BIMI と検証済みマーク証明書、それらがブランドの信頼を高める方法、およびそれらを採用している企業について知っておく必要があるすべて。

A range of brands is taking advantage of the Brand Indicators for Message Identification standard, combined with trade mark validation through validated mark certificates. In this guest analysis,  ジェレミー・スペレス、Spoor&Fisherのパートナーは、提供内容について知っておく必要のあるすべての情報を提示し、数値を計算して、どの企業がすでにシステムを利用しているかを明らかにします。 

ゲスト分析 

電子メールベースのフィッシングやその他の詐欺が蔓延しているため、ブランド所有者は電子メール認証の追加レイヤーを利用して、ブランドの認知度とエンゲージメントを高め、電子メールに高い信頼感とセキュリティを与えることができます。メッセージ識別のためのブランド指標(BIMI) standard, combined with trade mark validation through validated mark certificates (VMCs). 

BIMIとは何ですか? 

BIMIは、認証されたドメイン名を使用して送信される電子メールにブランドのロゴを添付する新しい標準です。ロゴは、受信者の電子メールクライアントでブランドからの電子メールと一緒にアバターとして表示されます。 CNNについては、以下の例を参照してください。

BIMI, Everything you need to know about BIMI and validated mark certificates

ソース

ブランドにとってのメリットは明らかです。 

  • 受信者は、電子メールの送信元を信頼する可能性が高くなります。 
  • ブランドの印象、メールの開封率、エンゲージメントが向上します。と 
  • メールが目立ちます。

これまで、メールボックス プロバイダーは、メールボックスでロゴを表現するための独自の方法を開発していました。このパッチワーク アプローチには、各プロバイダーが独自のロゴのリポジトリを維持しなければならないという欠点がありました。さらに、ブランド所有者はすべてのメールボックス プロバイダーと連絡を取り、各プロバイダーの仕様を満たす必要がありました。これを克服するために BIMI が導入されました。 

興味深いことに、BIMIは、BIMI標準で要求されている適切な電子メール認証を実装するようにブランドにインセンティブを与えるためにも導入されました。以下で説明するように、そうするブランドはロゴの表示で報われます。 

BIMI標準は、Google、Verizon Media(Yahoo、AOL、Netscapeを含む)、Fastmailなど、電子メール市場のいくつかの大手企業によって、オープンでベンダーに中立な標準として作成されました。 NSAuthIndicatorsワーキンググループ開発とサポートのために結成されましたインターネット技術特別調査委員会(IETF)標準。メールボックスプロバイダー間のBIMIのサポートは拡大しており、追跡することができます。AuthIndicatorsのサイト。グーグルの発表2021年7月、GmailがBIMIをサポートすることは、他のプロバイダーにも確実に拍車をかけます。特に不在現在 BIMI をサポートしているプロバイダーは、Microsoft Outlook と Office 365 です。 

BIMIを実装する方法 

グーグルは包括的なを公開しましたガイドBIMIの実装について。 BIMIを利用するには、送信者は、問題のドメインに対して特定の電子メール認証プロトコルを設定する必要があります。特に、次のようになります。 

  • ドメインに電子メールを送信することを許可されたIPアドレスを指定する送信者ポリシーフレームワーク(SPF)。 
  • ドメインキーIDメール(DKIM)。電子メールが本物であり、転送中に変更されていないことを確認するために使用されるデジタル署名を追加します。と 
  • ドメインベースのメッセージ認証、レポート、および適合性(DMARC)。SPFおよびDKIMの上に構築されており、基本的に、SPFおよび/またはDKIM認証が失敗した場合に受信メールサーバーに何をするかを指示します。 

BIMIの場合、認証に失敗した電子メールを少なくとも隔離または拒否するようにDMARCポリシーを構成することが重要です。 

これらが実装されたら、ブランドはSVGグラフィックファイル形式でロゴを作成し、それをWebサーバーにアップロードする必要があります。次に、ブランドはでBIMIレコードを作成する必要がありますドメインネームシステム(DNS)ゾーンそのドメインの形式でTXTレコード。そのDNSレコードは、基本的にWebサーバー上のブランドのロゴの場所を指します。これは、電子メールクライアントがそれを検証して取得する方法です。 

VMCはどこに適合しますか? 

