 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
アドレス詐称を防ぐメール送信者認証技術 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
マイクロソフト株式会社は9月10日、フィッシング行為に対する送信者認証技術に関する情報を提供する一般向けの「迷惑メール対策技術セミナー」を開催した。
こうした状況に対して米Microsoftでは、Outlook/Hotmail/Exchange Serverなどに実装する「スパムフィルタリング」、ゲートウェイでのスパム対策として、すでにHotmailで試験導入されている米IronPortのホワイトリストサービス「Bonded Sender」、そして現在取り組んでいる送信者認証の標準技術「Sender ID」と、3つの技術的対策を行っている。 マイクロソフト株式会社 代表執行役社長のマイケル・ローディング氏は、「インターネットが広がりとともに社会問題化した迷惑メール対策について、業界各社、政府、学校と幅広いパートナーシップを結び、法制や教育の面からもスパム対策に取り組んでいく」とした。
フィッシングメールの92%は送信アドレスを詐称しており、米Microsoft セーフティテクノロジー&ストラテジーグループ 開発部門担当ディレクターで、Sender IDの技術担当であるアラン・パッカー氏は、「SMTPはなりすましが非常に容易で、Sender IDではこれを防ぐことが目的」とした。これにより受信者がメールの送信者を認証することに加え、フィッシング詐欺での利用例の多いebay、CitibankをはじめとしたEコマース、金融サービスなどの提供企業にとっても、送信者を評価システムにより認定する安全なメールシステムが実現するといえる。 Sender IDの仕組みを利用するにはメールサーバーへの変更が必須だ。このためMicrosoftではSender IDフレームワークのドラフト仕様に沿ったSPFレコードを作成できるウィザード(英語版)をWebサイトで公開している。パッカー氏によれば「特にメーリングリストやメール転送において大きな影響がある」ため、対応を促すほか、ISPにもユーザー向けサポート手順書の作成などを呼びかけた。
Sender IDは、メール転送時やメーリングリスト利用時には変更が必要となるほか、DNSサーバーへの負荷の点でも懸念があり、またライセンス条項からApache Software Foundation(ASF)が採用を見合わせるなどの問題もある。一方のDomainKeysでは、公開鍵サーバーを別途設けることで負荷を対策できるが、転送メールへのスペースの追加/削除といった一部メールサーバーで行われる場合のある変更に対し、署名が無効となるほか、送信側のメールクライアントで変更が必要になる問題がある。 米Sendmail President/CEOのディビッド・アンダーソン氏は「メール受信時には、いくつかの認証の手段のうちひとつが動けばよい」とし、「Sendmailでは両方の技術をサポートする」とした。しかし「米Yahoo!はDomainKeyの参考実装を公開しているが、2004年後半にテストを行うといった段階。Sender IDは、DNSにエントリーを追加するだけで実装が容易だ。また、もし動作しなくとも送信者を認証できないだけでメールそのものは送信されるのも強みで、ほかの認証技術と比べて6~12カ月は取り組みが先行している」とした。 そして「Hotmail、ComcastにはSender IDがすでに実装しており、AOL、Yahooでも準備が進んでいる。これだけでアメリカで流通するメールの20~25%に達する。大量のメールを送信する米Amazon、米eBay、金融サービスや各航空会社などでも、2004年末までには採用されると見られ、これで全メールの半分近くになる」とその普及を予想した。 Sender IDやDomainKeysといった送信者認証の仕組みは、正当なドメインから送られたメールは対策できないため、スパム対策ではなくアメリカですでに社会問題化しているフィッシング対策の色合いが強いといえる。
このため送信者認証技術を元に、送信先ドメインをホワイトリストに登録する仕組みや、送信先ドメインのReputation(評判)をチェックできるReputationデータベースサーバーを用いる仕組みを段階的に組み合わせていくことで、「ユーザーがinboxをコントロールする権利を持つことができるようになる」とした。 また「ユーザーは送信業者が思っているほどメールを欲していない」とし、こうした環境が実現すれば、送信コストが不要な販促メールでも、「内容次第ではホワイトリストから送信者が削除されてしまう。リストに残り続けるために、メール広告の品質に対してコストが必要になるだろう」との見方を示した。 ■ URL 迷惑メール対策技術セミナー http://www.microsoft.com/japan/events/sender-id/default.mspx 米Sendmail http://www.sendmail.com/ Sender ID Framework http://www.microsoft.com/senderid/ SPFレコード作成ウィザード(英文) http://www.anti-spamtools.org/ ■ 関連記事 ・ 「失墜したメールシステムの信頼性を取り戻す」送信者認証技術(2004/07/26) ・ Microsoftが認めたスパム対策サービス、日本でも展開スタート(2004/06/22) ・ “特効薬のない”迷惑メール対策へ地道に取り組むMicrosoft(2004/06/14)
( 岩崎 宰守 )
|
|
|
|
|
|
|