実は2月1日からメールが届いていないかも？ Gmailガイドラインで事業者、利用者が知っておくべきこと（2/2 ページ）

[宮田健，ITmedia]

エンドユーザーにできることはほとんどない

　SPF、DKIM、DMARCの厄介なところは、一連の対応はエンドユーザーではなくメール送信者、つまりメールを使っている事業者が対応すべきという点です。端的に言ってしまえば、SPF、DKIM、DMARCを使って詐欺の被害を抑えるに当たって、エンドユーザーにできることはほとんどありません。

　Gmailではメールを表示した後、右側メニューから「メッセージのソースを表示」とすることで、そのメールがSPF、DKIM、DMARCをクリアしているかが表示されます（転送したメールなどでは正しく結果が反映されない場合もあります）。とはいえ、一通一通表示して確認することは現実的ではありません。

　しかも「example.jp」と「examp1e.jp」のように、よく見ないと区別が付かないドメイン名に対してもそれぞれSPF、DKIM、DMARCは設定できますので、これらの認証をパスしていたからといって、迷惑メールではないという訳でもありません。

メニューから「メッセージのソースを表示」とすることで、そのメールがSPF、DKIM、DMARCをクリアしているかが表示される。これはAmazonからのメールの例

　一方で、エンドユーザーでもなりすましかどうかを一目で理解できる仕組みもあります。「BIMI」（Brand Indicators for Message Identification）というもので、DMARC認証をパスしたメールに対し、メールアプリ側で企業のロゴを表示できるというものです。

　GmailやYahoo!メールを利用している読者の方々も、アマゾンなど一部のメールでロゴが表示されているのを見たことがあるかもしれません。ロゴが表示されたメールは、SPF、DKIM、DMARCの認証を通った、なりすましではないメールであることを証明してくれる分かりやすい判断材料になります。

Gmailで、差出人の横にロゴが表示されていれば、このメールはなりすまされていないことが確認できる

　ただ、こちらもエンドユーザーが登録できるわけではなく、事業者側の対応が必要です。設定自体は簡単ですが、ロゴは商標登録などが行われているものに限りますし、認証局での認証と証明書取得が必要です。

　手間はかかりますが、類似ロゴでのフィッシングメールは作れないため、メールを重要とするビジネスには適した仕組みと言えます。Gmailを始め、このBIMIのアイコン表示に対応したメールソフトも増えてきています。

メールを使う事業者は早急な対応を

　私は今回のガイドライン変更を、メールの信頼性が揺らぐ出来事と捉えています。これまでなんとなく「必ず届く」と思っていたメールですが、もはや届くかどうかは“神”（Google）のみぞ知るといったレベルです。

　新たなガイドラインは、迷惑メール、なりすましメールを何とかしなくては未来がないと考えた同社が、大ナタを振るった形です。その意義は理解するものの、肝心の事業社側による対応が間に合っていないために、結局エンドユーザーだけが割を食う状況となっているのは問題だと思います。

　加えて、メールの到達性が揺らいでしまった場合、この虚を突く詐欺が出てくることも想像が付きます。「弊社からのメールが届いていないようなので、FAXで振込先変更の依頼を送る」などと偽の情報を送り込み、巨額の不正振り込みを誘い出すこともあるかもしれません。そうならないためにも、まずは自社のメール送信ドメインをSPF、DKIM、DMARCに対応させることを第一とし、加えて利用者にも分かりやすいBIMIへの早急な対応が必要でしょう。

　今はGmailだけですが、今後は多くのメールソフト事業者が同様のガイドラインを適用していくかもしれません。利用者に対し「○○のメールを使わないでください」として対応したつもりになると、利用者は「このサービス、技術力がないんだな」と認識して離れていくでしょう。そうなる前に、専門のシステムインテグレーターなどに相談して、対応する必要があります。

　また利用者についても、メールに関する詐欺に対して一層の警戒が必要です。なりすましメールを見破ろうとすることなく、あらかじめブックマークに登録してからサイトを開き、トップページにメールに書かれたお知らせが表示されていないか確認するなど、メールに頼らない手段を併用してください。