Yahoo！JAPAN、「DomainKeys」普及を積極化

ヤフーは、メール送信元のなりすましを防止する「DomainKeys」技術の国内普及を積極的に進めていく。被害拡大が懸念されるフィッシング詐欺を防止する効果的な技術として、金融機関やISPに採用を呼び掛ける。

[ITmedia]

　ヤフーは、メール送信元ドメイン認証技術「DomainKeys」の国内普及に力を入れる。既に「Yahoo！メール」では送受信とも導入済みで、12月からは「Yahoo！オークション」などの同社サービスから発信するメールを順次対応させる。メールによるフィッシング詐欺などを防止できる技術として、金融機関やISPに採用を呼び掛けていく。

　DomainKeysは米Yahoo！が発表した技術。メール送信の際、送信サーバがドメイン情報などを暗号化し、電子署名として自動的に添付。受信サーバは電子署名を確認し、メールのヘッダーに記述されたドメインと一致しているかどうかを照合する。

　偽装アドレスからのメールは正しい署名を添付できないため、受信側で偽装アドレスを判断できる仕組みだ。フィッシング詐欺に使われるメールや迷惑メールはほとんどが送信元を詐称しているため、同技術の導入で被害を防止できる可能性が高まる。

DomainKeysの仕組み

　Yahoo！メールには8月下旬までに送信サーバ、受信サーバとも導入済み。12月から対応するのは、オークションと「Yahoo！アラート」、「Yahoo！ウォレット」の3サービスがユーザー向けに送信するメール。他サービスでも順次導入していく予定という。

　フィッシング詐欺が多発している米国では同技術への対応が進んでいる。センドメールの小島国照社長によると、認証付きメールの割合は全体の35％を超えており、「今年はもう実装フェーズに入っている」という。

　米国では10万〜20万のドメインが認証情報を公開していると見られるが、日本では対応がほとんど進んでいないのが現状。ISP側の対応もニフティやインターネットイニシアティブなどの少数にとどまっている。

　被害額が年間1000億円に上るとも言われる米国に比べ危機感が少ないという背景もあるが、大手クレジットカード会社を詐称したフィッシング詐欺メールが出回る事件が昨年から起きている上、今年3月にはUFJカードの会員が合計約150万円の被害に遭うなど（関連記事）、今後の被害増加が懸念されている。

　ヤフーの喜多埜裕明プロダクト統括部統括部長は「メールはヤフーで完結するものではない。ユーザーが安心してメールを使えるよう協力を呼び掛けたい」と話し、特にフィッシングに使われる金融機関とISPに採用を求めていく。主要ISPらで構成する迷惑メール対策ワーキンググループ「JAEG」参加企業との協力による啓もう活動や、企業向けイベントなどで同社技術者による導入支援を行っていく。

　送信時の署名添付が進めば、ドメインの認証を確認できたメールをYahoo！メール上で明確に確認できるようにしたり、疑わしいメールは本文を表示しないといった機能を導入することも可能になるとしている。喜多埜統括部長は「来年には送信認証が一般にも知られるようになってくるだろう」と見ている。

DomainKeysを発展させた「DKIM」

　Yahoo！が発表したDomainKeysに対し、米Microsoftが提唱した「SenderID」技術が一時対立していたが、今年6月、Yahoo！と米Cisco Systemsが両社技術を統合した「Domain Keys Identified Mail」（DKIM）を発表。特許料無料で公開する方針で、センドメールの小島社長によると「Microsoftも支持している」という。

　IETFは同技術を検討するワーキンググループを11月に発足させる予定で、IETF通過は2007年末になると見られる。一部オープンソースソフトなどは今年中にも対応するという。