人類 vs なりすましメール 果てしなき戦い ～BIMI編～

こんにちは
自宅のLANケーブルはCat.3
システムソリューション部のかわいです。

最近家のポストにチラシが大量に投函されて、共用ゴミ箱がすごいことになっています（こういうマンション、多いんじゃないでしょうか）。
このマーケティング手法の効果や良し悪しはともかく、電子メールも同様の状態だと言えます。

メールといえば記憶に新しい内容として、昨年Googleがメールガイドラインを更新し、2024年2月以降、1日に5,000件を超えるメール送信を行う場合はSPFやDKIM、DMARC等の認証設定を適切に行う必要があると発表し話題になりました。

今年の2月にフィッシング対策協議会が発表した「送信ドメイン認証技術「DMARC」の導入状況について」では、日本のDMARC導入率が83%と、ほとんどの企業が対応済みとのレポートが出ています（プルーフポイント社調査）。
しかしながら、DMARC等の認証もポリシー設定次第では悪用も可能なため、いまだに個人利用を含めてもスパムメールやなりすましメールは後を絶ちません。

本記事では、人類となりすましメールとの果てしなき戦いに終止符を打つため、BIMIという技術を共有したいと思います。

BIMIって？

BIMI（Brand Indicators for Message Identification）は、メール送信者のブランドロゴを受信者のメールクライアントに表示させるもので、メールの信頼性とブランド認知度を高める技術です。
これは、DMARC（Domain-based Message Authentication, Reporting & Conformance）認証に成功したメールに対して、送信者が指定したロゴを表示する仕組みです。
ただし2025年3月現在RFC化はされておらず、IETFでドラフト段階となっています。
※サッと調べたところ、PayPay銀行がニュースリリースを出していました。
※2021年Googleの発表はこちらから

BIMI導入のメリット

BIMI導入には大きく分けて3つの利点があると言われています。

1. なりすましメールの防止
メールに公式ロゴが表示されるので、受信者は正規の送信者からのメールであると判断できます。
これによって、フィッシングやなりすましメールの被害を減少させる効果が期待できます。

2. ブランド認知度と信頼性の向上
メールにロゴを表示させることで受信者の目に留まりやすくなり、ブランドの認知度と信頼性が向上します。

3. メールの開封率向上
2の信頼度に近いですが、視覚的にブランドが認識できるため、受信者がメールを開封する可能性が高まります。

ただし、デメリットというか抜け道として、DMARCポリシーの設定が「p=quarantine」または「p=reject」に設定されていない場合、偽ロゴが使用される可能性もゼロではないため注意が必要です。

BIMI導入の大まかな手順

BIMI導入には主に以下のような手順を踏む必要があります。正直なところ、技術的な面で少しハードルが高いかもしれません。
参考：Gmail手順

1. 送信ドメイン認証の設定
まずは基本であるSPF、DKIM、DMARCの設定を行い、送信ドメインの正当性を確保します。
※BIMIにはDMARC認証が必須

2. ロゴの準備
メールに表示させるブランドロゴを、SVG形式で作成します。
この際、セキュリティ上の要件を満たす必要があります。
※セキュリティ要件に関しては、RFC6170の「5.2 SVG」に別途記載があります

3. VMC（Verified Mark Certificate）の取得
ロゴの正当性を証明するための証明書であるVMCを取得します。

4. DNSレコードの追加
自社のDNSにBIMI用のTXTレコードを追加し、ロゴの場所やVMCの情報を指定します。
参考：ドメイン プロバイダで BIMI TXT レコードを追加する

BIMIまとめ

前述したように、BIMIの導入にはDMARCの設定やSVGロゴの準備など、一定の技術的なハードルが存在します。
しかし、これらの課題を克服することで、特に企業はメールセキュリティとブランド価値の両方を向上させることが期待できます。
（今後RFC化されると広く普及してくるかもしれません）
より多くのメールクライアントがこの規格に対応してほしいですね。

完