日経NETWORK 2004.9 『話題の技術のここが知りたい 迷惑メール対策の大本命 送信者認証のしくみ』 by BOSE
電子メールの業界の重鎮、エリック・オールマン氏が7月に来日したそうです。と、言われてもオールマン氏など当然私は知りませんが、Sendmailの開発者で、現在は米センドメールのCTOというお方らしいので、そうとうの大物なんでしょう。そのオールマン氏いわく
「迷惑メール問題はもはや放置できない。今や電子メールへの信頼性を根本から揺るがしている」
と日本のISPに訴えたそうです。
現在IETFではメールの受信時に送信者の身元を確認するプロトコル(=送信者認証)の標準化が急速に進められているそうです。オールマン氏はこの技術が電子メールの信頼回復の切り札になると見ているとか。
迷惑メール、たしかに増えてきてるように感じます。
僕にはそんなに大量に届くわけではないので、単純に削除すれば実利用では問題ないですが、心当たりのないメールが届くということ自体なんだか気持ち悪いですよね。電子メール界の重鎮が電子メールの信頼回復を目指しているというんですから大歓迎です。ぜひがんばってください。
現状はメールの受信側でのフィルタ、送信元アドレスの逆引きによるアドレス詐称の確認、などなどの方法があるそうです。使っていくほど精度が上がる、学習型のフィルタがあるというのも初めて知りました。
しかし最近は新手の詐欺メールが米国では問題になっているそうです。企業からの案内メールを装って、本物そっくりのにせものWEBサイトにユーザを誘導し、クレジット番号等をだまし取る詐欺行為があるらしく、「フィッシング」と呼ばれています。
こういうのは困りますね。「こういう手口がある」と事前に知っていないと、けっこうな確率でだまされてしまう気がします。ユーザーはメールの本文の内容だけで、そのメールを信じるか信じないかを判断するしかありません。全く疑問に思わない人も多いのではないでしょうか。
そもそも差出人やメールアドレスはメーラーの設定でいくらでも詐称できます。そういった「送信者詐称」を防ぐことが、迷惑メールを防止することにつながるというのがこの記事の考え方です。
そういえば過去に、差出人も送信元アドレスも完全に他人になりすまして、いたずらメールを送ってきた友人がいました。いたずらにしてはちょっと悪質ですね。メーラーで設定するだけなので単純に送信者詐称できてしまいます。全く見覚えのない人からのメールならいかにも怪しいですが、メールアドレスと差出人の表示がいつもメールをやり取りしている人であれば、受信者はほぼ間違いなく疑わないでしょう。まねしないでくださいね。
送信者詐称を防ぐ手法としては以下の2つ方法の標準化が進められているそうです。
1.送信元のIPアドレスと差出人のドメイン名との関係を確認する手法
2.送信元メールサーバが送信するメールすべてにデジタル署名をつける方式
1.はDNSを利用し、事前に登録された情報以外のメール送信を禁止し、ドメイン名の詐称を防ぐ方法です。送信側はDNSサーバにあらかじめ自分のドメイン名を使う送信用メールサーバのIPアドレスリストを格納しておきます。受信する側はメール受信時に、そのメールのドメインを管理するDNSサーバから、許可されたIPアドレスのリストを要求し、受信したメールの送信元IPアドレスがこのリストに含まれているかどうかを調べます。
→文章で書くとなんだか分け分からないですね。。記事には図が載ってますので見てください。
2.はデジタル署名で送信者を認証する方法です。DNSサーバにドメインに対応する公開鍵を格納しておき、対応する秘密鍵で暗号化された署名を追加されたメールのみ転送を許可する方法です。
センドメールは上の両方の技術に対応することを表明しているそうです。
気になったのは上の2つの技術は、あくまでも送信者詐称を防ぐための技術だということです。
迷惑メール=送信者詐称されている
→ だから送信者詐称を防げば迷惑メールも防げる
という考え方なのですが、送信者詐称を防ぐだけで迷惑メールはどれくらいなくなるのでしょうか?直感的にはいろいろと抜け道がありそうだという気がしてます。フリーのWEBメールから送られる迷惑メールなんかは防げるのかな?ほんとに「電子メール信頼回復の切り札」になってくれるのを期待してます。別に電子メールを信頼してないわけではありませんが、信頼性向上は大歓迎です。
日本では携帯電話の迷惑メールが広く問題とされましたが、PCの迷惑メールはまだ大きな問題とはなってません。携帯電話と違ってリアルタイムに迷惑をこうむらない分、ストレスを感じにくいからかもしれません。しかし詐欺の道具にされちゃたまりません。
結局は便利な道具であるインターネットは、そういった危機管理も自己責任が基本だと思います。最終的にはユーザーが注意を払って、自分の身は自分で守るのが一番効果的な防止策でしょう。しかし今回の送信者認証のような、ISP側でできる対応は今後もどんどんすすめていただきたいなと思います。
※ぼくにとっては、迷惑メールの問題はとっても深刻です。Webサイトやメールマガジンを発行していてメールアドレスを公開しているので、毎日100通以上の迷惑メールやウィルスメールを受け取っています。もう、なんとかしてくれ~って感じですね・・・(Gene)