BIMI レコードには 2 つのクラスがあります。最も単純なのは「自己主張」です。ロゴは公開され、ドメインの登録者がロゴに対する権利を持っているという独立した第三者の検証なしでドメインに関連付けられます。一部の電子メール プロバイダーは、セルフアサートされた BIMI レコードを受け入れ、対応するロゴを表示します。ただし、特に Gmail のように、ロゴが特定のドメインに関連付けられていることを確認する必要がなく、必要としないものもあります。

これに対処するには、マーク検証機関 (MVA) が次のことを確認するようにします。 

  • ロゴの正当性; 
  • 申請者がそれに対する権利を持っていること。と 
  • 問題のドメイン名に関連付けられていること。 

MVAはVMCを発行します。これは、セキュアソケットレイヤー(SSL)/トランスポートレイヤーセキュリティ(TLS)証明書通常、ブラウザとWebサイト間の通信を暗号化するために使用されます。 VMC検証プロセスには以下が含まれます厳しい identity and trade mark verification to decrease the likelihood of VMCs being used to spoof a brand. Notarised personal identification documents and a live meeting with the MVA are required, and the MVA must verify the trade mark registration by consulting the official database of the trade mark registry. 

検証プロセスは、の検証プロセスと非常によく似ています。拡張検証証明書–最も厳しいID検証要件を備えた最高レベルのSSL / TLS証明書。 VMCは、SSL / TLS証明書と同様に、発行チェーンを検証することによってMVAを安全に認証および識別し、VMCを指定されたドメインに関連付けるための暗号化手段を提供します。 

MVAは誰ですか? 

現在、VMCが広く受け入れられている2つのMVAがあります。DigiCert委託する。 AuthIndicatorsはMVAを認定しません。 MVAによって生成されたVMCを受け入れるかどうかの決定は、各メールボックスプロバイダーの裁量に任されています。 MVAになる予定の情報を見つけることができますここ

VMCの要件は、AuthIndicatorsに記載されています。VMCガイドライン. In order to qualify for a VMC, the applicant must own a trade mark registration. Registrations are currently accepted in only eight national/regional trade mark registries: Australia, Canada, the EUIPO, Germany, Japan, Spain, the United Kingdom and the United States. 

各VMCは単一のロゴのみをカバーできますが、複数のドメインとサブドメインをカバーできます。複数のロゴにVMCが必要な場合は、同等の数のVMCが必要になります。 DigiCertは便利なものを公開していますガイド組織が必要とする可能性のあるVMCの適切な数を決定する際。 

VMC は、デザイン マーク (単語または文字のないグラフィック デザイン)、単語マーク、または複合マーク (単語とデザイン要素の両方) を対象とすることができます。重要なことに、VMC ガイドラインでは、VMC に含めるために MVA に提出されるロゴと登録商標が完全に一致する必要があるようです。これには、登録商標に適用される色の制限が含まれます。

お任せしますが、が表示されます to accept “substantially identical” matches exhibiting minor variations such as “size/aspect ratio, background color, etc” if an additional confirmatory letter is provided. According to Appendix E of the VMC Guidelines, guidelines are being developed for MVAs on the comparison of registered trade marks with mark representations for VMCs. 

VMC 現在、1 年間のみ発行されています。デジサートの費用1つのロゴを1年間カバーする単一のVMCの場合は$1,499です。 Entrustの価格設定は、執筆時点では公開されていませんでした。 

MVA 一般にアクセス可能な事前証明書を発行する必要があります証明書の透明性(CT) logs before issuing VMCs, as with SSL/TLS certificates. Pre-certificates contain all a VMC’s information, including a representation of the logo and trade mark registration information, and can be inspected by anyone, which helps to detect mis-issued certificates. The open, public nature of CT logs is to be contrasted with the closed database employed by the トレードマーククリアリングハウス (TMCH), which verifies trade marks for use with various rights protection mechanisms in the DNS. The secrecy of the TMCH database was recently 叱責IP学者による。 

SSL / TLS証明書のCTログは、侵害しているドメイン名とサブドメインを検出するために、ドメイン名監視サービスによってすでに使用されています。これらの監視サービスを拡張して、VMC CTログに公開されている新しいVMC事前証明書を監視し、おそらく画像認識技術を使用して、ロゴを侵害していないかどうかを検討する必要があります。ドメインとサブドメインもVMC事前証明書に含まれているため、侵害しているドメインとサブドメインを監視するための新しいデータソースを形成することもできます。 

CTログはブランドの取り込みについて何を教えてくれますか? 

