どうする？ フィッシング詐欺対策--送信者認証技術の重要性を語るマイクロソフト

　スパムメールやウイルスなど、インターネット上で迷惑を被る出来事が増加しているが、なかでも特に深刻なのが、近ごろ国内でも頻繁に発生するようになったフィッシング詐欺事件だ。フィッシングとは、金融機関などからのメールを装って偽装サイトに導き、暗証番号やクレジットカード番号などの情報を手に入れることである。スパムやウイルスなどは「不愉快」「迷惑」で済まされることが多いが、「フィッシングは金銭が盗まれるといった実害があることはもちろん、偽アドレスを使われた企業の信用問題にも関わってくる」と、マイクロソフト サーバー プラットフォーム ビジネス本部 IWインフラストラクチャ製品グループ マネージャの中川哲氏は語る。

　現在フィッシングへの対応策としては、メールの送信者欄を容易に信用しないこと、誘導先のサイトが正規のものかどうかを確認するなど、受取人側で慎重になることのほかに対処法がないのが現状だ。ただ、フィッシング対策として送信者認証技術が徐々に登場しつつあるのも事実である。

　その技術のひとつに、マイクロソフトのSender IDがある。Sender IDは、同社が提唱したCaller IDと、Pobox.comのSender Policy Framework（SPF）を組み合わせた技術。これは、送信側がDNSに送信者情報を格納し、受信側は各メールが記載通りのドメインから発信されたものであるかどうかDNSに確認するシステムだ。同技術の他にも、送信者認証技術としてはヤフーの提案したDomain Keysがあり、こちらはメールに証明書をつけることで送信元の身元を証明する。

　現在両社はこれらの技術の標準化に向けて動いているが、センドメールがSender ID技術の採用に前向きな姿勢を示す一方、Apache FoundationなどのオープンソースソフトウェアグループはSender IDに対して消極的で、業界内でもさまざまな対応が見られる。だが中川氏は、「送信者認証技術は、どちらかひとつの技術を採用すべきというものではなく、セキュリティ対策を複数採用するのと同じで、（Sender IDとDomain Keysの）両方を採用することもあるだろう」としている。

　マイクロソフトでは、フィッシング対策にフォーカスした「迷惑メール対策技術セミナー」を10日に開催する予定。同セミナーでは、Sender IDの仕様策定に取り組んでいる米Microsoftのディレクター、アラン・パッカー氏が同技術について詳細を語るほか、米SendmailのCEOが送信者認証技術の実装について語る予定だ。「何より重要なのは、このような技術があることを知ってもらい、フィッシングへの対応策を真剣に検討してほしいということだ」と中川氏は述べた。