IIJ技術陣「spamからメールを守れ（管理者編）」

2005年3月8日
山本和彦

　2004年の秋、知人が「日本ではフィッシングは発生しにくいのではないか」と言っていた。アメリカではオンラインバンキングが盛んなため、だまされる可能性のあるユーザは多い。つまり、詐欺師にとって入れ食いの漁場がそこにはある。一方、日本はそうではないからフィッシングははやりにくいというのだ。

　しかしその楽観的な予想はすぐに覆された。日本語で書かれたフィッシングのメールがいくつも現れ、さらには実際に被害も発生した。以下は、IIJの社員が発見したフィッシングのメールとWebサイトのスナップショットである。

VISA認証サービスをかたるフィッシングメール。このサービスは実際に存在する	VISA 認証サービスをかたるフィッシングサイト。ロゴは、VISAのサイトから挿入されている

　このフィッシングの手口は実に巧妙だ。「VISA認証サービス」は、実際に存在する正式なVISAのサービスである。事実、ロゴはVISAの公式サイトから挿入されるようになっている。また、ある知人がでたらめな番号を入力したところ、間違いを指摘されたというから、裏でVISAのサービスに接続しているか、カード番号のチェックサムを検証していると思われる（クレジットカード番号の16桁の内、下4桁はCRCチェックサムになっている）。

　フィッシングを許してしまう最大の原因は、メールアドレスを詐称できることにある。これは、メールアドレスのドメインを認証する手段が普及していないためだ。インターネットにおいてドメインはブランドである。フィッシングに悪用された場合は、ブランドのイメージの低下は免れない。

　今回は、ドメインのブランドイメージを守るための技術である「ドメイン認証」について解説する。ドメイン認証は、ISPやASPが思い描くspam対策における1つの要素である。そのため、対策全体に対する位置づけを理解することも必要だろう。そこで、少し回りくどくなるが、まずspam対策の全体像を説明し、そののちにドメイン認証について解説する。