“メールは届いて当たり前”は過去の話？ 大トラブルに発展する前にできること：半径300メートルのIT

クラウドサービスの急な仕様変更などへの対応は、利用する上で避けられないものですが、「電子メール」にもついにこの波がやってきました。送信者側として取るべき対策は何でしょうか。

[宮田健，ITmedia]

　クラウドサービスのメリットの一つとして、事業者による自動アップデートがあります。ただ、これに伴う新機能追加や仕様変更をユーザー側で把握できず、設定ミスや意図していない構成変更が起きてしまうことは最近の課題として認識されつつあります。特に、クラウドサービスを利用する上で、非公開情報に設定したつもりでいたものが外部から“まる見え”になっていたという事件はよく聞きます。

　そしてこれは、私たちがよく利用するSaaSといったクラウドサービスだけの問題ではなく、電子メールにおいても同じことが言えるというのはあまり気付かれていないかもしれません。

多くの利用者がいるSaaS、それは「電子メール」

　フィッシング対策協議会の月次報告書を見ると、フィッシング報告件数は月ごとに一進一退を繰り返しており、この数字が上下するだけで一喜一憂しても仕方ないことが分かります。ちなみに2023年12月はフィッシング報告件数やフィッシングURL、ブランド件数ともに増加していました。

フィッシング対策協議会の2023年12月のフィッシング報告状況（出典：フィッシング対策協議会のWebサイト）

　この報告書には事業者と利用者それぞれに向けたフィッシング対策情報が載っています。特に事業者に向けては、2024年2月1日から実施が予定されている「Gmail」の仕様変更に伴う事前対応について、引き続き注意を促しています。報告書によると、「2024年2月1日以降は、要件を満たさない電子メールの一部にエラーが返されはじめ、4月から非準拠メールへの拒否率を引き上げていく」とされています。なお、Googleの電子メール送信者に向けたガイドラインはこちらです。

　電子メールのなりすましを防ぐための技術としては、SPFやDKIM、DMARCなどが注目されていますが、報告書によると、もはやなりすましメールの中でもSPFやDKIMをパスしているものが確認されているそうです。そのため電子メールをビジネスで利用する事業者はDMARCへの対応が喫緊の問題となっています。

　電子メールはインターネット初期から使われているプロトコルを利用して実現しているものですが、利用者が一気に増えた2000年代初頭には迷惑メールが問題となり、以降、単純なメール送信／受信プロトコルとは別のところで、迷惑メール対策が付け加えられています。

　気が付くと、自分で電子メールサーバを管理するのではなく、サービスとしてこれを利用するスタイルも一般的になりました。利用者がメールサーバを自分で運営するのはまれで、多くの人がGmailや携帯電話事業者の電子メールといった「SaaSを利用する」スタイルになっています。

　こうした変化の中、GmailやYahooメールの変更されたガイドラインを電子メール送信者側が守れないとどうなってしまうかというと、電子メールはブロックされたり迷惑メールフォルダに分類されたりしてしまいます。電子メールというプロトコルを守っていても、SaaSベンダーのガイドラインを守らないことで電子メールが届かなくなる、と考えてください。

電子メールは“死んだ”のか？

　一方でちょうどこのガイドラインとは恐らく違う話で「電子メールが届かなくなる」問題が神奈川県で発生しました。原因は明らかになっていませんが、電子メール送信サーバが迷惑メールを送信する悪質なサーバと判断されてブラックリスト入りしてしまった、という状況に見えます。

神奈川県公立高等学校入学者選抜インターネット出願システムの稼働状況について（出典：神奈川県のWebサイト）

　迷惑メールを減らしたい、というGmailなどの意向は理解できますし、そのためにインターネットを利用する全ての人が何かしら手を打つ必要があるというのも理解できます。しかし「電子メールは届くもの」から「電子メールは消えるかもしれないもの」と、信頼度がかなり下がってしまったというのが個人的な印象です。

　かつて「ウイルス対策ソフトは死んだ」という言葉が大きな話題となったように、このままでは電子メールの信頼性が下がることも考えられます。そのとき、一体どうやってパスワードをリセットしたり、本人確認を実施したりできるのか、非常に気になるところです。

　電子メールにはこれまで積み重ねてきた信頼があるゆえに、送信側は「電子メールは届くもの」だと思い込んでいる一方で、受信側としてはそもそも何も届かないので認識のしようがないというのが大きな問題です。

　2024年2月になってすぐに大きな影響が出るかと言われると、そこまで破滅的な状況にはならないとは思いますが、B2Cで一般利用者に電子メールを送るビジネスをしている場合、何かしらの影響は間違いなく出ます。先の報告書にあるように、DMARCへの対応が必要となるでしょう。

　さらに、この不安に乗じたサイバー攻撃も想定しておいた方がいいでしょう。電子メールが不達となった場合「急いで請求書記載の口座に入金してほしい」とFAXを送るケースなどがあるかもしれませんが、これを装ったビジネスメール詐欺が発生する可能性もあります。電子メールが届かないこともそうですが、普段とは異なる対応には、どんなに急ぎと言われても社内の正しいフローに載せ、多くの人の目に触れる方法で対処するようにしてください。

　Gmailなどの電子メールサービスを提供している事業者による、迷惑メール削減のための新たなガイドライン提示に関しては、個人的には準備期間も短く、周知徹底されていないと考えています。DMARC対応は電子メールを使う全ての企業が対応すべきですが、電子メール機能を提供しているSaaS事業者側も「電子メールは死んだ」となる前に、もう少しソフトランディングできる仕組みを整えてほしいです。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。