ヤフーは10月31日に記者会見を開いた。既報のとおり、「Yahoo!オークション」などYahoo! JAPANの一部のサービス側から、「公式に送られるメール」を年内にも送信ドメイン認証技術「DomainKeys」(ドメインキーズ)に対応させる。 フィッシング詐欺の「なりすまし」をチェックする送信ドメイン認証には、大きくわけて2つの技術がある。米国Yahoo!社が開発し、センドメール社などオープンソース陣営が推進してきたDomainKeysはその1つだ。次のバージョンは「DKIM」と呼ばれている。 他方、Microsoft社が提案してきたのが「Sender ID」である。こちらはMicrosoft社の「Caller ID for E-Mail」技術と、Pobox.com社の創設者、メン・ウェン・ウォン氏の「SPF」(Sender Policy Framework)を統合した技術だ。 ただしインターネット上の技術を標準化する組織「IETF」(Internet Engineering Task Force)では、標準化を進めていたSender IDを採択しないと決めた。IETFは議論が分かれたSender IDの作業部会を、2004年9月に解散させている。 センドメール社長兼米国法人 アジア・パシフィック担当副社長の小島國照氏は、記者会見の席上、一方のDomainKeys/DKIMについて標準化の動向にふれた。 「今年11月にIETFの総会が開かれる。そこでワーキンググループが発足し、2007年末には標準化されると予測している。ただし技術的な作業はかなり前から進められてきた。とすればワーキンググループができる段階で、仕様は細かい部分まで決まるだろう。 大切なことは標準化そのものより、実装が進むことだ。DomainKeys/DKIMは今年、すでに実装フェイズに入った。『Gmail』(Googleの無料メールサービス)や、ニフティさんも採用している。またDomainKeysの次世代バージョンである『DKIM』は、Microsoftさんも支持を表明されている」(小島氏) 会見でセンドメール社長の小島氏は、フィッシング詐欺の脅威を強調した。また膨大な迷惑メールまで含めれば、メール・システムがいまや危機を迎えていると語る。 「電子メールの詐称は簡単だ。ロゴマークの盗用もたやすい。迷惑メールが犯罪かどうかはけっこうボーダーラインだが、フィッシングは明確な犯罪だ。企業のなかでも、特に金融機関が受けるダメージは大きい。メールを届けるインフラ・システムの基本がいま、脅かされている」(小島氏) ではフィッシング・メール対策の決め手になる技術は何か? Sender IDとDomainKeys/DKIMには、それぞれ長所と短所がある。ヤフーのY!BB事業部 企画室 プロデューサー、佐藤正憲氏は言う。 「DomainKeysは、大手金融機関やヤフーからのお知らせメールなどが転送されても認証が可能だ」(佐藤氏) ただしDomainKeysは送・受信側の双方が対応している必要がある。一方、Sender IDは送信側の対応が簡単だ。だがやはりデメリットもある。 たとえば現在、自社システムにSender IDとDomainKeysの両方を導入した上で検証しているIIJは言う。 「Sender IDは、転送された場合に認証が通らないケースがある。DomainKeys/DKIMもSender ID/SPFも一長一短だ。弊社では2つを相互に補完させ、両方に対応させる方針だ」(IIJ広報) IIJでは年内にも個人向けサービスに両方を導入し、続いて法人向けサービスでも2つの技術を搭載させる。一方、すでにSender IDと、DomainKeysの両方に対応しているニフティは語る。 「@nifty会員からメールを送信する際に、暗号化された署名(送信ドメイン認証)をつける。弊社ではどちらにも対応していく方針だ」(ニフティ広報) 会見でセンドメールの小島氏は、オープンソースの立場から2つの技術を解説した。小島氏自身、「それぞれメリット・デメリットがあり、どちらがいいとは言えない」と言う。ただ同氏は「政治的な流れで見れば」と前置きしながら、こう語る。 「DomainKeysの次世代バージョンであるDKIMは、非常に大きい支持を受けている。業界内では『Sender IDはMicrosoftさんの技術で、DomainKeysはYahoo!だ。おたがいに対立している』との見方をする方もいる。だが実際にはそうではない。DKIMはMicrosoftさんも支持されている」(小島氏) ではDomainKeys/DKIMの実装は、どんな見通しなのか? 小島氏は今年すでに動き始めるだろうと分析している。 「年内にもいくつかの先進的な企業が採用を始め、来年には多くの企業が使うだろう。今回の発表はヤフーさんによる形だが、すでにヤフーさんの手を離れていると言ってもいいほどだ」(同) このほか小島氏は、送信ドメイン認証の機構をこうまとめる。 「一般ユーザはだいたいISPに加入している。そこで企業が個人にメールを送る場合ならどうか? 送信ドメイン認証技術では、ISPは企業から認証をもらう。そしてISPがチェックしたうえで、これは認証されたメールだと個人ユーザに知らせる。 Sender IDはIPアドレス・ベースであり、どこを通ったかを認証する。一方、DomainKeys/DKIMの場合は暗号化ベースだ。メールの本文そのものを認証する。共通点は、高価な証明書のインフラなどは使わないこと。認証の基本的な技術は、どこの企業でも使っているDNSをベースにしている」(同) 小島氏の説明では、送信ドメイン認証は個人ではなくドメインの次元だ。 「大事なことは、これらの送信ドメイン認証はドメイン・レベルの話であり、個人の認証ではないということだ。いままでにも認証技術はたくさんあったが、個人認証ベースだった。となれば企業は大変で、インフラもそれなりのものが必要になる。結局、広まらなかった。それを前提にし、ドメイン・ベースの認証であることを謳っている」(同) また小島氏は送信ドメイン認証技術と、他のアンチフィッシング技術を総論的に語った。その上で次のステップは、「パスポートをもつ人々を見分ける作業だ」と解説する。 「これらの技術は各ドメイン、あるいは各個人に『パスポート』を発行するようなものだ。実社会の立場で言えば、パスポートをもっている人は『みんないい人だ』とは限らない。パスポートはその人を証明する手段にすぎない」(同) 小島氏によれば越えるべき次なる山は、パスポートをもつ人が「いい人か悪い人か?」を判断することだ。これが「レピュテーション・サービス」である。 レピュテーションの手法は、コラボレーションベース、トラフィック分析、ハニーポットなどさまざまある。 「いろいろな方法があるが、むずかしく考えないことだ。たとえばみなさんの会社や個人でも、ホワイトリスト、ブラックリストを使っている例はあるだろう。これがいわば『レピュテーション』だ」(同) たとえば過去に送信したことがある人々を、ホワイトリストに入れる。またビジネス上の取引先やパートナーを、サイト規模でホワイトリスト化する。「仮に署名をもち認証された人がいても、ホワイトリストに入っていなければ相手にされない」(同) 小島氏によれば、これが「レピュテーション」の基本的な考え方だ。「実はグローバル・ベースのレピュテーションができる前から、すでに企業はホワイトリストをもっている。この状態ならいますぐDomainKeys/DKIMを実装したとしても、かなり大きな効果を上げられるだろう」(同) 即効性のある手法とは、古くて新しいホワイトリストとDomainKeys/DKIMの「コラボレーション」なのである。
人気のメールアプリ「Spark」がMac向けに新登場!Touch Barにも対応
