えるセキュリティ対策」でなければ効果は限定的だと考えます。
BIMIでは、メール一覧画面やメール詳細画面にブランドロゴを表示させることで、そのメールが安全なメールであるか識別できる技術であり、利用者は視覚的にそのメールの安全性が判断可能となっています。実際に、GMO BRAND SECURITY社がメール利用者に調査した結果※2では75%の人がロゴ表紙されるメールを正当なメールと感じるという結果も出ており、BIMIが普及することで、フィッシング詐欺被害の減少につながると推測されます。
※2 企業ロゴ付きメール(BIMI)に関する調査結果報告書(メール受信者) https://brandsecurity.gmo/news/post/post-20250902/
技術的な背景と安全性
技術面では、BIMIはDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)、VMC/CMC(Verified Mark Certificates / Common Mark Certificates)の3つの技術により、安全性を確保しています。
● DKIM
メールのヘッダ情報や本文に署名を付与し、その署名を受信側で検証することで、メールの改ざんを防ぎます。
● DMARC
送信ドメインの認証結果をもとに、ヘッダのFromドメインとDKIM署名ドメインの一致を検証し、正規の送信元から送信されているか判断します。
● VMC/CMC
発行元の証明書により、ブランドの信頼性が保証され、なりすましの防止に役立ちます。
これらの技術により、BIMI対応のメールは「完全性」「真正性」「信頼性」が確保された安全なメールといえます。
BIMIの導入効果と今後の展望
GMO BRAND SECURITY社の調査※3によると、企業がBIMIを導入することで期待される効果には、「ブランドイメージの向上」や「メールマーケティングの効率化」なども含まれています。フィッシング対策だけでなく、自社ブランドの認知向上や信頼性の強化を目的としてBIMIを採用する企業も増えています。
特にアメリカでは、アパレルや小売業などの業界でBIMIに対応する企業が増加しており、その動きは今後も拡大していくと予想されます。
※3 企業ロゴ付きメール(BIMI)に関する調査結果報告書(メール受信者) https://brandsecurity.gmo/news/post/post-20250902/
BIMIの普及に向けての課題 ― 国内の低いDMARC普及率
BIMIを導入するには、まずDMARCを設定し、そのポリシーを「reject」または「quarantine」にする必要があります。しかしながら、海外の上位企業と比較すると、日本の株式TOP企業や日経225企業におけるこれらの設定率は著しく低いのが現状です。
また、株式上場企業や金融関連団体の中では、一部の金融団体においては“reject”または“quarantine”の設定率が高いケースもありますが、その他の業界ではやはり低いままです。そのため、国内全体として見ると、DMARCの普及率は依然として低い状況にあります。
Googleの送信者ガイドラインへの対応などにより、DMARCの必要性は高まっていますが、一方で、DMARCレポートの分析不足や、「メールが届かなくなる」といった不安から、ポリシー設定として「none」にとどまっているケースが多いのが実態です。
しかし、DMARCポリシーが「none」の状態では、実質的に認証結果に基づいた措置を取らないことになり、自社のドメインなりすましを許容してしまいます。結果的に、DMARCの本来の目的が達成されず、セキュリティ上のリスクが残存したままメールを運用している状況となっています。
共有IP利用時のDMARC運用における課題と対策ポイント
一方で、DMARCには共有IPの問題が存在します。近年はクラウドメールサービスを利用する企業が増加しており、異なるドメインが同じIPアドレスからメールを送信するケースも多くなっています。
DMARCは、送信者の認証において、DKIMの認証結果だけでなく、SPF(Sender Policy Framework)の認証結果も利用可能です。ただし、共有IPの場合、攻撃者が同じIPを使ってメールを送信すると、SPF認証は「Pass」になりやすいため、結果的にDMARCも「Pass」となるケースがあります。
この仕組みを悪用し、フィッシングメールを送信する事例も出てきています。現時点で考えられる対策の一つとしては、共有IPを利用してメールを送信する場合には、SPF認証を行わず、DKIMだけを採用し、DMARCではDKIMの結果のみを参照する設定にする方法があります。
BIMI導入時の課題 ― DMARCポリシー問題
