横浜銀行が消費者保護の観点からDMARCとBIMIへ準拠しフィッシングメール対策を実施、Proofpointのソリューションを利用して短期間でDMARCに対応

2024年11月5日（東京） --サイバーセキュリティとコンプライアンス分野のリーディングカンパニーである日本プルーフポイント株式会社（本社：東京都千代田区、代表取締役社長：茂木正之、以下プルーフポイント)とデジサート・ジャパン合同会社（本社：東京都中央区、代表者：職務執行者 マイケル・ユージーン・ジョンソン、以下デジサート）は、横浜銀行にそれぞれフィッシングメール対策ソリューションを提供し、その事例を公開しました。プルーフポイントが提供するProofpoint EFD (Email Fraud Defence) は、メール送信組織がDMARC（Domain-based Message Authentication, Reporting and Conformance）規格に対応することを支援し、これにより横浜銀行は、偽装しようとするフィッシングメールが送信されることを防ぐことができます。またデジサートが提供する認証マーク証明書によりDMARC規格に対応した正規のメールに横浜銀行のロゴを表示することができ、消費者は視覚的に銀行からのメールであることを認識できます。DMARCとBIMI（Brand Indicators for Message Identification）の両メール規格への対応を同時に推進し、増加を続けるフィッシングメールが消費者に届くことを防ぐ事例として同時公開が実現しました。

昨今、フィッシング被害等に伴うクレジットカード不正利用被害やインターネットバンキングに係る不正送金被害も急増しており、フィッシング対策協議会が受領した2023年1月から12月までのフィッシング報告件数は過去最高の100万件を超える119万件以上となり、2022年と比較して約1.23倍となりました。また、2023年上半期のインターネットバンキングに係る不正送金被害は、年間の被害件数と比較しても過去最多、被害総額も過去最多に迫る状況です。また、プルーフポイントの調査 (2024 State of the Phish)では、日本における調査対象組織の36%が2023年に少なくとも1回のフィッシング攻撃の被害にあっており、そのうちランサムウェアの感染を引き起こされた組織が56%にのぼっています。標的となるブランドは金融関連が上位を占め、フィッシングメールがサイバー攻撃の起点となるケースが多いため、直接顧客が被害に巻き込まれる恐れがある金融機関にとってその対策は喫緊の課題となっています。

そこで注目を浴びているメール認証技術にDMARCとBIMIがあります。DMARCは、Eメールの認証、ポリシー、レポーティングに関するプロトコルです。広く普及しているSPFやDKIMプロトコルをベースに、作成者（「From:」)のドメイン名との関連付け、認証に失敗した場合に受信者がメールを処理する方法を定める公開ポリシーや送信者へのレポーティングを追加することで、ドメインを不正なメールから保護し、モニタリングします。ただし、組織内で認識をしていないメール送信システムも存在するため、SPFやDKIMの設定に苦労することも少なくありません。また受信したエラーレポートを理解するのは難しく、ツールを利用するのが一般的です。今回横浜銀行ではプルーフポイントのソリューションを導入することによりDMARC対応を完了しました。

BIMIは、DMARCが設定されているドメインを保有する組織に対し、商標登録済みロゴと組織の認証を行うことで電子証明書を発行するメール認証規格です。デジサートは組織が実在し、商標登録済みロゴをその組織が有していることなどを認証することにより、GmailやiPhoneなどの受信者のメールに組織のロゴを表示することができます。DMARCではドメインの偽装には効果があるものの受信者には正規メールであるのか伝わりにくい一面があります。ロゴが表示されることで安心してメールを開くことができるようになります。

DMARCの実装、そしてその後BIMIの実装と数年間をかけて対応する組織が多い中、横浜銀行では、なりすましメール対策であるDMARCから消費者保護の視点から視覚的にも区別できるBIMIの実装までを、対策開始から約１年で完了しました。これは金融機関の中でも非常に素早い対応で、地方銀行最大手として業界を牽引します。

横浜銀行の ICT推進部セキュリティ統括室 五十嵐 俊行氏は、次のように述べています。「DMARC対応は新たな金融庁のガイドラインでも明示されています。なりすましメール対策への取り組み促進は、横浜銀行だけの問題ではなく金融業界全体の問題ととらえています。今回の取り組みを通して得たノウハウを、他の金融機関にも提供し、業界全体のDMARC対応、BIMI 対応を牽引していきたいと考えています」

日本プルーフポイント株式会社　サイバーセキュリティ チーフ エバンジェリストの増田 幸美は次のように述べています。「メールのなりすまし詐欺の手法には、“ドメインのなりすまし”、“表示名詐欺”、“類似ドメインの使用”の３つのタイプがあります。このうち、DMARCを”拒否（Reject)”モードで運用することにより、“ドメインのなりすまし”を防ぐことができます。またBIMIまで導入すると残りの２つのタイプにも大きな効果を発揮します。DMARCとBIMIを導入し、メールのなりすましを防ぐことにより、メールアカウントの乗っ取りにも効果をもたらすことができます。自組織だけでなくサプライチェーン全体、ひいては日本全体をサイバー攻撃から守るためにも、ぜひDMARCとBIMIの導入を進めていただきたいです」

デジサートのデジタル・トラスト・サービス担当シニア・ディレクターであるディーン・コクリン（Dean Coclin）は、次のように述べています。「メール受信者にロゴを明示することは、消費者に『信頼』を与えるために非常に重要です。送信者名の横に表示される認証済みロゴと（Gmailの）青いチェックマークの組み合わせは、視覚的にすぐに伝わるものです。このロゴを表示するために取得する認証マーク証明書は、組織の実在、商標登録、申請者に対し厳しい審査・認証してから発行されます。この厳しい認証によりメールにロゴが表示されていることが本物のメールであることを受信者に対し保証するものです」

プルーフポイントの事例はこちらから確認できます。
URL: https://www.proofpoint.com/jp/customer-stories/bank_of_yokohama

デジサートの事例はこちらから確認できます。
URL: https://www.digicert.com/content/dam/digicert/pdfs/case-study/bank-of-yokohama-vmc-case-study-jp.pdf

※本文中に記載の社名及び製品名は、各社の商標または登録商標です。
※ニュースリリースに掲載されている情報（製品価格、仕様等を含む）は、発表日現在の情報です。その後予告なしに変更されることがありますので、あらかじめご承知ください。
 

Proofpoint | プルーフポイントについて

Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の大手企業が、メールやクラウド、ソーシャルメディア、Webにおける最も重要なリスクを軽減する人を中心としたセキュリティおよびコンプライアンスのソリューションとして、プルーフポイントに信頼を寄せています。
詳細は www.proofpoint.com/jpにてご確認ください。

DigiCertとは

米デジサート・インク（本社：ユタ州リーハイ、非公開企業）は、インターネット上で人と企業が電子的な信頼でつながることができるようにする、デジタルトラストの世界的なリーディング・プロバイダーです。そのデジタルトラストを強固にするプラットフォームが DigiCert® ONE です。パブリックトラストとプライベートトラストの幅広いニーズをめぐって一元的な可視化と制御を実現し、ウェブサイト、企業のアクセスと通信、ソフトウェア、ID、コンテンツ、デバイスを保護します。デジサートは、受賞歴のあるソフトウェアと、標準、サポート、運用に関する業界のリーダーシップとを結び付けており、全世界の主要企業に選ばれるデジタルトラストプロバイダーです。
デジサート・ジャパン合同会社は米デジサート・インクの100%子会社です。