スパム・フィッシングをブロックする技術、ドメイン認証の現況(1)メールの身分確認、ドメイン認証

●送信元の身分を確認するドメイン認証

「消防署の方から来ました！」といって無茶な値付けをした消火器を売りつけるという古典的な詐欺がある。もちろん「ほんとうに消防署の方ですか？」といって身分証の提示を求めれば簡単に撃退できるのだが、IT時代になって、ふたたびこの手口が復活している。ご存じのフィッシング詐欺だ。実在の銀行やカード会社の名を騙ったメールが届き、記載されているURLをクリックして個人情報の入力をうながす。クリックした先には、本物そっくりのウェブサイトが用意されており、うっかりだまされて個人情報を自分で入力してしまうというものだ。時代は変わっても、犯罪者の考えることは同じ。このような
フィッシング詐欺を防ぐ原理は簡単。メールを受け取ったときに、その送り主がまっとうであるかどうか身分証の提示を求めればいいのだ。このメールの送り主の身分確認をする技術がドメイン認証だ。

「原理は簡単」と書いたが、もちろん現実の運用にはさまざまな問題がつきまとって簡単ではない。この運用の問題が、今後の普及の鍵となるのだが、まずは理解しやすい原理の方から見ていこう。

ドメイン認証の技術には、大きくふたつのものが有力視されている。ひとつはSender IDと呼ばれるもので、もうひとつがDomainKeysと呼ばれるものだ。Sender IDはマイクロソフト社のCaller ID for E-Mail技術とPobox.comのSPF(Sender Policy Framework)技術を統合したもので、送信メールサーバーのIPアドレスを確認することで身元確認をする。DomainKeysはYahoo!やSendmailが支持している技術で、電子署名を利用して身元確認をする。いずれも一長一短があり、課題を抱えている。

【執筆：牧野武文】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm