はじめに
今年(2025年)もJPAAWG 8th General Meeting (2025年11月4日〜5日の2日間)が無事に終わりました。
昨年(2024年)の振り返り記事はこちら。
今年(2025年)のトピック
オンライン詐欺や不正行為に対する攻撃と防御の両面でAI技術が活用されていることでしょう。
業界全体としてDMARCの導入が浸透し、メール利用者の視認性を高めるBIMIの導入事例も多く共有されました。
DMARCとBIMIの普及率調査はこちら。
プログラムのメモ
Day2のセッション内容で気になったことのメモです。
Day1の記事はこちら。
Day2
Track A
A2-1
DMARCは導入したんだけど・・・現場のつぶやき 〜 BIMI?何それ美味しいの?
平野 善隆氏
Hornetsecurity株式会社
アジェンダ
DMARCの導入は多くの企業で進みつつありますが、実際の現場からは「SPFの更新が追いつかない」「DMARCレポートを見ても理解できない」「p=noneから先に進めない」といった声が数多く聞かれます。DMARCは、導入しただけでは十分な効果が得られず、日々の運用こそが真の課題なのです。本セッションでは、こうした“現場のつぶやき”を切り口に、なぜDMARCの運用が難しいのかを整理し、その解決策を探ります。さらに最新のトレンドとも言える「BIMI」にも触れ、今後のメールセキュリティを考える上で押さえておきたいポイントや、運用の壁をどう乗り越えるか、そのヒントを紹介します。
発表メモ
メールのなりすまし対策として重要性が高まっているDMARC(ディーマーク) の導入と運用に焦点を当てた講演でした。DMARCを設定しないことによるブランドイメージの毀損やメール不達のリスクを具体例と共に解説しており、特に近年厳格化が進む主要メールプロバイダのガイドラインへの対応の必要性を強調しています。また、SPFやDKIMの仕組みと限界について触れつつ、DMARCをP=rejectの状態まで継続的に維持するためには、複雑なレポートの分析と適切な設定の修正が不可欠であることを説明しています。さらに、メールの信頼性を高め、ドメインの類似によるなりすましを防ぐためのBIMI(ビミ)の技術とその厳格な認証要件についても触れています。
A2-2
【モバイルキャリアパネルセッション前半戦】通信事業者の迷惑メール対策状況
正見 健一朗氏
株式会社NTTドコモ
中島 直規氏
KDDI株式会社
熊沢 明生氏
ソフトバンク株式会社
卯野 文寛氏
楽天モバイル株式会社
アジェンダ
フィッシング対策=DMARCの普及やGoogle送信者ガイドラインによる世間動向など昨今の迷惑メールの状況や今後に向けての課題などを説明します。
発表メモ
モバイル通信事業者による迷惑メール・フィッシング対策に関するパネルディスカッションで、主にSoftBank、NTTドコモ、楽天モバイル、KDDIの各社が、DMARCやBIMIといった認証技術の導入と、迷惑メールの現状および課題について発表しました。各社は、フィッシング被害の増加やSPFの悪用といった最新の脅威への対策として、判定精度の向上や送信者認証の厳格化(特にリジェクトポリシーの推奨)が不可欠であることを強調し、業界全体での協力とガイドライン整備の必要性を訴えています。特に、AIフィルターの活用検討や、共用メールサーバーにおける不正利用防止が今後の重要な焦点として挙げました。
A2-3-Lunch
Bcc必須の要望から見えた、金融業界の組織構造とメール統制の課題
現地のみのランチセッションでした。(アーカイブを残していません)
辻村 安徳氏
株式会社クオリティア 営業本部 部長
アジェンダ
金融業界の現場から寄せられた「Cc/Bccに必ず上司を入れる仕組みが欲しい」という要望。
一見すると単純なルール設定に思えますが、実際には複雑な組織構造・承認フロー・内部統制が
絡み合い、標準機能だけでは実現できませんでした。
結果として、弊社のメール誤送信防止サービスにおいて、新たな機能開発を行うことに。
本セッションでは、金融業界特有の要件から見えた課題と、その解決の道のりを共有します。
