電子メールIDを使って偽装するスパマー--米調査で明らかに

　メッセージ発信元のアドレスを検証するプロトコルをサポートしたジャンクメールフィルタが非常に少ないことから、スパマー側がこれを導入し、自らを正当な発信者であるように見せかけていることが、米国時間8日に発表されたレポートで明らかになった。

　このレポートをまとめた電子メールサービスプロバイダーのMX Logicは、クライアントに代わって8月後半に自社で選別した1000万通近い大量送信メールを分析した。そして同社は、ジャンクメッセージの送信元の6分の1近くが「Sender Policy Framework（SPF）」と呼ばれるプロトコルを使い、メッセージ中の電子メールアドレスが本物であると認証していることを発見した。

　コロラド州デンバーにある同社のCTO（最高技術責任者）Scot Chasinは、SPFはスパムを阻止するための手段として大々的に宣伝されてきたが、同プロトコルの真の価値は詐欺行為の防止にあることを今回のデータが示したと語った。

　「（SPFによる）認証自体はスパムの万能薬ではない」とChasinは述べ、「スパムに影響を与えるとされるSPFは、ドメイン詐称者にしか打撃を与えない。メッセージが不要かどうか判断するにはコンテンツフィルタが手放せない」と付け加えた。

　SPFは、電子メールの送信元を証明するSender IDというハイブリッド手法の一部として、現在検討されている2つの技術のうちの1つ。提案中の標準は、もう1つの技術であるMicrosoftのCaller IDが加わることで完成する。Microsoftが特許取得を目指す技術を採用しているため、Sender IDではユーザーが同巨大ソフトウェアベンダーのライセンス契約に署名しなくてはならない可能性が出てくる。これを受け、オープンソース業界の多くのプロジェクトグループは怒りをあらわにしている。

　この論争によって、多くのインターネットエンジニアやメール管理者にはSPFをもう一度見直す機会が生まれた。SPFは、電子メールサービス会社のPobox.comを設立したMeng Wongが作成した。

　同標準の策定を進める技術委員会のIETF（Internet Engineering Task Force）は、自らが管理するメーリングリストを活用し、この問題をここ2週間で幅広く議論した。

　MX LogicのChasinは、少なくとも電子メール送信者を評価できるサービスをサポートするまで、SPFがスパムの問題を完全に解決することはない、と主張している。

「SPFはフィッシングなどの不正行為対策に優れている」とChasin。フィッシングとは、 銀行や政府機関などの正式な組織から送信されたように見せた電子メールを使って個人データを引き出そうとするインターネット上の詐欺行為を指す。「結局、フィッシングは他人のドメイン名を詐称する行為に過ぎない」（Chasin）