巧妙な手口でオンラインサービスの利用を狙うフィッシングはここ 2 年間で報告数が約 8 倍と急増しており、社会へ大きな影響を及ぼしています。 特にサービスの本物のドメインやメールアドレスを使った「なりすまし」フィッシングメールが急増し、現在も全体の半数以上を占めています。 このセッションでは、実際に大量のなりすましフィッシングメールを配信され、その対策の一つとして送信ドメイン認証 DMARC 対応を進めたご担当者に 対応の経緯や取り組みについてお話いただいた後、パネルディスカッションを行います。

1. 楽天グループサービスにおける
メール送信ドメイン詐称、フィッシングメール対策
2021年11⽉11⽇
楽天グループ株式会社
テクノロジーサービスディビジョン
情報セキュリティ・プライバシーガバナンス部
ジェネラルマネージャー
財津 健次

2. 2
楽天グループ・楽天グループ株式会社紹介
メール送信ドメイン詐称、フィッシングメール対策導⼊の流れ
導⼊効果:フィッシングメール対策協議会レポートとの対⽐
実⾏したこと・難しいこと
DMARCレポートの徹底利⽤
お願い事項
アジェンダ

3. 3
楽天グループは、Eコマース、トラベル、デジタルコ
ンテンツなどのインター ネットサービス、クレジット
カードをはじめ、銀⾏、証券、電⼦マネー、スマホア
プ リ決済といったフィンテックサービス、携帯キャリ
ア事業などのモバイルサービスといった多岐にわたる
分野で70以上のサービスを提供
サービスに対応したドメイン、サブドメインから注⽂、
発送等、各種お知らせのメールを送信
出展:コーポレートレポート2020年12⽉期
楽天グループ・楽天グループ株式会社

4. 2018
楽天サービス・店舗様
を騙る偽楽天メールが
多数報告される
フィッシング対策協議会報
告より楽天の名前が消える
全社的に送信ドメイン認証技術
(DKIM/DMARC) 導⼊の推進開始
送信ドメイン認証技術導⼊率
90%を達成(送信数ベース)
送信ドメイン認証設定
社内マニュアル制定
DMARC分析ツール導⼊
（エクセルからの移⾏）
Yahoo︕メール
ブランドアイコン機能に参加
ドコモメール
公式アカウント機能に参加
2019 2020 2021
DKIM/DMARC
楽天グループおけるメール送信ドメイン詐称、フィッシングメール対策

5. 5
2020.08 2020.09 2021.08 2021.09 2021.10
対策協議会報告
上位被詐称
ブランド
A社
B社
楽天
楽天カード
(Top 4で92.6%)
A社
楽天
B社
C社
(Top 4で93.2%)
A社
B社
C社
D社
E社
(Top 5で65.8%)
A社
B社
C社
D社
E社
(Top 5で64.0%)
A社
B社
C社
D社
楽天
(Top 5で66.0%)
対策協議会への
報告数
20,814 28,575 53,177 49,953 48,740
CSへのメール
関係
問い合わせ
100%
* この⽉の問い合わせ
数を100%とする
168% 17.5% 10.8% 10.3%
多いときはCSへの問い合わせの８割が偽楽天メールに関する問い合わせとなっていた
引⽤:フィッシング対策協議会 報告書類
フィッシング対策協議会レポートと成果の関係
- 90%

6. 6
なかなか難しい（難しかった）こと
実⾏していること
実⾏していること・なかなか難しいこと
DMARCレポートの徹底利⽤ 利⽤システム・担当者の特定
経営層のサポート
DKIM/SPF設定できないシステムの存在
クロスファンクションチームの結成・運営
成功率何%だったらp=reject OKなのか
他社有識者のアドバイス
とにかくレイヤを選ばすお願いする
効果測定(すべてのドメインが詐称されて
いるわけではない)
提携事業者様のご理解・ご協⼒・ご賛同

7. 7
** DMARCレポート
ツールサンプル画像
DMARCレポートの徹底利⽤
“Reject”メール数の把握
= 効果報告に有効
DMARCがFailしている
プラットフォームの特定、
影響状況の推測・掘り下げ
クロス
ファンクションチームの
優先順位の決定

8. 8
⽇本のメールサービスプロバイダの皆様に
DMARC
(フィルタリング・レポート)
をサポートしてほしい
お願い事項
DMARC