マイクロソフト(株)は10日、迷惑メールの被害に対する同社や業界の対応を解説する“迷惑メール対策技術セミナー”を都内にて開催した。同セミナーでは、迷惑メールに関する現状の報告や、迷惑メールの多くに見られるアドレス偽装を防ぐ技術“Sender ID”の推進をはじめとする同社および業界の取り組みなどが紹介された。
同社代表執行役社長兼米マイクロソフト社コーポレートバイスプレジデントのマイケル・ローディング氏 | 同社の迷惑メール対策の取り組み |
セミナー冒頭に登壇した同社代表執行役社長兼米マイクロソフト社コーポレートバイスプレジデントのマイケル・ローディング(Michael Rawding)氏はまず、同社が目指す“安全なインターネット環境の整備”に向けた重点項目として、セキュリティー、プライバシー、迷惑メール、子供向け、ネット安全対策の5点を挙げ、取り組むにあたっては、技術面での開発や整備、企業/政府・公共機関などとのパートナーシップ、ユーザー啓発活動の3つが必要だと述べた。また、今回のセミナーのメインテーマとなっている“迷惑メール”の日米の現状について、
- 米国
- 1日に約145億通の迷惑メールが送信されている
- コストに換算すると、ワールドワイドで年間約200億ドル(約2兆2000億円)程度
- フィッシング(※1)の被害は過去半年で24億ドル(約4800億円)にのぼり、フィッシングに使われるメールのアドレスの92%が偽装したアドレス
- 日本
- 69%のメールユーザーが“迷惑メールを受信している”と感じている
- フィッシングの被害が顕在化してきており、警察庁や経済産業省も注意を呼びか
と紹介。こういった現状を踏まえて同社では、迷惑メール対策の主な施策として、前述した同社の基本的な“安全なインターネット環境の整備”の方針に従い、
- 業界内での連携による取り組み
- 法の制定や法的執行に向けた業界/政府関連機関との協力
- 教育/啓発活動
- 製品/サービスにおける取り組み
- 識別/検証技術の開発(今回のセミナーで紹介された“Sender ID”など)
- 予防技術の導入
- フィルター技術の開発
といった点に現在取り組んでいるとしている。
※1 英語のつづりは“Phishing”。実在する企業やウェブサイトに見せかけたメールを利用して、金銭や個人情報を詐取するというもの経済産業省消費経済政策課の荒木太郎氏 | 経済産業省調べによる迷惑メールの実態 |
迷惑メール被害の相談を寄せてきた人の年齢層。若年層の相談が多いのが特徴的 |
携帯電話メールにおける、迷惑メール対策の成果 | 迷惑メールに関する相談に見られる変化 |
前述の通り、携帯電話のメールにおける迷惑メールの件数自体は、近年減少傾向にあり、同氏によると、着信拒否機能の利用などといった迷惑メール対策を講じたユーザーの約8割は受信状況に改善が見られるとしている。一方、パソコンのメールの場合には状況が大きく異なり、対策の効果が実際にあるのは6割程度にとどまり、行なった対策が有効とはいえないケースも多く、結果としてむしろ迷惑メールを受け取る数が増えてしまう場合もあるという。
また、苦情相談の内容にも最近は変化が見られ、2002年には苦情内容のトップ(全体の約50%)となっていた“大量受信による迷惑”は2004年4~6月期には1/10にまで減少。しかし、不当請求などの“内容の不当性”を訴える苦情は2002年の3.6倍の90%を締めるまでに増加しており、件数自体も15~20倍になる見込みだという。このような苦情の中にはフィッシングによるものも多数含まれていると見られることから、同氏は送信者認証技術の重要性を訴えている。
米マイクロソフト、セーフティーテクノロジー&ストラテジーグループの開発部門担当ディレクターのアラン・パッカー氏 | 迷惑メール送信者による“攻撃”の内容 |
