ヤフーがフィッシング詐欺への対策を強化する。Yahoo! JAPANのサービス側から公式に送られるメールに関し、送信ドメイン認証「DomainKeys」(ドメインキーズ)を実装する。手始めに「Yahoo!オークション」を年内までに、また「Yahoo!アラート」など一部のサービスを12月から順次対応させる。 DomainKeysで認証されたメールは、送受信ともDomainKeysに対応した環境であれば、受信した際ヘッダ部分に「認証されたドメイン」が表示される。 ただしこのときユーザは、そのドメインが自分の登録しているサービスや金融機関等がもつドメインなのかどうか、を自分自身で知っている必要がある。 ヤフーのY!BB事業部 企画室 プロデューサー 佐藤正憲氏は、「本当に安全なメールなのかを確認(レピュティション)するための方向性は、1社単独で決められる話ではない。次の段階になる」とする。 さらに佐藤氏はヤフーの将来的な構想にもふれた。「形態はまだ未定」と断ったうえで、DomainKeysに対応した企業・団体から送信されたメールに関し、Yahoo!メール上で「安全をしめすアイコン」等をわかりやすく表示したい考えを示した。 そのうえで「関係各社の対応が進めば、明らかに怪しい場合は『メール本文を表示しない』などの対策も取れる。そのためにもまずは各社に、送信メールへの署名をお願いしたい」と呼びかけた。 フィッシング詐欺では、大手金融機関などを騙ったメールをユーザに送りつけ、フィッシング・サイトに誘導する手口が使われる。また2004年11月には、Yahoo! JAPANを装う精巧なページへ誘い出し、個人情報を入力させる手口が複数報告されている。 ヤフーが対策として進めるDomainKeysのネックは、送受信側の双方が対応している必要があることだ。フィッシングで詐称されやすい大手金融機関などの「送信側」にくわえ、各ISPやYahoo!メールなど、メールサービスを提供している「受信側」も実装していなければならない。 ただしYahoo!メールは、2005年8月下旬ですでに送受信とも対応ずみだ。そのためヤフーの佐藤氏は今回の第1弾の対策により、「Yahoo!オークションなどヤフー内で閉じた環境ならば、ユーザに安全な環境を提供できる」としている。 またセンドメール社長兼米国法人 アジア・パシフィック担当副社長の小島國照氏は、一般論としてYahoo! JAPAN以外のケースにもふれた。「フィッシングで狙われやすい企業やサービスはわかっている。送信側になる大手金融機関等や、送受信とも関係する各ISPが対応すれば見通しは立つ」などと語った。 ヤフーは10月31日、Yahoo! JAPAN「安心・安全なメールへの取組み」と題する記者説明会を開いた。説明会では前出のヤフー・佐藤氏やセンドメール・小島氏らが壇上に立った。 内容は米国Yahoo! Inc.が開発したDomainKeys導入について、またヤフー以外も含めた「今後の課題」や、安全なメールを流通させるためのヤフーの取組みなどが紹介された。 DomainKeysをメールサーバに導入すれば、送信時に暗号化された電子書名が自動的に添付される。次にそのメールを受信したサーバは、署名の内容が本当に送信元のドメインかどうかをDNSサーバに問い合わせる。これにより届いたメールが「なりすまし」の偽装メールではないかどうかを受信側でチェックできる。 ヤフーの佐藤氏は会見の席上、フィッシング詐欺対策やレポート報告を行っているAnti-Phishing Working Group(APWG)のデータを引き、「フィッシングメールの90%以上は送信元を詐称した『なりすまし』だ(2004年6月付)。またフィッシングの約85%が金融サービスであり、2位のISPは8.3%になっている(2005年8付付)」などと説明した。 また佐藤氏は自社独自の対応説明だけでなく、第2弾以降の取り組みも明らかにした。金融サービス各社やISPとも協力していく。 2005年3月15日、IIJやNTTドコモなど国内主要ISPや携帯事業者各社が共同で、迷惑メール対策を進めるワーキンググループ 「Japan E-mail Anti-Abuse Group」(JEAG)を設立している。メンバーであるヤフーは、JEAGの加盟各社と相談しながら普及・啓蒙活動を行う。 また佐藤氏は新しい迷惑メール対策として、2005年11月に送信規制技術を導入すると語った。「迷惑メールフィルター」を応用し、Yahoo!メールのアカウントIDから大量に送信されるメールの通数に閾値を設定する。この手法でYahoo!メールを使って送信される迷惑メールを遮断する。
