BIMIでメール開封率が39％増加し、ユーザーをフィッシングから守ることができるという美味しい話

※この記事は9月24日にScannet SecurityのTwoFiveブログに掲載した内容です。

メールの信頼性を向上させる技術であるBIMI (ビミ)を利用することで、キャンペーンメールやニューズレターなどの開封率が39％向上したという調査結果をカナダの電子メール技術コンサルティング会社のPALISADEが公開しました。
この情報は先日開催した弊社の年次ユーザーイベント「VOYAGE 2024」において、KDDIの本間輝彰氏よりBIMIの効果を示す指標として紹介されたものです。

(PALISADE社の調査結果)

How to improve your open rates by 39% with BIMI

BIMI(Brand Indicators for Message Identification)という技術は、メールクライアント（GmailやApple Mailなど）上で、DMARCという送信ドメイン認証によって認証成功したメールに、送信元が公開しているブランドのロゴを表示する技術です。
BIMIでロゴが表示されたメールは、混雑した受信トレイで目立つので認識されやすくなり、メールを受信した人は、信頼できるメールであることを確認して安心してメールを開封することができます。このことが、開封率39％増加という嬉しい結果をもたらしたのはないでしょうか。
 
(BIMIの解説）

DMARC および関連技術情報 - BIMI について

●識別しにくい “なりすましドメイン” もロゴの有無で一目瞭然
メールを送る側がBIMIに対応するには、認証マーク証明書 VMCという電子証明書を取得する必要があります。VMCを取得する場合、Digicert社などの電子証明書発行元で、Webなどで利用されるEV証明書の発行時に近いレベルの審査が行われます。
また、表示されるロゴは日本では商標登録されたものでなければいけません。つまり、BIMIに対応するためには、組織として厳格な条件を満たす必要があるということです。
従って、BIMIによってロゴが表示されたメールは、なりすましされていない、しかも、厳格な条件を満たした組織から送られてきていることになりますので、メールを受け取った人も安心して開封して読むことができます。
巧妙な手法で企業などのドメインに見せかけたメールは、正規のメールかどうか見分けにくいですが、BIMIに対応している企業であれば、ブランドロゴが表示されていないものはなりすましの可能性が高いということで、ブランドを騙るフィッシングメールやBECメールなどから一般ユーザーを守る対策の一つして有効であると言えます。

●DMARC対応の迷惑メールにはBIMIが有効
今年の2月からはじまったGoogleの受信ポリシー強化、No Auth No Entryアクションによって、日本でも送信側でのDMARCの普及が急激に進みました。受信側でも海外では、Apple、Google、国内ではNTTドコモやKDDI、ソフトバンク等の大手のコンシューマー向けのメールサービスでの送信ドメイン認証への対応が進んでおり、ようやくDMARCを利用して電子メールの送信者（From:ヘッダー上のメールアドレスのドメイン）がのなりすましされていないことを確認できる環境が整ってきています。
そして、BIMIも、iPhoneやMacを含むAppleのメールクライアントや、また、Androidを含むGoogleのGmailがサポートし、日本ではNTTドコモとKDDIが対応をアナウンスしており、BIMIを利用できる環境も同様に整ってきています。これらのメールサービス提供者がBIMIをメールの信頼性向上に役立つと評価しているということは、BIMI対応のメールは、スパムフォルダーや迷惑メールフォルダーで失われずに、受信トレイに届く可能性も高くなります。
 
DMARCによる認証を使って、受信したメールのFrom:ヘッダー上のメールアドレスのドメインがなりすましされていないことを確認できます。ただ、迷惑メール送信者もDMARCに対応したメールを送信することはできてしまうので、迷惑メール対策のなかでDMARCを利用する場合、DMARCよる認証が成功した後、そのドメインが良いドメインなのか悪いドメインなのか（ドメインレピュテーションと呼びます）を判定することが必要となります。
BIMIに対応することで、なりすましメールではなく、レピュテーションのよいドメインから送信されたということを受信者にわかりやすく伝えることができます。そして今後、ロゴ表示のあるメールは安全であることが、一般ユーザーにも広く周知されれば、マーケティングメールの開封率向上に一層寄与するのではないでしょうか。
お客様やユーザーにメールを使って情報を頻繁に提供する会社は、ユーザーをフィッシングメールから守るため、そして正しいメールをユーザーに安全に届ける手段としてBIMIへの対応を考えるべき時期にきていると思います。

（関連記事）
なりすましメール対策DMARCの標準的な設定方法とBIMIの活用、それを支えるVMCとは
https://scan.netsecurity.ne.jp/article/2022/07/29/47981.html
 
メールの脇にブランドロゴを表示する「BIMI」がもたらすビジネス価値とは
https://scan.netsecurity.ne.jp/article/2022/08/23/48077.html
 
なりすましメール対策に有効 ～ BIMIでロゴ表示するまでのプロセスを実例から学ぶ
https://scan.netsecurity.ne.jp/article/2022/09/06/48145.html
 
普及進むBIMI、運用時によくある間違いとその対策 ～ TwoFiveとデジサートの識者語る
https://scan.netsecurity.ne.jp/article/2023/08/01/49755.html

（著者プロフィール）
株式会社TwoFive 社長 末政 延浩（すえまさ のぶひろ）
大学で通信工学を学び、1980 年代に某通信会社の研究所で開発に従事し、UNIX 4.2BSD の sendmail を使い電子メールと出会う。2000 年より Sendmail日本法人で、技術責任者を務め、2008 年に代表取締役に就任。その後、2014 年に株式会社TwoFive を創設。長年蓄積した技術力とノウハウ、国内外のネットワークを活かして、安全・安心なコミュニケーションを護るために闘い続けています。