フィッシング詐欺の9割が「なりすまし」
―メールの自動認証を開発する御社ですが、「なりすまし」は大きな社会問題になっているのでしょうか?
フィッシング詐欺やスパムなど、メールを利用する法人はかつてないほどの脅威にさらされています。というのは、サイバー空間が拡大するにつれ、攻撃手法も多様化し、個人情報や企業の機密情報などが悪用されたり、盗まれたりするリスクや、金銭的損失を被る可能性も増しているのです。
電子メールは、インターネットが普及する前に世の中に浸透したこともあり、なりすましが容易かつ送信者の認証もさほど進んでいないのが現状です。特に、フィッシング詐欺においては、攻撃者の89%の手口が「なりすまし」から始まっていることを考えても、「誰がそのメールを送っているのか」を確認することは、喫緊の課題と言っていいでしょう。
Valimailは、大企業から中小企業、政府機関などをこうした脅威から守る「電子メールの自動認証プラットフォーム」を運営しています。
まず、ご理解いただきたいのは、当社はいわゆる「メール・セキュリティ」を運営する企業ではないということです。これらの企業は、「メールの内容」をAIや機械学習を活用して精査し、悪質なメールかどうかを検証します。対して、Valimailは、「そもそも送信者は、送信者として“認証”されているのか」を自動的に確認するのです。このことで、メール送信者がセキュリティ対策に掛ける時間的・金銭的コストを大幅に削減しています。
顧客数は3万社以上で、政府機関をはじめ、金融、製造、IT、メディアなどさまざまな業界に使われています。UberやYelpの他に、米フォーブス誌が選ぶ「フォーチュン50」にランクインするような企業も当社の顧客です。現在、Valimailは毎月数十億通もの電子メールの認証を行なっています。
―競合他社とは、どのように差別化を図っているのでしょうか。
当社はDMARC(Domain-based Message Authentication, Reporting and Conformance、通称ディーマーク)というなりすましメール対策に有効なオープンスタンダードの送信ドメイン認証技術を活用しており、このスタンダード上でのマーケットリーダー的立ち位置にいます。他社との違いは、私たちがこの技術の運用に100%フォーカスしていて、関連特許も15件取得している点です。また、顧客企業によるDMARC認証の導入を容易に行える点も非常に大きな強みとなっています。
DMARC認証を導入すると、送信者側の企業は、自社ドメインを悪用したなりすましが発覚した際、受信サーバー側が偽メールをどのように取り扱うかについて「拒否 (Reject) 」「隔離 (Quarantine) 」「監視のみ (None) 」という選択肢の中から送信者側としてのポリシーを事前に設定できる仕組みとなっています。特に「拒否」か「隔離」を設定することで、自社になりすました詐欺メールが取引先企業や顧客の受信箱に届く前に、積極的に抑止することができます。DMARCが優れているのは、「機械的に送信者情報を認証できる」こととのほかに、「蓄積されたデータを分析し、より強固なセキュリティ体制を構築できる」点にあります。
2015年に設立した当社は、累計約8400万米ドルの資金調達に成功しています。売り上げの約70%を米国内の企業が占め、残り30%はオーストラリアや欧州などの企業の顧客です。ちなみに、これまで当社が日本に進出していないのは、DMARC導入に対する政府の後押しを待っていたからです。(※経済産業省、警察庁および総務省は2023年2月、クレジットカード番号などの不正利用の原因となるフィッシング被害が増加していることを受け、クレジットカード会社などに対し、DMARC導入をはじめとするフィッシング対策の強化を要請した)
金融機関を「数日間」で事業停止から救う
―Valimailを活用した顧客のケーススタディを教えてください。
もちろんです。なりすまし攻撃に悩んでいた米国北東部に位置する総資産60億ドル規模の地方銀行と、オーストラリアの現与党であるオーストラリア労働党での導入事例をお伝えしましょう。
メールの自動認証を行なっていなかった某地方銀行は、何百万通もの偽メールを自行のドメインから送信されました。対策として、そのドメインを封鎖したのですが、正当なメールも送信できなくなってしまい、事業の一時停止に追い込まれます。
そこでValimailのサービスを導入したところ、わずか数日間で、なりすましメールの送信を全てブロックできたのです。この銀行はそれからも当社のサービスを継続利用し、今では同行のドメインを悪用したなりすましメールの送信の試み自体が88%以上減少しました。
オーストラリア最古の政党であるオーストラリア労働党は、国内全土に党員を抱えており、毎月100万通ものメールを送信していました。以前は複数のサードパーティーのセキュリティサービスを利用していたのですが、特に選挙期間中のフィッシング詐欺がなくならないと業を煮やしていました。
特に、キャンベラとニューサウスウェールズ州の労働党員はフィッシング詐欺に遭っていたこともあり、米国で当社と会談をしました。「使い勝手の良さ」と「防御のシンプルさ」に魅力を感じた彼らはValimailの導入を決め、現在では党全体のモデルとなっています。このように当社のサービスは民間企業だけでなく、政党からも信頼を得ています。
image: Valimail HP
―2015年に創業し、約8年が経過しています。あらためて、創業の経緯を教えてください。
1998年に入社したValiCertという会社で営業を担当し、2000年にIPOを経験したことがきっかけです。同社は、電子メールを含む、インターネット上のコミュニケーションにおける、本人確認の検証をする企業でした。
当時から私たちは、将来的に多くの人の個人情報がデジタル化されるという予想を立てており、実際それは当たりました。しかし、当時受け入れられたのは、本人確認を「検証する」というプロセスまでであり、「自動で認証する」というところまでは到達していませんでした。
ただ、私は当時からメールアドレスの自動認証は、これから必ず人々に求められると確信していましたので、Valimailを創業した次第です。「Valid email(正当な電子メール)」を略して名付けたのが社名の由来です。
「性善説」の日本人に自動認証技術は不可欠
―次に、多くの読者が気になっているであろう話題に移りたいと思います。日本市場をどのように見ていますか?また、日本市場に参入する考えはありますか?
