メールの「名乗り」を確認できる手段が必要――米Sendmail CTO

米SendmailのCTOを務めるエリック・オールマン氏が来日し、スパム／フィッシング対策技術の動向について語った。

[高橋睦美，ITmedia]

　米SendmailのCTOにして、送信者認証技術「DomainKeys Identified Mail」（DKIM）の仕様策定に携わっているエリック・オールマン氏が来日。スパム／フィッシング対策技術の動向について語った。

　増大するスパムメールへの対策として現在広く用いられているのは、コンテンツスキャンやフィルタリングといったアプローチだ。しかし、こうした手法は限界に達しつつあるとオールマン氏。というのも、誤検出が避けられない以上、正当なユーザーから送られてきたメールがスパムに分類される可能性は否定できないからだ。

　「正当なメールの90〜99％は、既知の人か組織から送られてくる。また同時に、オンラインショッピングの受注確認メールなどを除けば、スパムメールの90〜99％は知らない人や組織から送られてくる」（オールマン氏）。

　この事実を踏まえると、当該メールが誰から送られてきているかを把握し、さらに「送信者が名乗ったとおりの人や組織であることを保証する必要がある」（同氏）。そして将来的には、送信者の振る舞いに基づく「レピュテーション（評判）」を用いたスパム判定処理が加わることになるだろうという。

　DKIMは、このうち、送信者が本当に名乗ったとおりの人物かどうかを確認するための手段の1つだ。先行するもう1つの仕様「Sender ID」「SPF」が、DNSレコードを用いて送信経路を確認するのに対し、DKIMではメール本文およびヘッダーに署名を加え、送信者の身元を保証する。

　こうした技術が普及すれば、たとえば「DKIMによる署名の付いていないメールは、かなりの割合で詐称であると推定でき、怪しいものとして取り扱えるようになる」（オールマン氏）。

　まだ標準化活動のさなかにあるDKIMは、普及という点では、Sender IDやS/MIMEといった他の技術に遅れを取っている。しかしオールマン氏はDKIMはSender ID／SPFに比べ、メッセージ自体の正当性も証明でき、より強固な技術であると指摘。送信者認証技術の実装に当たっては、マーケティング用メッセージの外部委託やメーリングリストへの投稿がネックとなるが、前者については対処可能という。

　一方、フィッシング対策として導入されるケースもあるS/MIMEと比較すると、PKI（公開鍵認証基盤）やCA（認証局）といった大規模なインフラを必要としないため、より手軽に導入できる点がメリットになる。

　DKIMは2005年6月に、米Yahoo!の「DomainKeys」とCisco Systemsの「Identified Internet Mail」（IIM）を統合した技術として発表され、IETFで標準化作業が進められている。オールマン氏は、標準化作業の完了は2007年末には完了すると見込んでおり、それに先立ち2006年から実装が開始されると予測。「アーリーアダプタ（早期採用者）の中には今年中に導入するところもあるだろう」（同氏）と述べた。

　それまでの間は、「完全なシステムではないにせよ、ある程度効果はある」というSender ID／SPFやDKIMの源流であるDomainKeysなどのテクノロジを活用して対処すべきとオールマン氏。いずれにしても「非常に難しい問題であるだけに、ユーザーに対する教育が何よりも大事だろう」とした。

　また、DKIMの導入や実装に向けて、まず企業は自社メールシステムの監査を行い、誰がどこに向けてメールを送信し、どこからメールを受け取っているかを調査すべきという。米国では、「IT部門が把握しないまま、勝手にマーケティング部隊がメール送信をアウトソーシングしていたケースもある。おそらく多くの発見があるだろう」（オールマン氏）。どのような技術を導入するにせよ、まずはメールシステムの実態を把握することが非常に重要だと指摘した。