カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 金融情報Navi

横浜銀行がDMARCとBIMI準拠のフィッシングメール対策導入　デジサートとプルーフポイントが提供、約１年で一気に対応完了

2024年11月11日8:30

横浜銀行は消費者保護の観点からDMARCとBIMIに準拠したフィッシングメール対策を導入した。ソリューションを提供したデジサート・ジャパンと日本プルーフポイントは11月５日、記者説明会を開き、横浜銀行の導入事例紹介のほか、拡大を続けるビジネスメール詐欺の脅威の実態やその対応策について解説した。また、横浜銀行はサイバー攻撃の起点となることが多いフィッシングメールが消費者に届くことを防ぐノウハウを蓄積し、他の地方銀行にも広めていく考えを示した。（ライター：小島清利）

増加を続けるフィッシングメールが消費者に届く事態を防ぐことが可能に

プルーフポイントが提供するProofpoint EFD(Email Fraud Defense)は、メール送信組織がDMARC（Domain-based Message Authentication, Reporting and Conformance）規格に対応することを支援し、これにより、横浜銀行は偽装しようとするフィッシングメールが送信されることを防ぐことができる。

デジサートが提供する認証マーク証明書により、DMARC規格に対応した正規のメールに横浜銀行のロゴを表示することができ、消費者は視覚的に銀行からのメールであることを認識できる。

これによって、横浜銀行はDMARCと、DMARCが設定されているドメインを保有する組織に対し、商標登録済みロゴと組織の認証を行うことで電子証明書を発行するメール認証規格であるBIMI（Brand Indicators for Message Identification）の両メール規格への対応を同時に推進し、増加を続けるフィッシングメールが消費者に届くことを防ぐことができることになる。

ロシアのウクライナ侵攻など世界情勢の不安定化がメール脅威増加のトリガーに

フィッシング被害などに伴うクレジットカード不正利用被害やインターネットバンキングに係る不正送金被害が急増しており、フィッシング対策協議会が受領した2023年１月から12月までのフィッシング報告件数は過去最高の100万件を超える119万件以上となり、2022年の約1.23倍となっている。また、2023年上半期のインターネットバンキングに係る不正送金被害は、年間の被害件数と比較しても過去最多、被害額も過去最多に迫る状況だ。

日本プルーフポイントのチーフエバンジェリストである増田（そうた）幸美氏は「ロシアによるウクライナ侵攻が起こる直前、世界の緊張が高まった2021年10月ごろからメール脅威は爆発的に増加しています。FBIによると、ビジネスメール詐欺（BEC）に関する被害総額は右肩上がりで増えており、2023年のBECによる総損失額は29億ドル（約4350億円）にふくらみ、ランサムウエアの攻撃より48倍多くなっています」と話す。

日本では、警視庁「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）」によると、2023年の被害額は80.1億円（5,147件）となり、前年の15.2億円（1,136件）から急増している。「１年間にBEC攻撃を受けた国別企業の割合では、2022年から23年の上昇率で比較すると、日本は35%上昇でトップで、2位は韓国の31%上昇、３位はUAEの28%上昇と英語圏以外の国・地域で被害が増えている」（増田氏）という。

アメリカに後れを取る日本の銀行のビジネスメールへの脅威対策

DMARC は、プルーフポイント（旧ReturnPath）などEメールに関わる主要な企業など20社が中心となり、スパムやフィッシング撲滅を目的に設立され、2012年2月に発表された送信ドメイン認証技術だ。BECやフィッシング攻撃、なりすましメールなどの攻撃に対して、強力でプロアクティブに防御ができる。既存の標準技術であるSPF (Sender Policy Framework) 、DKIM (DomainKeys Identified Mail) をベースにしており、メールに表示される送信元アドレス「Header-from」ドメインがなりすまされていないか、信頼できるものかどうかを判断することができる。

DMARCは、None（監視のみ）、Quarantine（隔離）、Reject（拒否）の３段階がある。

銀行におけるDMARCの導入率を日米で比較（2024年10月）すると、日本の銀行の導入率は86％で、「監視のみ」が63％で、拒否まで達成しているのは10％しかないが、米国の銀行の導入率は97％で、58%が「拒否」まで達成しているという。

日本の銀行の業態別比較（2024年10月）では、導入率は85％の都市銀行・信託銀行34行が「拒否」まで到達している割合が23%であるのに対し、導入率86％の地方銀行・第二地方銀行100行では５％しか「拒否」に到達していない。

また、BIMI（Brand Indicators for Message Identification）は、DMARCが設定されているドメインを保有する組織に対し、商標登録済みロゴと組織の認証を行うことで電子証明書を発行するメール認証規格だ。デジサートが組織が実在し、商標登録済みロゴをその組織が有していることなどを認証することにより、GmailやiPhoneなどの受信者のメールに組織のロゴを表示することができる。

デジサート・ジャパンのプロダクトマーケティング部APJプロダクトマーケティングマネジャーである林正人氏は「DMARCではドメインの偽装には効果がありますが、受信者には正規メールであるのか伝わりにくい。BIMIではロゴが表示されることで、本当の送信者であることを視覚的判断情報として表示することができます」と特徴を説明する。