2024.03.29 (Fri)
いま企業に求められる情報セキュリティ対策(第17回)
Gmailにメールが届かなくなる?ガイドラインが変更
Gmailは2024年2月に迷惑メール対策を強化。ガイドラインに準拠しないユーザーからのメールは拒否されることになりました。確実に届けるには、どうすれば良いのでしょうか?
大量にメールを送信するユーザーは、Gmailへの送信が禁止される!?
ビジネスシーンにおいて、メールサービスにGoogleの「Gmail」を利用している人は多いでしょう。このGmailにおいて、2024年2月、ガイドラインの変更が行われました。
大きな変更点としては、Gmailアカウントのメールアドレス(末尾が@gmail.com、もしくは@googlemail.com)に対し、1日あたり5,000件以上のメールを送信するユーザーに対し、3点の条件をクリアすることが求められました。その条件とは、【1】送信メールの認証をすること、【2】未承諾のメール、または迷惑メールを送信しないこと、【3】受信者がメールの配信登録を容易に解除できるようにすることです。
これに加えて、送信ドメインに「SPF」「DKIM」「DMARC」という、3つのメール認証方式を設定することも、ガイドラインにて求められました。SPFとは、送信者のドメインの偽称を防ぎ(Sender Policy Framework)、DKIMはメールの送信元が電子署名を行い、受信側がその内容を検証す(DomainKeys Identified Mail)、DMARCはフィッシングメールを受信者に届けず、迷惑メールとして扱うための認証技術(Domain-based Message Authentication, Reporting, and Conformance)です。
これらの新たなガイドラインに準拠していないメール送信者は、個人用Gmailアカウント宛てに送ったメールがブロックされたり、迷惑メールに振り分けられる恐れがあります。逆に、ガイドラインに準拠することで、これらのエラーを回避し、個人用Gmailアカウント宛てに確実に送信することが可能になります。
日本のメールの約4割が迷惑メール
このルール変更の背景には、今もなお大量に送付されている「迷惑メール」(スパムメール)への対策があるでしょう。
総務省の資料によると、日本における電気通信事業者10社の全受信メール数のうち、迷惑メール数の割合は約4割を占めています。
電気通信事業者10社の全受信メール数と迷惑メール数の割合(2022年、総務省の調査データより)
迷惑メールを誤ってクリックすると、端末がウイルスやマルウェアに感染し、社内の機密情報が社外に漏れる恐れがあります。さらに、メールに記載されたURLをクリックすることでフィッシングサイトに移動し、ログインIDやパスワードが盗まれる恐れもあります。たとえ迷惑メールを無視したとしても、そのメールはメールサーバーに残り続けます。サーバー上に無用な迷惑メールのデータを保存しておくことは、とても効率的とはいえません。
こうしたことからGoogleは、5,000通以上ものメールをGmailに送り続けるアカウント対策に乗り出したと考えられます。
Gmailに送付する「全ユーザー」にもガイドラインが追加
今回のガイドライン変更では、冒頭で挙げた5,000通以上を送信するユーザーへのルールだけでなく、すべてのGmailアカウントへのメール送信者に対する新たなルールが盛り込まれました。
具体的には、Gmailアカウントにメールを送信するすべての送信者は、ドメインにSPFまたはDKIMメール認証を設定することや、メールを送信する際に通信データを暗号化する「TLS接続」を使用すること、メール分析ツール「Postmaster Tools」で報告される迷惑メール率を0.10%未満に維持し、決して0.30%以上にしないことなどです。いずれも迷惑メール対策に関連するものとなります。
このルールに違反した場合、たとえ大量にメールを送ることの無い個人ユーザーであっても、Gmail宛てのメールがブロックされる恐れがあります。
2024年6月からは、ワンクリックの登録解除も必須に!
ガイドラインはすでに2月よりスタートしており、大量のメールを送信している企業や組織では、その対応に追われているケースもあるようです。
たとえば警視庁では、各地域で発生した犯罪発生情報や、犯罪を防ぐために必要な防犯情報をメールで知らせる「メールけいしちょう」というサービスを実施していますが、2月1日から一時的に、Gmailアカウントへの配信を停止していました。1週間後の2月8日、システム保守が完了したとして、Gmailアカウントへの配信再開を発表しました。
ガイドラインの適用は、これから徐々に進んでいきます。2024年4月からは、ガイドライン非準拠のメールは拒否され、2024年6月からは、メールに登録解除のリンクをすでに記載している送信者に、メールにワンクリックでの登録解除の実装が必要になることが、Google Workspaceのヘルプページに記載されています。
業務で大量のメールを送信している企業の多くは、このガイドラインの変更に手を焼いていると思われます。逆にいえば、Googleが用意した厳しい条件をクリアすることで、「このメールは迷惑メールではない」ということをGoogleが保証するとも考えられます。自社のメールがた迷惑なスパムメールではないことを証明するためにも、新たなガイドラインには確実に適用すべきでしょう。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
- 第19回 返金されない?オンラインゲームの無断課金にご注意2024.05.22 (Wed)
- 第20回 その動画、本物?偽物?ディープフェイクの脅威2024.07.11 (Thu)
- 第21回 攻撃を察知し先手を取る。「能動的サイバー防御」とは2024.07.12 (Fri)
- 第22回 悪質な通販サイトを見分けるポイントとは2024.07.12 (Fri)
- 第23回 知らぬ間にスマホが乗っ取られる「SIMスワップ」の恐怖2024.07.12 (Fri)
- 第24回 詐欺トレンド、ライブ配信を狙ったフィッシング詐欺にご注意2024.08.08 (Thu)
- 第25回 自分の個人情報が「ダークウェブ」に流出!?チェックする方法とは2024.08.08 (Thu)
- 第26回 パスワードの定期的な変更は不要!今年5月に刷新された総務省の指針を読み解く2024.08.08 (Thu)
- 第27回 あなたは見破れるか?ビジネスメールに扮した「BEC詐欺」の手口2024.09.24 (Tue)
- 第28回 頼れる存在「ホワイトハッカー」を社内で育成する方法2024.09.24 (Tue)
- 第29回 その情報、拡散しても大丈夫?災害時のニセ情報の見分け方2024.10.08 (Tue)
- 第30回 日本のセキュリティ知識は世界最下位!?どうすれば向上するのか2024.10.18 (Fri)
- 第31回 「フィッシングにご注意」のメールが詐欺だった!対策はあるのか2024.12.26 (Thu)