この送信者認証技術として、マイクロソフトが進めているのが“Sender ID”と呼ばれるフレームワーク。同セミナーでは、このSender IDに関して、米マイクロソフトのセーフティーテクノロジー&ストラテジーグループの開発部門担当ディレクターのアラン・パッカー(Alan Packer)氏が概要の解説を行なった。同氏は、現在利用されているSMTPは、送信元アドレスの偽装(なりすまし)が極めて容易であり、フィッシングをはじめとする迷惑メールの送信者アドレスは、50%以上が偽装されたものだとしている。そこで、マイクロソフトとしては、ドメインベースの認証メカニズムを確立することにより偽装アドレスの締め出しを狙っていきたいとしている。この“ドメインベースの認証メカニズム”が、マイクロソフトなどが開発と普及を進めているSender IDである。
“Sender ID”フレームワークの構造。標準化団体に提出済みの4つの技術から成り立っている | “Sender ID”の効果と、“Sender ID”では防げないもの |
Sender IDとは、さまざまな業界標準の技術や関連するコミュニティーからの意見などを統合/反映し、IETF(Internet Engineering Task Force、インターネット関連技術の標準化を行なう団体)に提出した4種の技術草案を盛り込んで構築されたフレームワーク。基本的な仕組みとしては、まず送信者がDNSの送信者メールサーバーのIPアドレスを発行し、受信者が各メールメッセージが宣言する発信元のドメインを判定(宣言された発信元ドメインの送信メールサーバーのDNSを照会し、詐称テストを実行)、この判定結果が正しければ、実際のメール受信が行なわれる、というものだ。パッカー氏は、このフレームワークにより、受信者は誰がメールの送信者なのかを認証することが可能になり、ドメイン名を持つユーザー(企業など)は自身のブランドやドメイン名を“なりすまし”の手から防御することが可能になるとしているが、その一方で、メール自体の善悪を判断することができるわけではないので、偽装を防ぐことはできても内容の不当性からメールをフィルターすることはできず、迷惑メールの問題をすべて解決できる“特効薬”ではない、とも述べている。
Sender IDの実現に向けた動きとしては、10月1日に向けて仕様の承認やMTA(Message Transfer Agent)の登録などの作業を進め、その後、12月末をめどに、Sender ID準拠ソリューションの認定や登録、Sender ID準拠サーバーへのアップグレード、ユーザーサポートの手順の作成といった、具体的なアクションへの進行していく予定だという。
米センドメール社の最高経営責任者、デイブ・アンダーソン氏 |
また、この日のセミナーでは、世界のMTAのシェアの大部分を占めている“sendmail”の開発元である、米センドメール社の最高経営責任者、デイブ・アンダーソン(Dave Anderson)氏も講演を行ない、同社製品における送信者認証技術の取り込みに関する内容を中心に解説を行なった。これによると同社は、「効果があり広く採用されるすべての方式をサポートすることをコミット」するとして、現在はSender IDのほかに、もう一方の有力な技術と目されている“ドメインキー”技術(※2)の導入も進めていると述べた。
※2 DNSに公開鍵を保存し、送信者は秘密鍵で署名してヘッダーに保存/送信、受信者は公開鍵により署名を確認し、“最初の”送信元を特定できる、というもの。システムとしてはシンプルなものだが、アプリケーションが必須になる点がSender IDとの大きな違いだというSendmailへの導入が進められている“Sender ID”と“ドメインキー”の比較 | 送信者認証技術導入後のメール送信から受信までの流れ |
これらの送信者認証技術が普及すれば、欲しいメールを“送信者”“評判”“信用度”によってフィルターすることが可能になり、現在よりも容易に、ユーザーは欲しいメールを受け取り、欲しくないメールを止めることが可能になるという。その一方で、商用のメール送信する事業を行なっている事業者は、各ユーザーが今までより簡単に受信許可/拒否を設定できるようになることから、“受信許可”リストに残り続けるために、コンテンツのクオリティーを高める努力が今まで以上に必要になるだろうと述べた。