A2-4
【モバイルキャリアパネルセッション後半戦】SMSフィッシング(スミッシング)対策パネル
齋藤 森史氏
株式会社NTTドコモ
小頭 秀行氏
KDDI株式会社
松崎 達彦氏
ソフトバンク株式会社
本田 景輔氏
楽天モバイル株式会社
アジェンダ
フィッシング攻撃による被害は年々増加傾向であり、最近はショートメッセージ、SMSを利用する攻撃による被害が深刻になってきています。これはインターネットサービスのログイン認証の厳格化から多段階認証、多要素認証にショートメッセージが利用され、攻撃者にとって利用価値のある通信インフラになってきているというのが原因の一つと考えられます。携帯キャリアによる対策の最新情報を語ります。
発表メモ
モバイルキャリアパネルセッションで、主に日本の携帯通信事業者4社(NTTドコモ、KDDI、楽天モバイル、ソフトバンク)によるSMSフィッシング(スミッシング)対策に関する発表と質疑応答でした。各社は、迷惑SMSフィルタリングやマルウェア感染端末への対策、そして企業向けにSMS共通ショートコードやRCS(リッチコミュニケーションサービス)の利用促進による送信元信頼性の向上といった多角的な取り組みを紹介しています。特に、攻撃手法の巧妙化やトレンドの変化(特に宅配業者から金融・官公庁をかたるものへの変化)に対抗するため、キャリア間の情報共有や業界全体でのSMS配信ガイドライン策定の重要性が強調されています。また、若年層や高齢者層への啓発活動の事例も示され、技術的対策とユーザー教育の両面からスミッシングの脅威に対処している状況が分かります。
A2-5
フィッシングの現状と対策 2025
フィッシング対策活動とスミッシング観測(2025)
平塚 伸世氏
JPCERTコーディネーションセンター/フィッシング対策協議会
加治川 剛氏
日本サイバー犯罪対策センター(JC3)
アジェンダ
増加し続けるフィッシング被害、フィッシングの報告数も2025年9月時点で過去最高数を更新しています。特に2025年は証券会社をかたる新しい手口が急激に増え、2025年8月時点で売買あわせて約6,770億円もの不正取引が発生し、被害者の資産のみならず、相場操縦などが行われ社会に大きな影響を及ぼしました。誘導や不正利用の手口も次々と変化し、対策と回避のいたちごっこが続いているため、さまざまな組織が互いに協力しあい、対応していく必要があります。このセッションの前半ではフィッシングの最新動向と誘導の多くを占めているフィッシングメールの配信状況と対策について、後半はテイクダウン実行意識の促進活動など、JC3が取り組んでいるフィッシング対策活動とともに、スミッシングの観測から見える攻撃者の意図や工夫などを含めた動向をお伝えします。
発表メモ
JPCERTコーディネーションセンターとフィッシング対策協議会によるフィッシング対策の現状と、日本サイバー犯罪対策センター(JC3)によるスミッシング対策の活動と動向に関する発表でした。フィッシングや不正利用の増加傾向が示され、特にリアルタイムフィッシングやクレジットカードの不正利用といった新たな脅威について解説されています。対策としては、DMARC、BIMI、Passkeyの普及促進といった技術的対応のほか、関係機関が連携した情報共有や啓発活動の重要性が強調されています。また、JC3のパートでは、モバイルマルウェアの観測結果や、フィッシング被害情報が悪用されるアンダーグラウンドな取引フローなどが示され、攻撃者視点での対策や国際連携を通じたサイバー犯罪組織への対抗の必要性が語られました。
A2-6
BIMI導入の最前線 ― 成果、課題と最新動向
川村 雄氏
株式会社 四国銀行
本間 輝彰氏
一般社団法人日本スマートフォンセキュリティ協会(JSSEC) 副会長・理事/KDDI株式会社
アジェンダ
DMARC認証が成功したメールに対してロゴマークを表示する機能を持つBIMI(Brand Indicators for Message Identification)。
