Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BIMIとメールセキュリティ

 BIMIとメールセキュリティ

2023年3月16日に開催された「SoftBank Tech Night Fes 2023」の講演資料です。

近年では、日本国内の大手メールサービスにおいてもなりすまし対策やフィッシング対策の取り組みが積極的に行われてきています。このスライドでは、DKIM、DMARC、BIMIに対する取り組みや安全性可視化などセキュリティ強化に関する最新動向についてご紹介します。

■関連リンク
・Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話
https://techblog.yahoo.co.jp/entry/2022090630337096/

■作成者
中村 成陽(なかむら まさはる)
ヤフー株式会社
サービス統括本部 開発本部
エンジニア
第12代黒帯〜メッセージング技術〜

■SoftBank Tech Nightについて
ソフトバンク株式会社のエンジニア有志が開催するテックイベントです。
各分野のエキスパートが、日頃培った技術や事例、知見について発信しています。
イベントは開催スケジュールはconnpassをご確認ください。
https://sbtechnight.connpass.com/

SoftBank Tech Night Fes 2023公式サイト
https://www.softbank.jp/biz/events/tech-night-fes-2023/

SoftBank Tech Night

March 16, 2023
Tweet

More Decks by SoftBank Tech Night

Other Decks in Technology

Transcript

  1. ©︎2022 Yahoo Japan Corporation All rights reserved. 自己紹介 2 中村

    成陽(なかむら まさはる) 2013/04〜 経路探索サービスを提供する会社 エンジニア 2016/11〜 ヤフー株式会社 エンジニア Yahoo!メールの迷惑メール対策チームに配属 2020/04〜 チームのマネージャーとなる 2021/10〜 “第11代黒帯〜メッセージング技術〜” を拝命 2022/10〜 “第12代黒帯〜メッセージング技術〜” を拝命 簡単な経歴
  2. ©︎2022 Yahoo Japan Corporation All rights reserved. 今日のお話 3 Yahoo!

    JAPAN での BIMI の導入※ 事例をその仕様や注意点を交えて紹介します みなさまの BIMI 導入の参考になれば幸いです ※Yahoo! JAPAN の各サービスからのメール送信を行う“mail.yahoo.co.jp”にBIMIレコードを宣言
  3. ©︎2022 Yahoo Japan Corporation All rights reserved. アジェンダ 1. そもそも

    BIMI とは? 2. BIMI 導入の経緯 3. 導入にあたっての苦労話 4. Yahoo!メールでの展望 5. 後日談 4
  4. ©︎2022 Yahoo Japan Corporation All rights reserved. アジェンダ 1. そもそも

    BIMI とは? 2. BIMI 導入の経緯 3. 導入にあたっての苦労話 4. Yahoo!メールでの展望 5. 後日談 5
  5. ©︎2022 Yahoo Japan Corporation All rights reserved. •認証に成功した正規のメールに、その送信元である 企業やサービスのロゴマークを表示する仕組み •正式なメールであるか、そうでないかの認識を

    サポートする効果が期待できる • Internet draft の段階であり、RFC にはなっていない •Gmail が 2021/07 に正式対応、Apple も今年の秋に 対応した •送信元の正当性を保証するための認証の仕組み としては DMARC を採用 BIMI (Brand Indicators for Message Identification) 1.そもそも BIMI とは? 6
  6. ©︎2022 Yahoo Japan Corporation All rights reserved. BIMI 導入の条件 1.そもそも

    BIMI とは? 10 •DMARC レコードが宣言されており なおかつ DMARC ポリシーが quarantine もしくは reject に設定されていること •none を許容しないことで より厳密な SPF 及び DKIM の設定を送信者に求め BIMI によってロゴが表示されているメールへの信頼性を高めている •VMC (Verified Mark Certificate) を取得すること •商標登録されているロゴを検証し、 BIMI を表示させるため証明書 •現在は 2 社の認証局から発行されている •証明書( pem 形式)とロゴマーク( svg 形式)を DNS の TXT レコードに 決められた書式で宣言する。これを「BIMI レコード」という
  7. ©︎2022 Yahoo Japan Corporation All rights reserved. アジェンダ 1. そもそも

    BIMI とは? 2. BIMI 導入の経緯 3. 導入にあたっての苦労話 4. Yahoo!メールでの展望 5. 後日談 11
  8. ©︎2022 Yahoo Japan Corporation All rights reserved. •Yahoo! JAPAN や関連サービスを騙るフィッシングサイトが多く発生しており、

    そこへ誘導する SMS やメールも横行した •特にコロナ禍以降に顕著となっている印象 •例えば Gmail など BIMI に対応したメールアドレスを Yahoo! JAPAN のアカウントのメインメールアドレスに設定しているユーザーに対し フィッシングの被害を防止するため •Yahoo!メール内では従来より正規のメールにはY!のアイコンを表示している ヤフーを騙るフィッシングメールの流行 2.BIMI 導入の経緯 12
  9. ©︎2022 Yahoo Japan Corporation All rights reserved. アジェンダ 1. そもそも

