巧妙なフィッシングメールにどう立ち向かう?総務省の要請と最新対策技術を解説

メールセキュリティ業界動向

2025年09月12日 2025年09月12日

2025年9月1日、総務省は、通信事業者団体の中でも主要な4団体に対して、フィッシングメール対策の強化を求める要請文を発出しました。これは、生成AIの進化により、従来は苦手としていた日本語のフィッシングメールも精巧に作れるようになったことで、より巧妙な詐欺メールが増加している現状と、それにより生まれた多大な被害状況を踏まえたものになります。

この記事では、今回の総務省の要請内容をわかりやすくまとめ、企業や個人がどのように対策を講じるべきかを考察します。また、要請内容の中でも記載されているDMARCやBIMI、VMCなどの昨今注目を集める最新のメールセキュリティ関連技術についても解説します。

目次

  1. なぜ今、フィッシングメール対策が必要なのか?
  2. 総務省が求める3つの対策
  3. メールの信頼性を高める最新技術
  4. まとめ

なぜ今、フィッシングメール対策が必要なのか?

近年、実在する企業を装ったフィッシングメールが増加し、ログインIDやパスワードなどの個人情報が盗まれる被害が急増しています。特に、証券会社を装ったメールによる不正アクセスや不正取引が急増しており、問題視されています。具体的な数値が金融庁から発表されおり、実際に、2025年3月以降、被害件数と被害金額が急増しています。

さらに、生成AIの進化により、自然な日本語で大量のフィッシングメールを作成することが可能になり、従来よりも精巧な詐欺が行われるようになっています。受信者側が、従来の違和感のある文章や文字列でフィッシングメールを判断することが困難になってきているため、メールを送信する事業者側で対策を行うことが強く求められるようになってきました。

総務省が求める3つの対策

総務省は、通信事業者に対して以下の3つの対策を強く求めています。

① メールフィルタリング技術の向上

AIを活用した迷惑メール判定技術の精度向上
フィルタリング強度の適切な設定

② なりすましメール対策の徹底

DMARC(送信ドメイン認証技術)の導入とポリシー設定(隔離・拒否)
送信側だけでなく受信側でもDMARCポリシーに基づく処理とレポート送信の設定
ドメインレピュテーション、BIMI、踏み台送信対策などの追加施策の検討

③ 利用者への周知・啓発活動の強化

提供しているフィッシング対策サービスについて、幅広い利用者層への情報発信

この要請は行政指導に該当し、法的拘束力はありませんが、通信事業者は2025年9月から2026年8月末までの間、上記の取組状況を3か月ごとに総務省へ報告することが求められています。

 

メールの信頼性を高める最新技術

総務省が求めている対策のうち、今回は昨今特に注目を集めているDMARC、BIMIおよびVMCについて具体的に解説します。

DMARC(なりすましメール対策設定)とは?

「DMARC(Domain-based Message Authentication, Reporting and Conformance)」は、メールの送信元が正当なものであるかを検証し、不正と判断されるメールが送信された場合にどのように対処するかを定義します。どのような対処をするかの定義は、DMARCポリシーと呼ばれ、none(何もしない=そのまま受信BOXへ送る)、quarantine(隔離=迷惑メールフォルダに送る)、reject(拒否=受信BOXに届かない)の3つに分けられます。

BIMI(企業ロゴ付きメール)とは?

「BIMI(Brand Indicators for Message Identification)」は、受信メールにロゴを表示するための仕様です。DMARCポリシーがquarantineもしくはrejectで設定されていることがロゴ表示の前提となります。また、後述のVMCを用いることで、表示されるロゴを所有する正当な事業者から送信されたメールであることが保証されます。受信者が視覚的にメールの信頼性を確認することが可能となるため、フィッシングメールか否かの判断が容易になります。

VMC(企業ロゴ所有証明書)とは?

「VMC(Verified Mark Certificate)」は、BIMIで表示されるロゴが本物であることを証明する電子証明書です。また、不正な第三者が他社のロゴを盗用することを防止するために必要な要素となります。公的な認証局(CA)による厳格な審査を経て発行され、メールドメインの所有者とロゴの所有者が一致することを保証します。VMCを用いた場合、Gmailなど特定のメールサービスでは、ロゴ表示だけでなく、認証済みマーク(青いチェックマークなど)が表示されるため、受信者にそのメールが信頼できることをより強く示すことが可能となります。このように、フィッシングメール対策として、DMARC単体でもメールの送信元の認証と受信先の振り分けを行いますが、BIMI/VMCと連携することで、ロゴ表示によって受信者側で本物か偽物か判断しやすくなり、更なるフィッシングメール対策が可能となります。

DMARC・BIMI・VMC画像.png

まとめ

フィッシングメールは、個人の資産を脅かすとともに、なりすまされた企業の信頼も損なう深刻な脅威となっています。総務省の要請は、通信事業者が主な対象でしたが、その他の業界の企業もフィッシングメールによる被害を無視することは出来ません。
受信者によるフィッシングメールの判断が困難になりつつある中、送信者側の対応が強く求められるようになってきました。DMARC・BIMI・VMCの導入は、今後のスタンダードとなる可能性が高く、早期の対応が重要です。

関連リンク

インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
フィッシングメール対策の強化について(要請)
VMC(企業ロゴ所有証明書) byGMO サービスページ

関連する記事

メール用電子証明書「S/MIME(エスマイム)」の最新調査結果を発表(2021.12.21)
サイバー犯罪者から電子メールの安全を確保する方法(2017.10.24)

トピック関連記事

#

2020年04月15日

年々被害が増加する、ビジネスメール詐欺 (BEC) の実態

メールセキュリティ
ドキュメントセキュリティ
脆弱性/マルウェア

#

2019年11月26日

情報セキュリティの課題を解決する公開鍵暗号方式

クライアントセキュリティ
メールセキュリティ
IoTセキュリティ

#

2017年02月01日

パスワード別送の危険性と「電子証明書」の必要性

メールセキュリティ

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。