●対応クライアントが少ない
最後の問題は、S/MIMEに標準対応しているメールクライアントが少ないことである。有償・無償のプラグインで対応できるものもあるが、S/MIMEにまったく対応していないメールクライアントも多い(PGP、PGP/MIMEへのWindows版MUAのサポート状況)。
利用者の多いOutlookやOutlook Express、ThunderbirdやNetscape/Mozilla系のメールクライアントは標準で対応しているが、これらのクライアントを使用しているサービス利用者のうち、S/MIMEに関する知識を有するユーザーはごく少数だと思われる。
したがって、S/MIMEに対応している各メールクライアントで、どのように署名を検証すればよいのか、S/MIMEに対応していないメールクライアントではどのように見えるのか、といった点についても、サービス利用者に啓蒙することが肝要だ。
これまで見てきたように、なりすましメールを防ぐ技術としては送信ドメイン認証や送信者認証があるが、どちらの対策についても、技術の普及やエンドユーザーの理解のしやすさという点では、現時点で万全とはいえない。
そこで、さらに運用上の工夫で行えるなりすましメール対策を考えてみる。ここで一番重要なのは、エンドユーザーがなりすましメールを見た時に、一目で「いつもと違う!」「このメールは何かおかしい!」と思えるようにすることだ。
●ポリシーの策定と啓蒙活動
まずは、サービス事業者がサービス利用者に対して送付するメールに関するポリシーを策定し、それをサービス利用者に啓蒙することが重要だ。
例えば、サービス利用者にメールを送付する可能性のある送信元メールアドレスを少数に限定し、それ以外のメールアドレスからサービス利用者に直接メールを送付することを禁止すれば、それ以外のメールアドレスからメールが届いた場合、サービス利用者は「何かおかしい!」と気づく可能性が高い。
また、ポリシーとして「メールにリンクは張らないこと」「キャンペーンへのページなどへは、ホームページのトップページから誘導するので、お気に入りに登録したサービスのトップページへ行ってもらうようにすること」を宣言し、それをユーザーに啓蒙することで、そのサービス事業者からのメールにリンクが入っている場合は、「何かおかしい!」と気づくことができる。
●パーソナライズ
サービス利用者とサービス事業者のみが知っていて、フィッシングメールを送付する第三者が知りえない情報をメールに挿入することで、ユーザーがサービス事業者以外からのメール(なりすましメール)を判別しやすくする方法も考えられる。いわゆるメールのパーソナライズである。
例えば、フィッシングメールの送信者は、一般的に電子メールアドレスのみの一覧を購入し、それらのアドレスに無差別にフィッシングメールを送信することが多い。そこで、サービス事業者からサービス利用者に送付する個々のメール本文の先頭に、必ずそのサービス利用者の氏名を挿入するようにすれば、氏名の入っていないメールが届いた場合「何かおかしい!」と思うだろう。
個人情報保護の観点などから氏名を明記することが適切でない場合には、例えばサービス利用者とサービス事業者において事前に取り決めておいた文面や図柄を必ずメールに挿入するといった方法も考えられる。
●外部委託の場合もポリシーを順守
これらの対策を行う上でもっとも重要な点は、ポリシーを徹底することである。
サービス利用者に対しては、マーケティングの部署からキャンペーンメールを送付することもあれば、運用・保守の部署から「サービス一時停止」などのメールを送付することもあるだろう。また、ユーザーの操作に合わせて、受注の確認メールや取引履歴などのメールを自動的に送付するケースも多い。
それらすべてのメールに関して、策定したポリシーを徹底できていなければ意味がない。特に、キャンペーンメールなどに関しては、外部に業務委託するような場合も十分考えられる。そのような場合には、業務委託先に自社のポリシーを徹底させることを契約書に明記するといった対策を講じることも肝要だ。
■宮崎輝樹
Copyright © ITmedia, Inc. All Rights Reserved.