    BIMI とは? 2. BIMI 導入の経緯 3. 導入にあたっての苦労話 4. Yahoo!メールでの展望 5. 後日談 13
  10. ©︎2022 Yahoo Japan Corporation All rights reserved. •メール送信を行う社内PFなどは存在する •Yahoo! JAPAN

    としては提供期間も長く様々なサービスがあるため、 どのような送信元があり、そこからのメールの認証状況がどうなっているかなど 把握しきれずにいた •DMARCレポートを活用することで状況を把握し、 quarantine 化を実現した DMARC ポリシーの quarantine 化 3.導入にあたっての苦労話 14 DMARC のポリシーを引き上げることは BIMI 導入の条件としての以外の観点でもメリットが大きいため 積極的に検討してください
  11. ©︎2022 Yahoo Japan Corporation All rights reserved. •VMCの発行に際しては、その企業が所有して商標登録しているロゴを利用する必要がある •関係のない第三者に勝手にロゴが利用されてしまうのを防ぐため •ヤフーの”Y!”のロゴは従来、日本のヤフー株式会社ではない

    別の米国企業が商標を所有しており、その利用に制限がある状態だった •2021年7月に”「ヤフージャパン ライセンス契約」に係る基本契約締結のお知らせ”を発表 •これにより、”Y!”のロゴの権利者がわれわれヤフー株式会社となり、 晴れて BIMI で表示するロゴとして利用できるようになった ロゴの商標に関して 3.導入にあたっての苦労話 15 BIMI で利用したいロゴの商標が登録されているか、 そしてその権利者は想定通りかどうかは、 必ずご確認いただくべき事項かと思います
  12. ©︎2022 Yahoo Japan Corporation All rights reserved. •Internet Draft には以下のような記載があります

    組織ドメインおよびサブドメインにおける BIMI の仕様 3.導入にあたっての苦労話 16 If a subdomain policy is published it MUST NOT be “none” To participate in BIMI, Domain Owners MUST have a strong [DMARC] policy (quarantine or reject) on both the Organizational Domain, and the RFC5322.From Domain of the message. 「BIMI に対応するドメインは、その親子のドメイン含め全て DMARC ポリシーの条件を満たす状態にしなければならない」という仕様
  13. ©︎2022 Yahoo Japan Corporation All rights reserved. アジェンダ 1. そもそも

    BIMI とは? 2. BIMI 導入の経緯 3. 導入にあたっての苦労話 4. Yahoo!メールでの展望 5. 後日談 17
  14. ©︎2022 Yahoo Japan Corporation All rights reserved. •ユーザーメリットも大きいと考えているので、 導入する方針で検討中 •まずは独自機能である「ブランドアイコン」をより普及させるこ

    とを考えている •ブランドアイコンではメールの詳細画面に 送信元の企業やサービス名、そしてそのリンクを表示している •BIMIに対応したサービスでは、 アイコンを表示している理由を明示していないケースが多い •VMC(証明書)の組織名を表示するのも一つの方法…? Yahoo!メールでの BIMI 導入は 4.Yahoo!メールでの展望 18
  15. ©︎2022 Yahoo Japan Corporation All rights reserved. Yahoo!メールのUIにおけるなりすましメール対策 4.Yahoo!メールでの展望 19

    「Yahoo!メール セキュリティ・プライバシーへの取り組み」が 2022年度グッドデザイン賞を受賞しました!
  16. ©︎2022 Yahoo Japan Corporation All rights reserved. アジェンダ 1. そもそも

    BIMI とは? 2. BIMI 導入の経緯 3. 導入にあたっての苦労話 4. Yahoo!メールでの展望 5. 後日談 21
  17. ©︎2022 Yahoo Japan Corporation All rights reserved. •Gmail にて対応当初は表示されていた Y!

    ロゴが突然表示されなくなった… •iCloud メールなど他の対応サービスでは表示されている •BIMI Group の提供する “BIMI Inspector” のチェックも全て pass となっている Gmail でロゴが表示されなくなった… 5.後日談 22
  18. ©︎2022 Yahoo Japan Corporation All rights reserved. BIMI の現状と注意点 5.後日談

    23 •先ほどの表示されない原因はおそらく、 MX で指定されたドメインの A レコードで返ってくる IP アドレスを 更に逆引きして返ってくるホスト名を正引きすると A レコードがない状態になってしまってこと •Internet Draft の段階ということもあり、各社で基準にバラつきがある模様 • 米国の Yahoo! Mail では、VMC を必須とせず独自基準による表示もしている •状況を常にキャッチアップして対応いくことが重要