[事例ニュース]

横浜銀行、なりすましメール対策でDMARCとBIMIを導入、DMARCポリシーを最も厳格なrejectに移行

2024年11月5日(火)日川 佳三(IT Leaders編集部)

横浜銀行(本店:神奈川県横浜市)は、なりすましによるフィッシングメール対策として、送信者メールアドレスの偽証を防ぐDMARCと、DMARC導入企業のロゴをメールソフトに表示するBIMIを導入した。まずはDMARCポリシーをnone(何もしない)の状態で導入し、2024年4月末にポリシーを最も厳格なreject(拒否)に変更。6月にはBIMIを設定している。同行の担当者が日本プルーフポイントとデジサート・ジャパンが同年11月5日に開催した説明会に登壇して取り組みを説明した。

 横浜銀行は、なりすましによるフィッシングメール対策として、送信者メールアドレス(メールメッセージのFROMヘッダーに表示される送信者情報)の偽証を防ぐDMARC(Domain-based Message Authentication Reporting and Conformance、ディーマーク)と、DMARC導入企業のロゴをメールソフトに表示するBIMI(Brand Indicators for Message Identification、ビミ)を導入した(図1)。

図1:DMARCは、SPF/DKIMによる送信ドメイン認証に加えて、メール送信者のメールアドレスを詐称するタイプのメールを検出する(出典:日本プルーフポイント)
拡大画像表示

 2023年5月、同行になりすましたフィッシングメール被害が発生したことを契機に導入を検討開始。まずはDMARCポリシーをnone(何もしない)の状態で導入した。その後、DMARCポリシーをreject(拒否)に変更。加えて、BIMIを設定している(図2)。

図2:BIMIを導入すると、ドメインを認証するマーク(企業などのロゴ)をメール閲覧ソフトウェアに表示可能(出典:デジサート・ジャパン)
拡大画像表示

 同行は、顧客向け金融サービスから配信するメールやメールマガジンなど、各種のメールを顧客に送信している。メールマガジン受信者は100~150万人規模で、これらの3~4割はGmailでメールを受信している。

 こうした中、GmailとYahoo!メールが一定の条件下において、2024年2月1日から送信ドメイン認証を義務づけることになり、対応しないとGmailで受信できなくなってしまうことも、DMARCの導入を後押ししたという(関連記事対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果)。

外部サービスでSPFのDNS参照上限を回避

写真1:横浜銀行 ICT推進部の五十嵐俊行氏

 横浜銀行 ICT推進部の五十嵐俊行氏(写真1)によると、同行におけるDMARC導入時の課題は大きく2つあった。

 課題の1つは、どのシステムがどんなドメイン名でメールを顧客に送信しているかの全貌が把握できなかったこと。それぞれのシステムを開発したベンダーもバラバラだったという。

 解決策として、「行内のシステム利用部門に対して地道に確認を行った。確認漏れについては、後からDMARCレポート(メール受信サーバーが正規のメール送信者あてに送ってくるDMARC認証結果情報)で発見することにした」(五十嵐氏)というアクションを取った。

 導入時のもう1つの課題は、DMARCの前提となる送信ドメイン認証技術の1つで、メール送信サーバーのIPアドレスを認証するSPFの設定である。具体的には、DNSのSPFレコードの一部、include行で指定したチェック対象のドメイン数が、DNS参照回数の上限(最大10回)を超えてしまう問題である。

 この課題の解決策として、日本プルーフポイントのDMARC運用支援/DMARCレポート可視化サービス「Proofpoint EFD」を導入した。同サービスが提供するSPFホステッド管理機能を使うことで、DNSの参照先を減らして対処した(関連記事日本プルーフポイント、なりすましメール対策でDMARCレポートの可視化サービス)。

●Next:DMARC運用中に発生した問題と解決策

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

横浜銀行 / DMARC / BIMI / メールセキュリティ / なりすまし / Proofpoint / DigiCert / 銀行 / 金融 / 地方銀行 / 神奈川県 / 横浜市

関連記事

トピックス

[Sponsored]

横浜銀行、なりすましメール対策でDMARCとBIMIを導入、DMARCポリシーを最も厳格なrejectに移行横浜銀行(本店:神奈川県横浜市)は、なりすましによるフィッシングメール対策として、送信者メールアドレスの偽証を防ぐDMARCと、DMARC導入企業のロゴをメールソフトに表示するBIMIを導入した。まずはDMARCポリシーをnone(何もしない)の状態で導入し、2024年4月末にポリシーを最も厳格なreject(拒否)に変更。6月にはBIMIを設定している。同行の担当者が日本プルーフポイントとデジサート・ジャパンが同年11月5日に開催した説明会に登壇して取り組みを説明した。

PAGE TOP