BIMIを導入するには、DMARCポリシーを「reject」または「quarantine」に設定する必要があります。しかし、BIMIレコードを公開している企業の中には、理由は不明ですがDMARCポリシーが「none」となっているケースも存在しています。
また、BIMIの要件を満たすためには、以下の条件を確認することが重要です。
● DMARCポリシーは 「reject」 または 「quarantine」とする必要がある。
● Header Fromドメイン(RFC5322.Fromドメイン)と親ドメインの両方で、BIMIの要件を満たすDMARC対応が必要となる。
⇒ 親ドメインのDMARCポリシーでSPを設定しない場合、親ドメインの適用範囲はすべてのサブドメインに及びます。この場合、必ずしもHeader FromドメインのDMARC対応は必要ありません。
● DMARCのオプションパラメータのPCTを設定する場合、値は100(デフォルト値)にする必要がある。
⇒ PCTを省略した場合は、デフォルト値の100が設定されるため、PCTを設定する必要はありません。
● DMARCのオプションパラメータのSPを設定する場合は、「reject」または「quarantine」に設定する必要がある。
● DKIMに対応している必要がある。
⇒ 多くのBIMI対応メールサービスでは、DMARC認証においてDKIM認証が成功することが必須条件となっています。
⇒ 一方、SPF認証のみでDMARC認証に成功した場合でも、DMARCの結果は「Pass」になりますが、BIMIの認証は行われません。
BIMI導入時の課題 ― 証明書・ロゴ公開時の問題
BIMI対応を行うには、BIMIレコードにVMC/CMCの証明書の公開先URLや、表示させるブランドロゴのURL情報を記述する必要があります。また、受信側では、BIMI対応の条件を満たすDMARC認証が成功した場合に、まずBIMIレコードの有無を確認し、存在すればBIMI認証を行います。
BIMI認証では、証明書が正規のものであるか、証明書の有効期限内かといった検証を行います。さらに、証明書内にはBase64エンコードされたZIP圧縮のロゴデータも含まれているため、このロゴデータを抽出し、公開されているロゴファイルと比較して一致しているかを検証します。
ただし、一部のBIMI対応ドメインでは、証明書内のロゴデータと公開しているロゴファイルが一致しないケースがあります。こうした場合、認証に失敗し、ロゴは表示されません。しかしながら、一部のメールサービスではこれらの検証処理を行っておらず、証明書内のロゴと異なるロゴが表示されるケースもあります。この事象に気付いていないケースも考えられます。
したがって、公開するロゴは証明書内のロゴと必ず同じものを設定・公開する必要があります。また、複数のメールサービスにおいてロゴが正しく表示されるかどうかを検証することも推奨されます。
2025年11月現在、BIMIの仕様はDRAFT段階であり、かつ定期的に改訂されているため、受信側の解釈や実装に差異が生じることもあります。そのため、確実にロゴを表示させるためには、複数のサービスで検証を行うことが重要です。
BIMI運用時の課題 ― 証明書の更新漏れ
VMC/CMC証明書の有効期限は1年間です。そのため、有効期限が切れる前に証明書を更新し、新しい証明書を公開する必要があります。しかしながら、証明書が更新される前に期限が切れた後に、新しい証明書を公開するケースが散見されています。
これは、証明書の有効期限切れがメールの正常な運用に直接影響しないと誤解されている場合や、証明書の発行手続きを忘れる、担当者の異動に伴って証明書発行業務の引き継ぎが行われていない、更新後の証明書公開を忘れてしまうといった、さまざまな理由が推測されます。
こうした事態が続くと、ロゴが表示されていたメールからロゴが表示されなくなることになり、それを見た利用者は不正なメールと誤認する可能性もあります。そのため、証明書の更新に関するルールや手順を明確に定め、こうした問題が発生しないように注意喚起を行うことが重要です。
BIMI導入後の課題 ― 利用者への啓発について
BIMIの効果を最大化するためには、利用者に対してロゴが表示されるメールが安全なものであると理解してもらうことが重要です。したがって、BIMI導入後は、効果的にその旨を利用者に伝える施策が必要です。
一例として、ある銀行では、利用者に対してBIMI対応済みのメールを送付し、そのメール内でBIMI導入前後の表示内容の変化や安全性について説明しているケースがあります。
今後、BIMIを導入する企業には、こうした成功事例を参考にしながら、利用者に対して効果的な案内を行うことが期待されます。
生成AIの脅威 ― フィッシングメールの高度化
