「総務省キーマンに聞く 顧客をなりすましメールから守る DMARCの必要性」ウェビナーでのご質問への追加回答

※本記事は2023/4/25開催した「総務省キーマンに聞く 顧客をなりすましメールから守る DMARCの必要性」ウェビナーの質疑応答にて時間の都合で回答しきれなかった内容への追加回答となります。

この度は、「総務省キーマンに聞く 顧客をなりすましメールから守る DMARCの必要性」にご参加いただき、誠にありがとうございました。
またたくさんの質問をいただき、誠にありがとうございます。

こちらの記事にて、ウェビナーでの質疑応答時間で回答しきれなかった、質問に対して可能な範囲で回答を致します。

Q1. BIMIの導入を検討しております。
導入するうえで、つまづきやすいポイントや注意事項等はございますでしょうか？

A1.ロゴ画像が商標登録されていることが条件となるため、DMARC 導入と合わせて商標登録済みのロゴ画像を用意することが注意する点です。

Q2. 組織が把握していないサブドメインはDMARCレポートのどこから分かるのでしょうか。

XML データにはヘッダーFromドメインの情報が記載されていますので、そこから見つけ出すことになります。

Q3. BIMI設定にあたって、デジタル証明書の取得についてはどの程度の期間かかるのでしょうか。

単純に証明書を申請・取得する期間は EV 証明書と同程度（数日〜2週間程度）です。
一方で、DMARC 導入・ポリシー強化や商標登録がより時間がかかる作業になります。
お客様の状況により、差はございますが目安として申し上げますと、DMARC導入・ポリシー強化に3ヶ月〜半年、商標登録には8ヶ月程度必要となるケースが多いです

Q4. DMARCレポートを分析することで、なりすましメールの情報（件名、宛先、本文）等を送信側で把握できるのでしょうか？
もし把握できるのであれば受信者宛に注意喚起ができるのではないかという意図での質問です。

いいえ、セッションで紹介した DMARC レポートは集計レポートと呼ばれるデータであり、件名・宛先・本文の情報は含まれていません。

Q5. ルートドメインでDMARCをp=noneとして設定し、DMARCレポートを確認すれば、サブドメインまで含めたシャドーIT(調査しきれなかったメール送信サーバ)が抽出できるのでしょうか？

はい、サブドメインを利用したメールの流通を DMARC レポートを分析することで見えてきます。

Q6. MXレコードに対応するMTA側でレポート送信機能などのツールを導入していないとレポートは受け取れないしフィルターも機能しないのでしょうか？

いいえ、DMARC レポートは自組織の MX レコードに対応する MTA 側の機能に関わらず、メールドメインの DNS 設定のみで受け取れます。

Q7. DMARCレポートはTXTレコード書かれた通知先メールアドレスに受信メールサーバから送られてくると思いますが、 メール1通当たりにレポートが通知先メールアドレスに通知が届くのでしょうか？
ツールなどを使わなければ、人間がレポートを見ていくのは不可能ですか？

DMARC レポートは集約された形式でフィードバックされますので、通数分の DMARC レポート数とは限りません。
一方で集約されているとはいえ、データ量は膨大になる場合もあるため、ツールを利用することが推奨されます。

Q8. DMARC対応は現在努力義務となっていますが、いつまでに導入することが必須か、理想かといった期日感はありますでしょうか。社内でのDMARC対応を進めるために教えていただきたいです。

DMARCへの対応は、法令等に基づく「努力義務」とは認識しておりませんが、本日の講演でご説明した内容や、先日の要請の趣旨に鑑みて、出来るだけ早期のご対応をご検討頂けますようご協力をお願いいたします。

Q9. クレジットカード業界の次に対応したほうがいい業界はありますか？

具体的な優先順位があるというわけではございませんが、フィッシング詐欺のターゲットとなるような業界におかれましては、積極的なDMARC対応をお願いいたします。
（最近のフィッシングの事例については、フィッシング対策協議会さまのHPにも情報掲載がございます）