これらのVMCCTログを分析すると、VMCの取り込みに関する興味深い情報が得られます。 2021年8月24日の時点で、AuthIndicatorsは、現在のVMCガイドラインの付録Fで1つの公開CTログを承認しました。https://gorgon.ct.digicert.com/log(ゴルゴン)。そのURLは、ブラウザでアクセスすると404 NotFound応答を返します。 Gorgonは、他のCTログと同様に、に設定されているパスとパラメータを使用してクエリを実行する必要があります。CT標準

Gorgonは、SSL / TLS証明書のログとは別に維持されているようであり、VMC事前証明書のみが含まれているようです。特定のCTログに発行されたすべての証明書を抽出して解析する簡単な方法はありません。したがって、いくつかのコーディングが必要でした。私の友人やソフトウェア開発者と一緒に働くリッカートマルダー、使用しましたアクスマンユーティリティと、CT標準に依存するカスタムPythonスクリプトを使用して、Gorgonに公開されたすべてのVMC事前証明書を取得および解析します。 

Gorgon データの分析により、2021 年 8 月 24 日の時点で 329 の VMC 事前証明書が公開されていることが明らかになり、同等の数の VMC が発行されたことを示唆しています。

However, further analysis reveals there to be duplicates, or near duplicates, due to certificates having expired, been revoked or been issued with small differences (eg, separate pre-certificates were issued for the same organisation and trade mark but for different domains or subdomains). Thus, the true number of unique, issued VMCs, as observed in Gorgon at the time of writing, is something less than 329. 

With a view to getting a more accurate indication of actual VMCs issued for unique trade marks, I have removed duplicate entries from the Gorgon list based on trade mark registration number and registry. This reveals 125 unique trade marks as of 24 August 2021, suggesting that 125 VMCs have been issued to date, excluding re-issued VMCs due to expiry, revocation and other things.

It seems that almost all organisations applied for VMCs for a single trade mark, and the total number of unique organisations appears to be 122; three organisations applied for VMCs for two different marks each. 

ゴルゴンで観察されたように、申請組織の地理的分割に関して、パーセンテージで上位の国は次のとおりです。 

  • アメリカ合衆国(59%); 
  • 英国(13%); 
  • ドイツ(4%); 
  • オーストラリア(4%); 
  • オランダ(2%); 
  • スウェーデン(2%); 
  • カナダ(2%); 
  • 日本(1.5%); 
  • デンマーク(1.5%);と 
  • チェコ共和国(1.5%)。 

My de-duplicated list for Gorgon, showing the unique trade marks and unique organisations, including trade mark registry information, can be downloaded ここ。そのリンクから引き続きアクセスできる最新のデータでリストを随時更新します。 AuthIndicatorsが承認されたCTログ(現在はGorgonのみ)を変更すると、リストはそのリンクで更新され、承認されたすべてのCTログが含まれます。 

Gorgonのエントリとは別に、徹底するために、DigiCertおよびEntrustの各MVA固有の認証局がGorgonだけでなく、任意の公開CTログに公開したVMC事前証明書も分析しました。crt.shCT検索ツール。 2021年8月24日現在の合計は364であり、DigiCertとEntrustの間でほぼ均等に分割されています。 

上記のように、Gorgon(329)のVMC事前証明書の総数との不一致は、以前の反復VMC ガイドラインには複数の承認済み CT ログがありましたが、現在は 1 つ (Gorgon) しかなく、一部の VMC 事前証明書は以前は Gorgon に公開されていませんでしたが、他の人には公開されました。テスト証明書と重複またはほぼ重複が存在することを考えると、この記事の執筆時点では、一意に発行された VMC の実際の数は 364 未満です。 

As with the Gorgon list discussed above, I have removed the duplicates as well as the obvious test certificates based on the trade mark registration number and registry. This reveals 129 unique trade marks as at 24 August 2021, suggesting that 129 VMCs have been issued to date, excluding re-issued VMCs due to expiry, revocation and other things. Given that not all VMC pre-certificates have been published to Gorgon, this second list, accounting for all VMC pre-certificates published by Digicert or Entrust to any CT log (as far as I can tell), gives one a better indication of the total number of VMCs issued to date. 

合計で127のユニークな組織が観察されました。申請組織の地理的分割に関して、上位の国は次のとおりです。 

  • アメリカ合衆国(59%); 
  • 英国(13%); 
  • ドイツ(4%); 
  • オーストラリア(4%);と 
  • カナダ(3%)。 

My de-duplicated list, with obvious test certificates removed, showing the unique trade marks and unique organisations, including trade mark registry information, can be downloaded ここ。繰り返しになりますが、そのリンクから引き続きアクセスできる最新のデータでリストを随時更新します。 

興味深いことに、公開CTログによると、最初のVMCはEntrustによってJPMorgan Chaseに付与されたようであり、米国商標登録に基づいて、2019年8月19日に事前証明書がCTログに公開されました。2015389。 DigiCertは、CNNに発行された最初のVMCに続き、米国商標登録に基づいて2019年10月4日に公開された事前証明書を使用します。5817930

2021年8月23日の時点で、DigiCertによって発行された最新のVMC事前証明書は、有名な米国のメーカー向けでした。レザーマン米国商標登録に基づくマルチツールのブランド、Leatherman Tool Group5783288、2021年8月22日にCTログに公開され、同じ日に4つの異なる組織の他の4つと一緒に公開されました。 Entrustの場合、最新のものは2021年8月20日に公開され(その日にEntrustによって公開された唯一のもの)、英国を拠点とする自動車広告プラットフォーム用です。CarsVansandBikes、英国商標登録に基づくUK00003647211

VMCに適用されたCTログに表示されるその他のよく知られたブランドには、Groupon、Instagram、Netflix、Palantir、Paypal、Pinterest、Stripe、Trek Bicycle Corporation、Wixなどがあります。その他は、上記にリンクされている重複排除リストで確認できます。 

ブランドの採用は増えると予想されますか? 