DMARC認証を活用したさらなるセキュリティ対策として、日本国内でも導入する企業が増加しています。
本セッションでは、BIMIに関する最新動向や導入による効果、対応を行う際のポイントなどについてお話しいたします。
発表メモ
メールのセキュリティプロトコルであるDMARCとBIMIの導入に焦点を当てたプレゼンテーションでした。特に、四国銀行によるDMARCポリシーを「リジェクト」に引き上げ、BIMIを導入した具体的な取り組みが紹介されており、その背景、スケジュール、直面した課題、そして導入後の効果が詳細に説明されています。また、日本スマートフォンセキュリティ協会(JSSEC)は、フィッシング詐欺の現状や人間の脆弱性といったセキュリティ上の根本的な課題を提起し、視覚的なブランド認証を提供するBIMIの技術的な優位性とその普及に向けた国内外の課題について論じられました。最後に、実際の導入に関する疑問やBIMIの仕様に関する曖昧さなどについての質疑応答が交わされました。
Track B
B2-1
【官公庁セッション前編】
- サイバー空間をめぐる脅威情勢と警察の取組 (フィッシング対策の推進) (警察庁)
2.電気通信サービスの不適正利用対策 (総務省)
根本 農史氏
警察庁 サイバー警察局サイバー企画課 サイバー事案防止対策室長
田中 星良氏
総務省 総合通信基盤局 電気通信事業部 利用環境課
発表メモ
一つ目のセッションはサイバー犯罪と詐欺被害の現状および、それに対処するための政府および警察の取り組みについて説明されました。フィッシングを入り口とするサイバー犯罪やランサムウェアの被害状況が増加していること、特に詐欺による財産被害額が急増していることを示し、これに対する警察の組織再編や技術的対策を紹介しています。二つ目のセッションでは、詐欺被害の拡大を受け、総務省が中心となり、電話、メール、SMSにおける不適正利用対策を強化している点を解説し、国際電話の利用停止促進やDMARC導入の働きかけなど、電気通信サービスに関連する具体的な対策に焦点を当てています。両方とも、犯罪の場がリアル空間からサイバー空間へ移行している現状を認識し、官民連携による対策の重要性を強調していました。
B2-2
【官公庁セッション後編】
- サイバー空間における脅威
- DMARC運用の現状 ― 受信側・送信側アンケート結果
陶山 一平氏
公安調査庁調査第二部第一課サイバー特別調査室室長
小川 博久氏
株式会社三菱総合研究所 安全保障政策本部 主席研究員
アジェンダ
-
サイバー空間における脅威
・最近のサイバー情勢
・サイバー攻撃等の類型
・国家等が関与・支援するサイバー攻撃
・公安調査庁の役割 -
DMARC運用の現状 ― 受信側・送信側アンケート結果
総務省事業の一環として実施した、DMARC勉強会や体験コース参加者を対象としたアンケート調査(有効回答数:約50件)の結果を報告します。本調査では、受信側におけるフィルタ運用方針やレポート対応、送信側におけるポリシ設定やrua活用、正規メール通過戦略などを重点的に把握しました。その結果、DMARCレポートの活用や送信対応は限定的であることが明らかとなり、今後の運用上の論点を提示します。(MRI)
発表メモ
サイバーセキュリティの現状とDMARCの運用に関する二部構成のセッションでした。前半では、公安調査庁が登壇し、中国、北朝鮮、ロシアといった国家が関与するサイバー攻撃の現状について、民間企業の関与やAIの悪用、ランサムウェアの問題などを例に挙げながら、日本の脆弱性と対策の難しさを解説しています。後半では、DMARC(Domain-based Message Authentication, Reporting, and Conformance)の導入状況と課題に関するアンケート結果が報告され、DMARCポリシーの強化やレポート活用、メールフィルタリングなどにおける送信側と受信側の取り組みの現状と、今後の浸透に向けた課題が示されました。
B2-4
土佐で龍馬とフィッシング動向語らナイト
にゃん⭐︎たく
KesagataMe
アジェンダ
今年もやります!フィッシュハンターパネル!