最初に申し上げたいのは、私はプライベートでも、ビジネスでも、日本と非常に密接なつながりを築いているということです。私の妻は日本人ですし、私自身、1990年代から東芝や三井物産と合弁事業を展開してきた経験があります。
Valimailが展開する事業の領域に関して申し上げると、日本市場は非常に有望だと考えています。というのは、官民問わず日本人はメールを多用することから、特定の国からのフィッシング詐欺の標的になっているのです。
また、日本人の文化的側面も、その傾向に拍車をかけています。日本社会は、性善説で動いていて、基本的に他人をすごく信頼するでしょう。攻撃者はその性質を理解して、攻撃を仕掛けているのです。
こうした理由から、当社は、日本市場は当社にとって最も重要な市場の1つだと考えているのです。具体的には、製造業や金融業、ハイテク業界など、ビジネスパートナーや顧客と多くのやり取りを行う業界をターゲットとしています。
進出時期は、2023年末になる可能性が高いと考えています。それまでには日本企業とパートナーシップについて協議できる場を持てれば最適ですね。
―日本の大企業とのパートナーシップを考えた場合、どのような形態が理想だとお考えでしょうか。
当社にとって最も重要なのは、日本国内で、全国的な販売代理店を持つことだと考えています。具体的には、システムインテグレーター(SIer)や代理店との契約を望んでいます。Valimailのテクノロジーは十分に構築されていますし、アマゾン・ウェブ・サービス (AWS) やMicrosoftのAzureを活用して、日本でもクラウドサービスを立ち上げることは可能です。必要であれば数時間でセットアップできるでしょう。翻訳の手間をかける必要もありません。
必要なのは、潜在顧客へのアプローチと、サービスを継続的に使っていただくための理解を深めることです。私たちが日本市場に参入する時は、文化的な特性や独自のペインポイントを理解した上で、サービスを展開したいと考えています。ですから、市場を知り尽くしたSIerや代理店とパートナーを組みたいですね。
メール認証の「Visa」目指す 将来的にはIoT技術への導入も
―最後に向こう1年間の目標と、長期的なビジョンについて教えてください。
2023年は、当社にとって節目の年でした。その理由の1つは、顧客数が3万を突破したことです。また、サービスの自動化・低コスト化に成功したことで、中小企業も顧客リストに入れることができました。
今後は、次の3万の顧客を獲得するために、海外展開を本格化させます。当社はすでにオーストラリアと西欧で強い存在感を示しています。事実、西欧の顧客は全体の30%を占めています。2023年後半は、欧州市場の深耕と、日本市場への進出を目標にしています。
長期的な目標は、Valimailがこの業界の中で「Visa」や「JCB」のような、スタンダードとなる企業になることです。世界には現在、1億4000万のメール送信ドメインがあると言われていますが、そのうちDMARCを利用しているのは、わずか500万。さらに、その中でも自動で認証を可能にするドメインは少なく、60%は自力でDMARCを設定している、と言われています。1億4000万までの道のりは長いですが、私たちはメール自動認証における世界的企業になっていきたいと願っています。
さらに、今後はIoT機器の自動認証にも参入したいと考えています。「モノのインターネット化」がさらに加速する未来では、車両やペースメーカーをはじめ、原子力発電所などにも、自動認証の仕組みを構築しなければならなくなるでしょう。壊滅的な被害を防ぐためにも、当社が果たすべき役割は大きいと自負しています。