マイクロソフトは4月8日、迷惑メール(スパムメール)に対する同社の取り組みについて記者セミナーを開催した。セミナーでは、2月24日に米国で開催されたRSA Conference 2004でビル・ゲイツ氏が行った基調講演で発表された内容が主に説明された。
マイクロソフトの迷惑メール対策は、CSRI(Coordinated Spam Reduction Initiative)と呼ばれ、メールの送信側と受信側双方の立場から迷惑メールの削減を目指している。同社では、5つの基本方針を打ち出している。それは、技術開発を中心とする製品・サービス面での取り組み、利用者へ迷惑メールを防止するための情報の提供、充実した法制度、法的執行、業界内での連携や自主規制整備となっている。
マイクロソフトの米国本社には、今年3月からSafety Technology and Strategy Teamと呼ばれる専門の対策チームが設置された。技術面では、受信側の対策として昨年11月にスパムメール防止技術「SmartScreen」が発表されている。業界連携や法整備の側面としては、今年3月10日に連邦迷惑メール対策法の下で初の迷惑メール訴訟を共同提起した。このほか、メール利用者への情報提供窓口として、MSN内に迷惑メール対策ポータルを開設している。
Brightmailによる迷惑メールの割合調査では、2004年3月時点で全体の63%が迷惑メールだという。マイクロソフトMSN事業部の丸岩幸恵氏によると、Hotmail宛てに送信されるメールのうち、迷惑メールの割合は76.15%(2004年3月)にのぼる。同氏は、「何らかの迷惑メール対策を施すと、この割合は50%前後に低下する。しかしながら、迷惑メール送信時業者が対応してくるとすぐに75〜80%が迷惑メールという状況に戻ってしまう」という。このサイクルはだいたい3カ月程度だそうだ。
また丸岩氏は、「受信者側の迷惑メール対策となるフィルタリングサービスは、十分に機能していない。今日のインフラではフィルタリングは難しい」という。その理由の1つに偽装メールの問題がある。偽装メールには大きく2種類あり、1つは送信者名を大手企業のものに偽装し、ブランド力を借りて迷惑メールの内容を本当らしくみせるものが挙げられる。もう1つは、匿名性を得るために送信元のIPアドレスを偽装するドメインスプーフィングといわれる手法だ。
サーバープラットフォームビジネス本部の中川哲氏 |
CSRIでは、メールの受信側だけでなく送信側からも迷惑メールの削減を目指している。マイクロソフト サーバープラットフォームビジネス本部の中川哲氏は、「メールの受信者側だけの対策では、迷惑メールの削減は限界にきている」と語る。
CSRIの主な取り組みは、迷惑メールフィルタの性能向上や、正当なメール送信者が自身を迷惑メール送信者から識別する手段の提供などだ。こうした新しい技術の導入は、既存の標準や規格を最大限尊重して段階的に行われる。中川氏によれば、「新しい仕組みの導入はコストがかかる。いきなり全てを新しくしてしまうと、コストを嫌って普及が伸びない」という。また、SCRIの目的は、迷惑メール送信者の利益を削減することだ。迷惑メール送信が事業として成り立たなければ、迷惑メールも減少するはずだからだ。
そのための手法のひとつとして、メール送信者の身元を特定するための「メール発信ID(Caller ID for E-mail)」がある。メールの送信者はあらかじめDNSのTXTレコード上に送信メールサーバ名とIPアドレスをXMLで記述しておく。メールを受信したサーバは、メッセージごとにドメイン名を照会し、送信者のIPアドレスが送信者のサーバ名と一致するかを逆引きして調べる。この結果、ドメインスプーフィングが行われているかどうかがわかるというものだ。
メール発信IDのメリットとしては、採用のしやすさが挙げられる。サーバ名とIPアドレスをDNS上に記録するだけなので、巨大なISPでも自前サーバのような小さなメールサーバでもサポートが可能だ。情報はXMLでTXTレコードに記述されるだけなので、将来ポリシーが更新されたり追加されたりしても十分対応できる。中川氏によれば、すでにHotmailでメール発信IDを実装しているという。また、今後提供予定のExchange Edge ServerにもSmartScreenとメール発信IDが搭載される予定だ。
第2の手法として、第三者機関によるメール送信者認証システムが挙げられる。大規模商用メール送信者は、事前に第三者機関に対して商用メール送信ポリシーを登録する。この際、登録料が課金される。第三者機関は登録送信者をモニターし、適切な運用が行われているかをチェックする。第三者機関からメール受信者に対しては、フィルタリングソフトやセーフリスト、デジタル証明書などを提供する。有料の第三者機関を用いたメール送信者認証システムのメリットは、受信者側に負担をかけないで運用できるという点だ。
小規模商用メール送信者に対しては、送信者のシステムリソースを消費させることで迷惑メールを防止する方法が考案されている。例えば、何らかの方法でSMTPレスポンスに一定の間隔(例えば1メール受信ごとに5秒など)を設定する。こうすることで、受信側サーバが一度に大量のメールを受信できず、送信者側は短時間で大量の迷惑メールを送信することができない。この結果、迷惑メール送信者のビジネスモデルが成り立たなくなるというものだ。
マイクロソフトでは、これら迷惑メール対策について、業界関係者と協議を行う方針だ。今夏にはSafety Technology and Strategy Teamが来日するという。また、CSRI関連の情報サイトを5月をめどに日本語化する。また、現在英語で進められている「メール発信ID」の仕様について、日本語でもフィードバックを受け付ける予定だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス