「安心できるメール」配信のためにサービス事業者ができること：企業責任としてのフィッシング対策（4/5 ページ）

[宮崎輝樹，ITmedia]

送信者認証

●S/MIME電子署名で送信者を特定

　送信ドメイン認証では受信者側のメールサーバにおいて送信者側のメールサーバを認証していたが、送信者認証は、受信者が送信者を認証する。その際に利用する技術が「電子署名」である。

　従来から、メールの暗号化技術としてPKI（Public Key Infrastracture）を利用したS/MIMEがあるが、S/MIMEはメールの暗号化のみではなく、メールに対する電子署名の機能も備えている。この機能をフィッシングによるなりすましメールの対策として利用するサービス事業者が出てきているのだ。

　サービス事業者がサービス利用者に対して送付するメールに、送信者による電子署名を付与することにより、受信者は以下の事柄を確認できるようになる。

・メールが送信者（From）によって作成・送信されたこと
・途中で改ざんされていないこと
・送信者が確かにサービス事業者に所属するユーザーであること（図3）

　これに対し、フィッシングを仕掛けようとする第三者は、サービス事業者のふりをして適切に電子署名を付与することができない。したがって、サービス事業者がサービス利用者に対して送付するすべてのメールで電子署名の付与を徹底することで、サービス利用者がなりすましメールを一目で判別することができる。

図3●S/MIME電子署名による送信者認証

●国内にも幾つかの事例

　上述したように、SPFやDKIMによる送信ドメイン認証は、現時点ではまだ普及の途上にあるが、S/MIMEは古く枯れた技術であり、すぐに利用できる。実際に、なりすましメール対策としてこの機能を利用する事業者も出てきている。

　例えば、消費者金融の武富士やISPのhi-hoでは、サービス利用者に対して送信するメールすべてを（または徐々に）S/MIMEの電子署名付きにしていくことを宣言している。

●サービス事業者の対応

　サービス事業者がS/MIMEの電子署名に対応するためには、まず電子署名で利用する電子証明書を入手しなくてはならない。そのためには、信頼できる第三者の個人向け認証サービス（ベリサインの「Digital ID」など）を利用するか、またはサービス事業者において独自のPKIを構築して、証明書を発行する必要がある。

　次に、S/MIME対応のメールクライアントに電子証明書を登録し、サービス利用者へのメールの送信時にS/MIMEの電子署名を必ず付与するように、運用ルールを徹底させるという手順が求められる。

送信者認証の課題

●コスト

　S/MIME電子署名を利用した送信者認証に関しても、導入には幾つかの課題がある。

　まず最大の問題となり得るのは導入コストだろう。特に、電子証明書の発行や独自PKIの構築にかかるコストは決して安価ではない。

　フリーのソフトウェアを用いて独自の認証局を構築することも不可能ではないが、そのような認証局をサービス利用者に信頼させることは難しいだろう。そのため、一般的にはベリサインのDigital IDのようなサービスを利用して、各ユーザーの電子証明書を購入するか、または同じくベリサインの「マネージドPKI」のようなサービスを利用して、サービス利用者が信頼できるPKIを構築する必要がある。しかし、これらには一般的に多大な投資を伴うので、導入前には費用対効果を熟考することが求められる。

●送信者の対応の問題

　次の問題は、送信側の対応の問題である。送信側が個別に対応する場合、各送信者のメールクライアントに電子証明書を登録し、メールの送信時にS/MIMEの電子署名を付与するように設定する必要がある。しかし、送信者の操作ミスでS/MIMEの電子署名を付与し忘れる可能性は否定できない。また、サービス利用者へのメールを、各種システムを用いて自動作成／送付するケースも多いと思われるが、その場合はシステムをS/MIMEに対応させなくてはならない。

　幸いなことに、送信者側で個別にS/MIMEの電子署名を付与するのではなく、メールサーバ側で自動的にS/MIMEの電子署名を付与して外部へ送付するような製品も登場してきている。このような製品を利用することで、ポリシーを徹底させるという手段も考えられる。