スパムメールやフィッシング詐欺による被害を防ぐため、送信者の身元認証を行う技術が注目されている。9月10日に都内で開催された「迷惑メール対策技術セミナー」では、Sender IDとDomainKeysという2つの技術が紹介された。
Sender IDはMicrosoftが提唱しているもので、同社の技術Caller ID for E-mailとPobox.comのメン・ウォン氏が開発したSPF(Sender Policy Framework)を組み合わせたもの。もう一方のDomainKeysは米Yahoo!が推進する技術。いずれも受信メールに記載された送信者が本人であると確認するためのものだ。
Sender IDは、送信側がDNSに送信メールサーバのIPアドレスを公開し、受信側は記載通りのドメインから発信されたものであるかどうかをDNSに確認する。実装が容易で、大規模なシステムを利用するユーザーにとってはメリットが大きい。
米Sendmail代表兼CEOのディビッド・アンダーソン氏 |
米Sendmail代表兼CEOのディビッド・アンダーソン氏は、「2004年末までにはMSNやAOLなどのISPや大手銀行、ショッピングサイトなどがSender IDを採用し、米国で流通するEメールの半数はSender IDで認証されるようになるだろう」と予測する。
一方のDomain Keysは電子署名を利用する。DNSに公開鍵を保存し、送信者は秘密鍵でメールに署名をしてヘッダに保存する。受信者は公開鍵で署名が本物であるかどうかを確認する。Sender IDがドメインを認証するのに対し、Domain Keysの場合は本来の送信者を認証できるというメリットがある。ただし送信側にソフトウェアの変更が必要となる。
Sendmailはプラグインを公開してテストを行っているほか、Yahoo!も今年の後半に試験する予定だという。
いずれの技術もなりすましを防ぐもので、直接的にスパムを防止するものではない。米Microsoftのセーフティテクノロジー&ストラテジーグループ開発担当ディレクタのアラン・パッカー氏は「スパム送信者もSender IDを使用できる。メッセージの善悪までを判断することはできず、そのままではスパム問題を解決することはできない」と認める。
それでも送信者認証技術が現在起きている問題を解決するための第一歩になることは事実だ。アンダーソン氏は「現在はメールの内容に基づいて、ユーザーが欲しくないものをフィルタリングしている。しかし将来は、送信者の名前やその評判、信用度などに基づいてユーザーがAllow Listを作り、欲しいメールだけを取得するようになるだろう」と予測する。このため、Eメールマーケティングを行う企業は常にユーザーが欲しいと思うメールだけを送るようにしない限り、Allow Listから外されてメールを配信することができなくなるだろうと同氏は警告した。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス