HOME | Yahoo!メール

送信ドメイン認証「DMARC」を導入した「Yahoo!メール」 なりすましメール対策の導入効果は!?

(取材日: 2020年7月8日 執筆者: 北崎 恵凡)

20200708_Yahooメール_プレスリリース

https://mail.yahoo.co.jp/antispam/dmarc.html

安心・安全なコミュニケーションインフラを支える技術


2020年1月29日に「Yahoo!メール」における送信ドメイン認証技術「DMARC」の導入が発表され、2020年3月1日に利用者へ導入の案内が通知されました。
「Yahoo!メール」では、既に導入していた送信ドメイン認証技術「SPF」「DKIM」 に加えてセキュリティ強化、なりすましメール対策の強化を目的に「DMARC」の導入を決定。
導入判断に至った背景と導入後の効果について「Yahoo!メール」のサービス担当者へ話を伺いました。
 

20200708_Yahooメール_細岡さん

ヤフー株式会社 サービス統括本部 ID・PIM本部
細岡 拓也(ほそおか たくや)
好きなサッカーチーム: 鹿島アントラーズ
 

20200708_Yahooメール_中村さん

ヤフー株式会社 サービス統括本部 ID・PIM本部
中村 成陽(なかむら まさはる)
好きなサッカーチーム: 横浜F・マリノス

「Yahoo!メール」の不正利用対策強化


(北崎) まずは自己紹介をお願いします。
 
(細岡) 2003年から「Yahoo!メール」を担当している細岡と申します。現在はバックエンドのサービスマネージャを担当しています。
 
(中村) 2016年11月から「Yahoo!メール」の迷惑メール対策チームに加わり、現在はプロジェクトマネージャを担当しています。
 
(北崎) JPAAWGに加入された理由を教えてください。
 
(細岡) 「Yahoo!メール」の不正利用対策強化に向け、JPAAWGに参加することで最新のノウハウや知見を吸収したいと考えておりました。また、「Yahoo!メール」で実施した対策を共有し、還元していきたいと考えています。
 
(北崎) 古くから積極的に迷惑メール対策をされていますが、SPF、DKIMに加えてDMARCの導入を決定した背景について教えてください。
 
(中村) 4年前からDMARCの導入について検討をしてきていました。最近、特に大手サービスを騙ったフィッシングメールが増えており、利用者のクレジットカード情報が盗まれるなど、大きな問題になっていること、社内外からDMARCの早期導入を期待する声が高まっていたこと、DMARCを導入することで一定の効果があることがわかったことから、導入することを決定しました。
 導入には人的リソースやコストが発生しますので、他の開発案件との優先度を考慮して2019年冬頃から開発に着手しました。
 
(北崎) サービス上の懸念点に対する検討結果について教えてください。
 
(中村) 迷惑メール対策推進協議会でもよく議論になるので懸念点は認識しており、利用者に対してどのような影響があるのかできる限り事前に調査してその影響範囲を詳細に確認したり、また、社内CS担当者と連携し利用者からの問い合わせに気を配りながら導入を進めました。

DMARCの導入効果


(北崎) DMARCの導入について費用対効果を疑問視する声もありますが、導入コストと導入することで得られる効果についてそれぞれ教えてください。
 
(細岡) 導入コストについては受信側と送信側とで大きく分かれます。「Yahoo!メール」はメール受信事業者として、送信側で宣言されたDMARCポリシーに従って迷惑メール対策フィルターの動作を変える開発が必要になります。
 また、DMARCレポートを送信する機能や利用者がDMARCの利用を選択できるようにするオプトイン/オプトアウトの機能の開発が必要になります。「Yahoo!メール」はこれらを実現するための基盤となるシステムがありましたので、数ヶ月程度の開発期間でリリースすることができました。受信側としての注意点は、総務省が示すDMARC導入に関する法的留意点(※1)に則って導入を進めることが重要です。
 次に、送信側としては送信メールアドレスの送信ドメイン認証技術に対応することです。対応ができていればDNSのTXTレコードでDMARCポリシーを宣言するのみになります。注意点として、設定するポリシーによっては、送信ドメイン認証に対応できていない場合、メールが届かなくなってしまうので、状況を見ながら慎重に進めていく必要があります。米国では政府機関から送信されるメールの全てにおいてDMARCに対応することが義務付けられている(※2)ことなど、グローバルではDMARCの活用が推進されています。
 国内においても「Yahoo!メール」が今回対応を行ったことで、2,300万人以上の利用者がメール受信時に、なりすまし攻撃を受けにくくなる効果が得られると考えています。
 
※1 送信ドメイン認証技術等の導入に関する法的解釈について (DMARC導入に関する法的な留意点)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html
※2 DHS “Binding Operational Directive 18-01”
https://cyber.dhs.gov/bod/18-01/
 
(北崎) 導入を決定されてからリリースに至るまで非常に短い期間で実現されたという印象ですが、検討を開始されてから導入を決定するまでの期間について教えてください。
 
(細岡) 「Yahoo!メール」としては総務省が示すDMARC導入に関する法的留意点にどう対応できるかが大きな論点でした。導入の提案があった時点でグローバルでのDMARCの導入が進んでいたこともあり、社内での後ろ向きな意見はありませんでしたが、なかなか優先度を上げることができませんでした。  DMARCの導入で完全に「なりすましメール」を送信したり、受信したりしなくなるという訳ではありませんが、安全安心なメール環境を提供できる施策のひとつとして非常に有効な方法であると考え、「Yahoo!メール」の利用促進を説得材料としました。
 スケジュールとしては、2019年冬頃から開発を始め、2020年1月末にリリースの目処が立った時点でプレスリリースしました。まずはお客様にDMARC導入の意図、内容をしっかり理解していただく期間を取り、3月からリリースを開始し、5月中旬ごろに DMARCポリシーによる迷惑メール判定処理を行う全てのリリースが完了しました。

開発の苦労話


(北崎) リリース計画においてコロナ禍の影響はなかったのでしょうか。
 
(細岡) 当初からお客様からの問い合わせが増えたり、お客様にご不便をお掛けしたりしないことに気をつけていました。リリースにより、機能が正常に動作することを確認しながら慎重に導入作業を進めました。慎重に進めることでDMARCポリシーによる迷惑メール判定に関する問い合わせはありませんでしたので、リリースはうまく行ったと考えています。
 
(北崎) リリース完了後の状況について教えてください。
 
(中村) 大手サービスを騙る「なりすましメール」はDMARCポリシーに従ってフィルタリング、ブロックすることで対策の効果があったことは想定とおりでした。
 
(細岡) フィッシングにつながる「なりすましメール」が届くことで詐欺被害を受けてしまったお客様からの問い合わせを重視しています。
 
(北崎) 想定外のことはなかったのでしょうか。
 
(中村) 良い意味での想定外ですが、DMARCポリシー宣言に従った処理をすることで、お客様が普段受信しているメールを受信できないなどの影響を懸念していましたが、問い合わせが急増することはありませんでした。転送メールやメーリングリストが影響を受けた問い合わせはありましたが、想定よりも少なくごく一部のお客様でした。導入検討当初からリスクとして考慮し、社内CS部門に対して相当数の問い合わせを受けることも想定していましたが、ネガティブな影響はほとんどなくDMARCを導入できたのは良かったと思います。
 
(北崎) 開発過程での苦労話や印象に残っていることを教えてください。
 
(中村) お客様からの問い合わせで窓口がパンクしてしまう状況を回避するところが苦労した点です。もしDMARCの導入によって問い合わせが急増してしまうようなことがあれば、他の業務や弊社のサービスへも影響を与えてしまう状況になると考えていました。 技術面ではSPF、DKIMの一時的な認証失敗時のDMARCポリシーに従ったふるまいに関する検討に苦労しました。
 そのほかにも仕様面で綿密に確認しなければならないこともあり、開発メンバーが集まってホワイトボードを使って議論しながら開発した記憶があります。 また、考慮すべきテストケースも結構あり、SPF、DKIMそれぞれの送信ドメイン認証結果毎の動作やDMARCポリシーなどのオプションパラメータ毎のケースを網羅するのも苦労しました。

今後のサービス展開


(北崎) では、最後に「Yahoo!メール」の今後のサービス展開について教えてください。
 
(細岡) DMARCの導入を始めとして、「Yahoo!メール」を安全に安心して使っていただけるような取り組みを今後も継続的に行なっていきたいと考えています。メールはレガシーなサービスと思われることが多いですが、「Yahoo!メール」はたくさんの方に利用されており、利便性を高める機能開発もすすめています。
 
(中村) コロナ渦の状況でも「Yahoo!メール」のアクティブユーザー数は増えており、安全安心に利用していただくことが何より大事だと考えています。今回、DMARCポリシー宣言による効果があることがわかったので、各サービスで使われるドメインの送信側と協力してフィッシングメール対策を進めていけたらと考えています。申し込み企業のアイコンを表示するブランドアイコン機能もフィッシング対策に有効で、いろいろな会社で導入が進んでいますが、まだまだより多くの会社に利用していただきたいと考えています。見た目で気付きやすいという特徴があり、導入が進めばより安全安心にメールをご利用いただけるようになると考えています。
 
(北崎) 本日はお忙しい中、ありがとうございました。
 

※ 記事の内容に関して

2020年7月8日にオンライン(Zoom)にて対談を行いました。

Yahoo_DMARC_オンライン対談