最新のフィッシング詐欺の動向やフィッシング詐欺について気をつけなければいけないこと等を最前線でリサーチを行うフィッシングハンターたちが語ります。
発表メモ
フィッシング詐欺の最新動向と対策について解説するセッションでした。登壇者はフィッシングハンターと呼ばれる二名で、最前線でのリサーチに基づき、フィッシングメールの報告数増加、リアルタイムフィッシングの一般化、および不正送金の現状について概説しています。また、証券会社を狙った不正取引の新しい手口、ボイスフィッシングによる法人のインターネットバンキング被害、そして偽基地局やキャプチャ導入など、攻撃側の技術的な変化についても詳しく解説されています。さらに、金融機関のターゲット変化や、不正アカウント作成を目的とした新しい詐欺の手口など、多岐にわたるサイバー脅威の現状と具体的な事例が議論されました。
B2-5
なぜあなたのメールは届かないのか?メール配信の課題と解決策
田澤 響氏
エンバーポイント株式会社
朴 濟賢氏
HENNGE株式会社
アジェンダ
メールサーバー運用者、マーケティング担当者向けに、なぜ宛先に届かないメールがあるのか原因と解決策を解説します。技術的な設定やメールの運用方法など、メールの到達率を改善するための実践的なノウハウをお伝えします。
発表メモ
メール配信の課題とその解決策に関する技術的なセッションでした。メールが受信トレイに届くのを妨げる「3つの壁」として、スパム判定フィルタリング、配送エラー、そしてユーザー設定によるフィルタリングについて詳細に解説しています。特に、メールの到達性(デリバラビリティ)を維持・向上させるためのレピュテーション(信頼性)の重要性、バウンスメールの解析、および新規IPアドレスの信頼性を高めるためのIPウォームアップといった具体的な運用上のヒントと技術的注意点が紹介されました。
Track C
C2-2
Open Round Table
(テーマ1)
スパムトラップへの送信はなぜ起きるのか? 〜問題の根本と顧客との向き合い方〜
中津 圭輔氏
HENNGE株式会社
アジェンダ
メール送信において、スパムトラップという問題は単なる技術的な課題ではありません。このORTでは、「スパムトラップはなぜ起きるのか?」という問いを掘り下げ、その根本原因と向き合います。
具体的な成功事例や失敗事例を共有しながら、技術的な側面だけでなく、顧客とのコミュニケーションのあり方、そしてメール送信を健全に進めるための新たなヒントを見つけていただくことを目指します。
発表メモ
スパムトラップへのメール送信がなぜ起こるのか、そしてその根本的な問題と顧客との向き合い方について議論するオープンラウンドテーブルでした。クラウド型メール配信サービスの開発責任者である中津啓介氏を中心に、メール送信事業者や受信者側の参加者を交え、スパムトラップの種類(リサイクルドトラップ、ピュアトラップ、タイポドメイン)と、それがメール配信に及ぼす深刻な影響を説明しています。議論は、ダブルオプトインの徹底や、アドレスクリーニングの重要性、規約改定など重要連絡事項のメール配信における課題、さらには手書きによるアドレス登録ミス(タイポドメイン)への対策など、送信者側が直面する具体的な問題と解決策に焦点を当てています。特に、顧客がダブルオプトインを徹底しない場合の代替策や、未然にトラップを防ぐためのAPI連携によるリアルタイムチェックサービスといった、新しい解決策についても言及されました。
C2-4
フレッシュトーク!
糟谷 琉生氏
中部テレコミュニケーション株式会社
鹿野 良太氏
KDDI株式会社
徳野 響氏
日本大学大学院
吉永 達哉氏
日本大学
小嶋 彬彦氏
株式会社TwoFive
アジェンダ
これからのインターネットセキュリティのためには若手の技術者らの活躍が不可欠です。JPAAWGでは若手技術者に様々な機会を提供し共に成長する機会にしたいと考えています。
今回の若手エンジニアによる “フレッシュトーク!” では、日々の活動や学びの中で知ったこと・見つけたこと・考えていることを、Lightning Talks 形式で発表します。
発表メモ
メールおよびセキュリティに関する五つの発表がされました。最初の発表は、メールシステム移行に伴うCRAM-MD5認証廃止の影響を最小限に抑えるための技術的な工夫について詳述しています。二番目の発表では、生成AIを活用して、手作業による課題を克服しながら迷惑SMS対策の効率と精度を向上させる取り組みについて説明されています。三番目の発表は、フィッシング対策に向けたメールサーバーの逆引きレコード(PTR設定)の普及率を大規模に調査した結果を紹介しています。四番目の発表は、トラステッド・エクセキューション・エンバイロメント(TEE)内のセキュリティ脆弱性を検出するために、LLM(大規模言語モデル)を用いたファジング解析を試みる研究に焦点を当てています。最後に、メールアドレスのRFC規格と、実際の主要メールサービスがアドレスの受信時に設けている許容範囲(特に非標準文字の使用)の調査結果が共有されました。
