ヤフー(株)は31日、同社の運営するインターネットサービス“Yahoo! JAPAN”の各種サービスが公式に送信するメールにおいて、送信元ドメイン認証技術“DomainKeys(ドメインキーズ)”に対応すると発表した。これにより、同社サービスがユーザー向けに発信するメールを、同社のメールサービス“Yahoo!メール”や“DomainKeys”対応ISPのメールサービスで受信すると、ヘッダー情報に認証ドメインが表示されるようになり、フィッシングなどの詐欺メールでよく用いられる送信者ドメインを詐称したメールの抑制が可能になるという。
 |
 | |
|---|---|---|
| “Yahoo!メール”における“DomainKeys”の実装。ドメイン認証をパスしたメールは送信元表示欄の下にその旨が表示される | “DomainKeys”の基本構造。署名の確認に使う“公開鍵”は一般的に用いられるDNSサーバー上に置かれるため、導入は比較的容易だという |
“DomainKeys”は、メールの送信時に送信メールサーバーが秘密鍵でメールに署名を行ない、受信サーバーがDNSサーバーから公開鍵を取得して、送信に使われたサーバーのドメインと送信者のメールアドレスのドメインを比較する認証技術。ヤフーのサービスである“Yahoo!メール”では、すでに送受信ともに“DomainKeys”に対応しているが、同社からの通知メールの送信に“DomainKeys”を適用し、同社サービスを詐称した詐欺メール(公開鍵による署名がないyahoo.co.jpドメインを詐称したメール)の抑制を図るとしている。
同社では、12月から“Yahoo!オークション”“Yahoo!アラート”“Yahoo!ウォレット”などの金銭取引や個人情報取り扱いなどが含まれるサービスに関連するメールについて最優先で対応を進め、他のサービスについても以降順次対応を進めていくとしている。また、“DomainKeys”は送信者側にも機能の実装が必要となるため、同社では、金融サービスやISPなどに対して、ドメイン認証技術対応の働きかけや、業界団体などを通じた協力や啓蒙活動などを行なっていくとしている。
なお同社では、新たな迷惑メール対策として、11月に迷惑メール送信規制の導入を予定しているという。今回実施される対策は、受信メールにおける迷惑メール判定を行なう“迷惑メールフィルター”技術を応用したもので、同一の“Yahoo!メール”アカウントから送信されるメール件数にしきい値を設定し、大量送信を防ぐというもの。これにより、“Yahoo!メール”を悪用して送信されている迷惑メールを効果的に遮断することが可能となり、迷惑メールの送信数を現在の半分以下に抑えられると期待しているという。
 |
|---|
| 取締役 プロダクト統括 統括部長の喜多埜裕明氏 |
この日行なわれた記者説明会で登壇した同社取締役でプロダクト統括 統括部長の喜多埜(きたの)裕明氏によると、現在の“Yahoo!メール”利用者は月間約1000万人程度。同社サービスに限らずフィッシングや詐欺などのメールは現在も増加傾向にあるが、「(メールの悪用は)ヤフーだけで完結した問題ではない」として、ISP各社や金融機関などに対して、“DomainKeys”の採用を呼びかけていくという。また、技術/機能面での整備を進めたとしても「インターネットは万全ではない」との認識を示し、ユーザーに対してインターネット利用における脅威に対する“心構え”を呼びかけ、啓蒙活動も継続して行なっていくとしている。
 |
 | |
|---|---|---|
| センドメール社長兼米センドメール社アジア・パシフィック担当副社長の小島國照氏 | 海外での“DomainKeys”導入事例のひとつ、米バンクオブアメリカの例。米国では送信者ドメイン認証技術の導入が広がりつつあるという |
またこの日の説明会には、センドメール(株)の社長兼米センドメール社アジア・パシフィック担当副社長の小島國照氏も出席し、センドメールらが仕様策定や普及を進めている“DomainKeys”の基本構造や現状、将来の展望について説明を行なった。小島氏は現在電子メールが置かれている状況について、「(迷惑メールや悪意あるメールの増加により)メールの信頼性は危機的状況にある」と述べ、対策の重要性を述べたが、メールシステムのベンダーや導入数が非常に多いことから、業界が一丸となった協力体制が不可欠だとしている。
また、“DomainKeys”は送信者のドメインを明らかにする“パスポート”としての役割のものであり、メールの“内容の正しさ”を証明するものではない(ドメインの詐称は防げるが、“ドメイン認証をクリアした詐欺メール”は存在可能)ことから、ドメインと評判を結びつける仕組みを今後整備していく必要があると述べた。なお、日本におけるドメイン認証技術の導入は2006年以降本格化する見通しだといい、現時点では公表できないものの、金融関連企業数社が“DomainKeys”の導入に対して前向きな検討を行なっているという。
