⇒【東証プライム企業も多数利用!】最先端のSNSマーケティングツール「Tofu Analytics」、「InstantWin」とは?
Googleは2024年2月から、アカウントに対してメールを送信する際の条件(認証)を強化すると発表しました。また、米Yahooも同様にメール送信者向けに2024年第一四半期から条件の変更を発表しました。
GoogleやYahooと聞くと、個人利用やECサイトなどのメルマガなどをイメージすると思いますが、今回の対処にはGmailアカウント(@gmail、googlemail.com)だけでなく、企業や学校などが多く利用するGoogle Workspaceも対象に含まれています。この条件変更の流れは、日本国内のビジネスにも影響を与えていく可能性があります。その条件とは一体どんな内容なのかを解説します。
1.一斉送信者への新ルール導入
Googleは、迷惑メールの増加に対処するため、一斉送信者に対する新しいルールを導入することを発表しました。この変更は、特にGmailアドレスに1日で5,000件以上のメッセージを送信する一斉送信者に影響を与えます。これには、大手小売業者から大手テクノロジー企業、さらにはメールメッセージを通じて自社を宣伝しようとする小規模なスタートアップやB2C企業も含まれています。
Googleの新しい方針は、ユーザーの受信箱を守るためのもので、一斉送信者が自らのメールを認証すること、購読解除の手段を簡単に提供すること、そして報告されたスパムのしきい値を下回ることを求めています。これにより、ユーザーは不要なメールからの保護が強化されるとともに、一斉送信者もそのメッセージが正確に届けられる確率が高まるでしょう。
2.AI技術を活用した迷惑メール対策
Googleは、ユーザーの受信箱から迷惑メールを排除するための取り組みとして、AI技術の活用を強化しています。同社によれば、現在、AI技術を利用して、スパム、フィッシング、マルウェアを含む99.9%以上の迷惑メールをユーザーの受信箱からブロックしている状態です。これにより、1日に150億件の不要なメールがブロックされています。
しかし、技術の進化に伴い、Googleの防御策も進化しなくてはいけません。そのため、Gmailは、昨年導入されたポリシーをさらに強化し、Gmailアドレスに送信されるメールに何らかの形での認証を必要とする方針を採用しました。この変更は、多くの一斉送信者がシステムを適切にセキュアに設定していないため、攻撃者が容易にその中に潜むことを可能にしていた問題に対処するために必要な措置といえます。
3.認証強化による安全性向上
Gmailは、ユーザーの安全を最優先に考え、メールの認証プロセスを強化しています。昨年導入されたポリシーでは、Gmailアドレスに送信されるメールに何らかの形での認証が必要とされていました。この変更は、多くの一斉送信者がシステムを適切にセキュアに設定していないため、攻撃者が容易にその中に潜むことを可能にしていた問題に対処するためのものです。
この取り組みの結果、認証されていないメッセージの数は75%減少しました。しかし、Googleはさらなる安全性の向上を目指して、2024年2月までに一斉送信者がベストプラクティスに従ってメールを強く認証することを要求しています。
4.業界初の明確なスパム率基準導入
Googleは、ユーザーの受信箱をさらに守るための新しい取り組みとして、業界初となる明確なスパム率基準の導入を発表しました。これは、ユーザーが十分な数で一斉送信者のメールをスパムとしてマークすると、その一斉送信者がユーザーの受信箱へのアクセスを失う可能性があるというものです。
この新しい基準は、ユーザーの受信箱を不要なメールから守るだけでなく、一斉送信者にもそのメッセージが正確に届けられる確率を高める効果が期待されます。Googleは、この新しいポリシーの導入に先立ち、業界のパートナーと協力して新しいポリシーを制定していることも明らかにしています。
5.常識になる可能性と未対応リスク
今回のGoogleの送信者向けのガイドラインの発表は、日本国内にも多大な影響を及ぼす可能性が高いと考えます。Gmailを使っているコンシューマや、Google Workspaceを利用している企業や学校などのメールアドレスへ、今まで届いていたメールが届かなくなるかもしれないのです。
ガイドラインの適用まで時間も限られているため、送信者に求められている送信ドメイン認証(SPF・DKIM・DMARC)の対応を優先して取り組む必要があります。SPFやDKIMだけでなく、将来的にはDMARCのポリシーもp=quarantine以上が求められる可能性はありますが、まずはp=noneでも良いのでDMARCに対応しましょう。
送信ドメイン認証の対応は、Googleや米Yahooにメールを届けるためだけでなく、取引先やグループ会社などと安全にメールを送受信するためにも必要です。例えば、取引先が送信ドメイン認証を導入しているのに自社の対応が遅れていると、取引先は受信メールの正常性を確認できず、送信したメールが不審なメールとして処理されてしまうかもしれません。
既に多くの企業が送信ドメイン認証を導入しており、国内の大手携帯キャリアもDKIMやDMARCへの対応を発表しています。また、政府がクレジットカード会社にDMARC導入によるなりすましメール対策を要請したり、「政府機関等のサイバーセキュリティ対策のための統一基準群」へのDMARC対応の明記など、対策強化の流れが進んでいます。
送信ドメイン認証への対応は、企業がビジネスを円滑に進める上でも欠かせない取り組みとなっているのです。
6.今後はSPF・DKIM・DMARCへの対応が必須に
GoogleとYahooに送信する全ての送信者は、
- 送信ドメイン認証(SPF、DKIM、DMARC)に対応すること
- メールマガジンなどのバルクメールは、ワンクリックで登録解除ができるリンクを記載すること
◯SPF:送信元メールサーバのIPアドレスで判別
SPF(Sender Policy Framework)は、IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認します。
具体的には、メール送信時に利用するサーバのIPアドレスなどを、送信者ドメインのDNSに「SPFレコード」として事前に登録。受信側はメール受信時に、送信元サーバのIPアドレスを送信者ドメインのSPFレコードと照合し、なりすましかどうかを判断します。
◯DKIM:電子署名を付与してなりすましを検知
DKIM(DomainKeys Identified Mail)は、電子署名を利用してメール送信元が詐称されていないかどうかを確認します。送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、 なりすましやメールの改ざんを検知します。
◯DMARC:認証失敗時の対応策を定義し“守り”を固める
SPF、DKIMの認証結果を活用する仕組みとして近年注目されている技術が、「DMARC(Domain-based Message Authentication、Reporting and Conformance)」です。
これは、SPFやDKIMの認証結果を利用してなりすましかどうかを判別します。更に送信側は、受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うか判断できます。
各送信ドメイン認証の図解付きの分かりやすい説明や、送信ドメイン認証の効果的な活用法に関しては「送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説」をご覧ください。
Googleや米Yahooがこれらのセキュリティプロトコルの使用を奨励する理由は、送信者と受信者の双方にとってセキュアなメールコミュニケーションを確立するためだと考えられます。これにより、スパムメール、フィッシング詐欺、なりすましメールなどのセキュリティリスクが低減します。また、信頼性のあるメール送信者にとっては、メールが迷惑メールフォルダーに入るリスクを減らし、受信者に確実に届く可能性を高められます。
今回の発表は米Yahooであり、Yahoo! Japanではないため、日本への影響がより大きいと思われるGoogleの対応強化について注目してみましょう。
⇒【東証プライム企業も多数利用!】最先端のSNSマーケティングツール「Tofu Analytics」、「InstantWin」とは?