Enterprise Watch
最新ニュース

「失墜したメールシステムの信頼性を取り戻す」送信者認証技術


 センドメール株式会社は7月23日、Eメールシステムの生みの親である米Sendmail CEOエリック・オールマン氏を迎え、ベンダーの利害を超えたスパム対策の標準化技術である「送信者認証技術」に関するセミナーを開催した。


米Sendmail CEO エリック・オールマン氏
 「スパムとフィッシングにより、Eメールシステムの信頼性は失墜した」と語るエリック・オールマン氏。彼はまだインターネットがクローズドなネットワーク「ARPAnet」だった1979年に、sendmailの元となったメールサーバーをバークレイ版UNIXの一部として公開した、Eメールの父といえる人物だ。

 いまは米Sendmail CEOを務めているオールマン氏が、メールシステムの信頼性を取り戻すために、米Yahoo!、米Microsoft、米AOLといった大手各社とともに取り組んでいるのがメール送信者認証技術だ。

 現在アメリカでスパム以上に問題化しているのがフィッシング詐欺だ。これは巧妙な文章の記されたHTMLメールにURLを掲載、社会的信用度の高い大手企業を詐称したWebサイトに誘導して、個人情報を入力させて盗み出すもの。Citibankといった金融サービスや、eBay、PayPalなどの流通小売、Yahoo!、AOLといったISPなどが詐称の標的となっており、米Gartnerなどの調査によれば、詐称詐欺被害は70~100万人に達したとされる。

 現在主流のスパム対策技術であるコンテンツフィルタリングでは、必要なメールをスパムとして処理するFalsePositive、この逆にスパムメールを必要なメールとして処理するFalseNegativeが、どれほど小さな割合ではあっても発生してしまうことは免れない。またスパム送信者は、スパムメールの内容を一通ごとに変更する「Snowflaking」や、無関係の単語をメール内に挿入する「Noise Word」、またHTMLのコーディングを細工する「HTMLトリック」といった手法でフィルタの回避を試みるため、結局のところ“いたちごっこ”になってしまう。


オールマン氏のメールアドレス宛に届く1カ月のメール数。昨年後半から今年にかけて急増している コンテンツフィルタリングでは、FalsePositive、FalseNegativeが発生するため100%のスパム対策は不可能だ

 SMTPはARPAnetの頃に生まれたプロトコルで、「当時はその必要がなかった」ため、それ自体は認証機能を備えていない。このため他人になりすましてメールを送信でき、スパムやフィッシングといった行為ができるてしまう。送信者認証の技術を導入することで、これをある程度まで防げるようになる。オールマン氏は、「送信者認証そのものがスパム対策になるわけではないが、責任義務を高める。また次に必要になるスパム対策技術へのステップの一環として、取り組んでいる」と語った。

 送信者認証技術では、メール送信者が過去に送ったメールの種類や、過去の振る舞い、また第三者による信用保証などに基づいた情報を、複数サイトからエージェントが収集することによる認証が目指されている。現在のところ、米AOLが採用予定の「SPF(Sender Policy Framework)」、米Microsoftが提案する「Caller ID for E-Mail」を統合する予定の「Sender ID」と、米Yahoo!提案の「DomainKeys」といった技術がある。

 SPFとCaller ID for E-Mailでは、送信メールサーバーのIPアドレスをDNSサーバーに登録し、受信時にこれを確認して認証を行う。一方のDomainKeysは、送信者が電子署名をメールに添付し、受信の際にDNSサーバーから送信者の公開鍵を取得して認証する。オールマン氏は、「身分証明証にパスポートと運転免許証が使われるように、送信者認証技術が複数あっても問題ない」とした。

 その仕組みゆえ、導入されれば双方ともにDNSサーバーの負荷を高めることが避けられない。オールマン氏は「DNSを利用するのがもっとも一般的で容易だ」とし、「DNSサーバーの処理増大に伴うスケールアップは現在までうまく行われ続けている。25~30%程度の負荷は十分吸収できる」との考えを述べた。また「ISPにはスパム専門の対応部署を設けざるを得ない状況になっているが、送信者認証によりこの人員を減らせるはずで、そのコストをネットワーク増強に回せる。結局のところ、長期的視点から見れば安上がりになる」とした。

 またオールマン氏は、「ベンダー各社は、送信者認証を広く一般に広めてメールシステムの信頼性を長期間確保していくために、短期的な利益を犠牲にしてでも、この技術を無料で提供すべきだ」とした。これについて同氏は「米Yahoo!、米AOLといった大手各社とも緊密に協力体制を築いており、かつてないほどエキサイティングな状況になっている。米Verisignも協力的だ」と語り。「接しているエンジニアと話す限りでは、米Microsoftも今回は正しいことをしようとしているように思える」と語った。

 現在SPFレコードを公開している送信ドメインは増加しており、米SendmailでもDomainKeysやCaller IDの実装テストを進めているという。オールマン氏は「eBayやPayPalといったフィッシング詐称の標的になっている大手企業では、早急に何らかの対応策を求めている」とした。「ただITF(Internet Task Force)は保守的な組織で、標準化に時間はかかるだろう。しかしワーキンググループのスピードは速い。9月までにはSPFとCaller IDを統合したSender IDの最初のバージョンが策定される。ITF承認前に実装の動きが始まる」との見方を示した。



URL
  センドメール株式会社
  http://www.sendmail.com/jp/
  Sendmail送信者認証技術セミナー
  http://www.sendmail.com/jp/news/event.shtml


( 岩崎 宰守 )
2004/07/26 15:45

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.