生成AIの普及により、フィッシングメールの高度化が懸念されています。その結果、利用者はこれまで以上にフィッシングの脅威に晒されやすくなると予想されます。
具体的には、生成AIによる脅威として以下のようなケースが想定されます。
● 人間らしい自然な文章を作成できるため、メールの内容が洗練され、信用性が向上する。
● 数千、数万通のメール試験を自動で行い、騙される可能性の高い攻撃を仕掛ける。
● 攻撃対象(なりすましのサービスや企業)の公開情報やSNS情報をリアルタイムで学習させ、時事や対象個人に最適化したフィッシング文面を作成できる。
● ソーシャルエンジニアリングの高度化により、攻撃者はターゲットの情報を収集し、個人の弱点や関心に合わせて説得力のあるメッセージを個別にカスタマイズして攻撃を行える。
● フェイクニュースと連携して攻撃を仕掛けることで、文章の信ぴょう性を高め、より巧妙な詐欺行為が可能となる。
これらの脅威が広がると、利用者はメールの真偽判断がますます困難になり、メールの信頼性が損なわれる恐れがあります。特に、誤判定(False Positive)が生じた場合、利用者に被害が及ぶリスクも高まるため、誤った判断を防ぐ手段としては限界があります。
一方、BIMIでは、メールの完全性・真正性・信頼性が保証された安全なメールのみを利用者に提示します。このため、たとえ生成AIを用いた攻撃であっても、利用者が騙される可能性は大きく低減されると考えられます。
したがって、BIMIの採用と普及がさらに期待されるところです。
BIMI/DMARCへの安全性にむけて
これまでBIMIの有効性について説明してきましたが、その安全性を確保するためには、メール送信元のセキュリティを十分に整備していることが大前提となります。
Scan Net Securityのインシデント・事故に関する報告※4によると、2025年1月から10月までの間に、15件以上のメール乗っ取りによる不正メールに関する記事が掲載されています。もしメールの送信元が乗っ取られ、内部からフィッシングメールが送信されると、BIMI対応のメールではロゴが表示されてしまうため、フィッシング被害の拡大リスクが高まる恐れがあります。
また、メール送信時の認証についても注意が必要です。Gmailなどの一部のサービスでは、OAuth2などの多要素認証に対応していますが、多くの場合はIDとパスワードだけのシンプルな認証しか利用できず、その場合、メールサーバのアクセス管理が不十分だと不正利用のリスクが高まります。
さらに、メール配信サービスを利用している場合は、その認証強度が弱いと不正アクセスの危険性が増加します。また、外部サービスを利用する際には複数人でログインIDを共用しているケースもあり、ID管理が不適切な場合にも不正アクセスのリスクが存在します。
このように、BIMIやDMARCの安全性を確保するためには、まずメール送信元のセキュリティ対策を徹底することが不可欠です。したがって、企業やメール配信事業者などは、適切なメールセキュリティ対策を積極的に実施することが強く求められます。
※4 Scan Net Security インシデント・事故 https://scan.netsecurity.ne.jp/category/incident/
まとめ
本コラムでは、BIMIの必要性や利点、導入・運用時の課題について解説してきました。BIMIは、生成AIの普及に伴う攻撃の巧妙化にも十分対処できる技術です。そのため、以下に示すポイントを正しく理解し、BIMIの導入や安全なメール環境の構築に役立てていただきたいと考えます。
● セキュリティ対策は、利用者が容易に理解できて使えるものである必要があります。その意味で、BIMIはロゴの有無によってメールの安全性を直感的に判断できる有効な手段の一つです。
● BIMIは、真正性・信頼性・完全性が担保されたメールのセキュリティ対策として、現時点では非常に有効な手法の一つと考えられます。
● また、BIMIにはセキュリティ面だけでなく、ブランド価値の向上といった効果も期待できます。
● ただし、どんなセキュリティ対策も適切に運用されなければ意味がありません。BIMIの導入にあたっては、その設定が適正かどうかを継続的に確認し続けることが重要です。
● さらに、有効な対策であっても、広く普及しなければ十分な効果は得られません。したがって、BIMIの効果を最大化するためには、多くのサービス提供者やメール運用者が積極的に対応していく必要があります。
● 最後に、メール送信側はアカウントの乗っ取りリスクを極力低減させるために、より強固な認証技術の導入を検討すべきです。これにより、DMARCやBIMIの効果も最大化され、安全なメール環境の実現に寄与します。