私はCTログの専門家でもデータサイエンティストでもありません。私の意図は、VMCの取り込みについて大まかな見方をすることだけでした。上記のデータは、正確または包括的であるとは限りません。 CTログに基づくと、VMCの発行ペースは加速しており、DigicertとEntrustの両方が毎日複数の事前証明書を定期的に発行しているようです。 

ブランド間のBIMIとVMCの採用は低いように見えますが、メリットとGmailの最近の採用を考えると、大幅に増加すると予測されています。BIMIレーダー情報セキュリティ会社が作成した興味深いプラットフォームですレッドシフトそして、グローバルなBIMIの採用を追跡することを委託します。 BIMIレーダーによると、執筆時点では: 

  • 大規模なグローバル公開企業の22%には、BIMIを展開するために必要なDMARCポリシーがあります(BIMI対応)。 
  • 0.71%は、自己主張された(未確認の)BIMIロゴを公開しました。と 
  • 0.17% have implemented BIMI with a verified, trade mark protected logo using a VMC. 

米国では: 

  • 大規模な上場企業の約46%はBIMIに対応しています。 
  • 5%は、自己主張のBIMIロゴを公開しています。と 
  • 3%はVMCでBIMIを実装しました。 

ランダルピントRed Siftの共同創設者兼CTOである、は、に表されている100のブランドのBIMIの取り込みに基づいて、カスタムレポートを作成しました。2020フォーブスの最も価値のあるブランドリスト。 2021年8月23日に取得したデータに基づくレポートをダウンロードできます。ここ。レポートは、40のブランドがBIMI(BIMI対応)を展開するために必要なDMARCポリシーを設定しているのに対し、バンクオブアメリカ、イーベイ、JPモルガンチェース、UPSの4つのブランドのみが組織レベルでVMCを実装していることを示しています。 

AuthIndicatorsは便利な道具ドメインがBIMIに対応しているかどうか、およびVMCを含むBIMIがすでに実装されているかどうかを確認します。同じツールを使用してBIMIDNSレコードを生成できます。これは、BIMI実装プロセスを支援できます。 

Will the scope of trade mark and IP rights for VMCs be expanded? 

Clearly the limitation of VMCs to trade mark registrations in only eight trade mark registries is problematic – likewise, the absence of protection for unregistered marks and marks protected by statute or treaty (eg, geographical indications). The long-established TMCH is an example of how this could be expanded, although admittedly 全員ではないTMCHの動作に満足しています。 TMCHは長いです受け入れられました裁判所で検証された未登録のマークおよび法令または条約によって保護されているマーク。 

VMCの対象となるマーク表現と登録マークとの完全一致の要件は、登録以降にマークを変更したブランド所有者にとっても困難をもたらす可能性があります。 

AuthIndicatorsはどうやら in the process of expanding the list of supported trade mark registries for VMCs. It is also considering plans to cover unregistered marks and marks protected by statute or treaty, as well as “slightly altered” trade marks. In its ノートこれらの問題について、AuthIndicators は次のように述べています。

To achieve that goal, we’ll continue to expand features and support for BIMI so brands can exert control over how their logos are displayed (even when they aren’t registered trade marks). While companies with trade marks can apply for a VMC now, we also encourage those without registered trade marks to publish “self-asserted” BIMI records. We look forward to new evaluation processes that support a broader array of logo types.” 

Given the rigorous identity and trade mark verification process set out in the VMC Guidelines, the potential for misuse of VMCs and trade marks by unauthorised third parties is limited, although not impossible, especially given that it is left to the discretion of mailbox providers to decide whether to accept VMCs from any MVA. Section 4.9 of the VMC Guidelines provides for a VMC revocation process and requires MVAs to make an abuse reporting mechanism publicly available and to act on abuse reports within specified timelines. DigiCert’s reporting mechanism can be found こことEntrustのここ

年間$1,499のDigiCertコストに基づくと、VMCのコストはかなり高いため、多くのブランドにとって魅力的ではありません。ブランドと消費者への明らかなメリットと電子メールの一般的な安全性を考えると、SSL / TLS証明書で発生したように、より多くのMVAがVMCを提供し始めるにつれて、コストが時間とともに削減されることが期待されます。