実は2月1日からメールが届いていないかも? Gmailガイドラインで事業者、利用者が知っておくべきこと(2/2 ページ)
神奈川県の高校出願システムでGmailドメインのアドレスにメールが届けられず、受験生による登録や出願に影響が出る問題が発生した。この問題は他の事業者にとっても他人事ではなお。一体、いまGmailを巡って何が起こっているのか。
エンドユーザーにできることはほとんどない
SPF、DKIM、DMARCの厄介なところは、一連の対応はエンドユーザーではなくメール送信者、つまりメールを使っている事業者が対応すべきという点です。端的に言ってしまえば、SPF、DKIM、DMARCを使って詐欺の被害を抑えるに当たって、エンドユーザーにできることはほとんどありません。
Gmailではメールを表示した後、右側メニューから「メッセージのソースを表示」とすることで、そのメールがSPF、DKIM、DMARCをクリアしているかが表示されます(転送したメールなどでは正しく結果が反映されない場合もあります)。とはいえ、一通一通表示して確認することは現実的ではありません。
しかも「example.jp」と「examp1e.jp」のように、よく見ないと区別が付かないドメイン名に対してもそれぞれSPF、DKIM、DMARCは設定できますので、これらの認証をパスしていたからといって、迷惑メールではないという訳でもありません。
一方で、エンドユーザーでもなりすましかどうかを一目で理解できる仕組みもあります。「BIMI」(Brand Indicators for Message Identification)というもので、DMARC認証をパスしたメールに対し、メールアプリ側で企業のロゴを表示できるというものです。
GmailやYahoo!メールを利用している読者の方々も、アマゾンなど一部のメールでロゴが表示されているのを見たことがあるかもしれません。ロゴが表示されたメールは、SPF、DKIM、DMARCの認証を通った、なりすましではないメールであることを証明してくれる分かりやすい判断材料になります。
ただ、こちらもエンドユーザーが登録できるわけではなく、事業者側の対応が必要です。設定自体は簡単ですが、ロゴは商標登録などが行われているものに限りますし、認証局での認証と証明書取得が必要です。
手間はかかりますが、類似ロゴでのフィッシングメールは作れないため、メールを重要とするビジネスには適した仕組みと言えます。Gmailを始め、このBIMIのアイコン表示に対応したメールソフトも増えてきています。
メールを使う事業者は早急な対応を
私は今回のガイドライン変更を、メールの信頼性が揺らぐ出来事と捉えています。これまでなんとなく「必ず届く」と思っていたメールですが、もはや届くかどうかは“神”(Google)のみぞ知るといったレベルです。
新たなガイドラインは、迷惑メール、なりすましメールを何とかしなくては未来がないと考えた同社が、大ナタを振るった形です。その意義は理解するものの、肝心の事業社側による対応が間に合っていないために、結局エンドユーザーだけが割を食う状況となっているのは問題だと思います。
加えて、メールの到達性が揺らいでしまった場合、この虚を突く詐欺が出てくることも想像が付きます。「弊社からのメールが届いていないようなので、FAXで振込先変更の依頼を送る」などと偽の情報を送り込み、巨額の不正振り込みを誘い出すこともあるかもしれません。そうならないためにも、まずは自社のメール送信ドメインをSPF、DKIM、DMARCに対応させることを第一とし、加えて利用者にも分かりやすいBIMIへの早急な対応が必要でしょう。
今はGmailだけですが、今後は多くのメールソフト事業者が同様のガイドラインを適用していくかもしれません。利用者に対し「○○のメールを使わないでください」として対応したつもりになると、利用者は「このサービス、技術力がないんだな」と認識して離れていくでしょう。そうなる前に、専門のシステムインテグレーターなどに相談して、対応する必要があります。
また利用者についても、メールに関する詐欺に対して一層の警戒が必要です。なりすましメールを見破ろうとすることなく、あらかじめブックマークに登録してからサイトを開き、トップページにメールに書かれたお知らせが表示されていないか確認するなど、メールに頼らない手段を併用してください。
関連記事
- 企業「ChatGPTは使っちゃダメ」→じゃあ自分のスマホで使おう──時代はBYODから「BYOAI」へ
会社はChatGPTを禁止しているが、自分のスマートフォンからChatGPT(しかも有料契約している高性能版)にアクセスして、使ってしまえば良いではないか――。生成AIのビジネス活用が進む中でBYODならぬ「BYOAI」という発想が生まれつつある。 - ウィル・スミスがもりもりパスタを食べるAI動画、本人が再現 技術の進化に「手に負えなくなってきた」
俳優のウィル・スミスさんが顔や食器をぐちゃぐちゃにしながらもりもりパスタをむさぼる動画をご存じだろうか。あの動画を、なんと本人が再現した。 - ドコモメール、送信ドメイン認証「DMARC」「DKIM」導入 フィッシング防止
「ドコモメール」がセキュリティ強化。送信ドメインによる認証技術「DMARC」「DKIM」を導入した。 - なぜGmailだけ届かなかった? 高校出願システム問題、神奈川県に詳しく聞いた
高校入試のインターネット出願システムで「@gmail.com」にメールが届かなかった問題の経緯を県に取材した。「業者の設定に不備があった」と認めたが、設定のどこに問題があったかなど、詳細は分かっていないという。 - Gmail、なりすまし対策で送信元アイコンに企業ロゴ表示を可能に
Googleが、Gmailの受信箱に表示する送信者アイコンに企業ロゴを表示できるようにした。企業がBIMI(Brand Indicators for Message Identification)を採用すると可能になる。なりすましメール対策の一環だ。 - 「高校出願システムからGmailに届かない」問題10日で解消も、「キャリアの迷惑メールフィルターにかかる」問題発覚
神奈川県の公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かない問題が10日経ってようやく解消した、が……。 - フィッシングでなりすまされたブランド、世界1位はMicrosoft 日本含むアジアは?
フィッシング詐欺でなりすまされたブランドの世界1位はMicrosoft。日本を含むアジア太平洋はあのブランド。米Cloudflareのリポートより。
Copyright © ITmedia, Inc. All Rights Reserved.