C2-5
メール送信時のトークンベース認証(XOAUTH2)とその可能性
今村 侑輔氏
株式会社インターネットイニシアティブ
加瀬 正樹氏
株式会社TwoFive
アジェンダ
これまではメール送受信では、POP3 / IMAP4/ SMTP-AUTH においてパスワード認証がスタンダードでした。Webアプリケーションでは多要素認証や OAuth の実装が進む中でメール送受信はなかなか進んでいません。メールにおけるパスワードレス認証の一つの方法として、XOAUTH2 などの技術を整理してみたいと思います。
発表メモ
メール送信時のトークンベース認証規格である OAuth 2.0(特にXOAuth2とOAuth Bearer)に焦点を当てた議論と技術検証の発表でした。メールサービスのセキュリティ向上のために、パスワード認証からトークンベース認証へ移行する必要性を提示し、Googleが2025年1月以降に基本認証を廃止することなどを背景に説明します。特に、メールサービス提供者側として、PostfixやDovecotなどのオープンソースソフトウェアを用いて XOAuth2/OAuth Bearer の実装を試みた具体的な技術的トライアルが紹介されており、KeycloakをIDプロバイダとして利用した設定手順が詳述されました。また、この認証移行を取り巻く課題として、利便性と安全性のバランスや、利用者、メールクライアント開発者、メールサーバー運用者の三者間の協力不足などが議論されました。
C2-6
ISP BoF
アジェンダ
2025/9/1 総務省より「フィッシングメール対策の強化に関する要請」が発出されました。この要請にどのように対応・対策していくのか、各団体に所属する電気通信事業者の BoF を企画します。
発表メモ
総務省からのフィッシングメール対策強化の要請に関する非公式な意見交換会でした。参加者たちは、特に要請に含まれる生成AIの活用について集中的に議論しており、その現実的な実装、費用(コスト)、そして学習に必要なメールデータ(ホワイトデータ)の収集における課題に焦点を当てています。また、メールサービス提供者側が、フィッシングメールの検知精度を向上させるために利用者の同意を得てデータを活用することの難しさや、正規のメール送信元ドメインリストを共有する仕組みの必要性についても話し合われています。具体的な解決策を探るというよりは、関係者が直面している技術的および法的な困難を共有する場となりました。
Track D
(すみません、予備的な会場だったためアーカイブを残していません)
D2-2
Open Round Table
(テーマ2)
メールエンジニアの後継者、足りてますか?
芹澤 駿人氏
株式会社インターネットイニシアティブ
縄田 友里氏
オープンウェーブ・メッセージング株式会社
アジェンダ
メール業界って、気づけばベテランばかり?
若手が入ってこない?
長年この業界を支えてきた先輩方から、何をどう次の世代に渡していくか。そして、次の世代をどう育て、どう迎え入れるか。世代を超えた知の継承と、次世代の人材の採用・育成への工夫を共有しながら、”人材”という観点から未来のメール業界を考えましょう。
D2-6
RBLとの付き合い方
末政 延浩氏
株式会社TwoFive
アジェンダ
現在の電子メールネットワークトポロジでのRBLの関わり方、なぜリストされてしまうのか、リストされたらどうすればいいかについて情報共有しましょう
Closing
第8回JPAAWG General Meetingおよび第25回迷惑メール対策カンファレンスの閉会スピーチです。まず、参加者への感謝が述べられ、オンラインと現地を合わせた参加登録者数が562名に上ったことが報告されました。また、会議の運営に携わったプログラム委員や配信スタッフ、発表者への謝意が示され、国際的な参加者を増やすため、翻訳システム導入や海外団体との連携を進めていることに言及しています。さらに、スポンサー各社への感謝が伝えられるとともに、来年11月に第9回会議を東京以外で開催する意向と、オンライン配信の継続について展望を語り、アンケートへの協力とJPAAWGメンバーの募集を呼びかけ閉会しました。
メッセージングセキュリティのいま
Track A(一部のオンラインセッション、スポンサーセッション、ランチセッション)を除き、現地のみのセッション(Track B, C, D)が最大4セッションで同時に進行しました。
どれを聴講するか、かなり迷った時間帯もあったと思います。
また、会場が建屋内で縦に離れていたこともあり、エレベーターでの移動が少し不便だったかもしれません。
(Track A: 2F, Track B: 11F, Track C / D: 9F)
ランチやセッション間の休憩時間で登壇者と直接会話したり、ひさびさに会った人と情報交換や雑談する時間も貴重で、楽しんでいただけていたら幸いです。
次回(来年)も開催できたらいいな、と考えています!