logo

2004年総集編--アンチスパムからアンチフィッシングへ

早津優美(CNET Japan編集部)2004年12月28日 10時00分
  • このエントリーをはてなブックマークに追加

 インターネットの拡大とともにスパムメッセージの問題が深刻化している。かつては「迷惑メール」と呼ばれ、実害よりは不快感や効率の低下がスパム対策の契機だったきらいがあるが、フィッシングにしばしば用いられるようになり、対策の不備が金銭的被害に直結するに至ったことから、組織・個人ユーザー側での対策も不可欠のものとなった。関係省庁の取り組みとベンダーのアプローチ、ユーザーセキュリティの3つの領域における2004年の動きを追った。

 これに伴って、対策を迫られる企業側の意識も変わり、スパム被害がすでに深刻化している米国で行われた調査では、回答者の約90%がスパムによってセキュリティの脅威に対する自社システムの脆弱度が増したと考えている。

 米国では、スパムやフィッシングの蔓延がインターネットそのものの魅力を損ねるとの認識から、35の企業・団体が連邦取引委員会に宛てて公開書簡を提出した。ユーザーや法令遵守企業を保護するための対策を政府で積極的に検討するよう働きかけている。英語圏の政府機関が連携してスパム対策を検討する枠組も機能し始めており、2003年以降米国のスパム対策は法制化のフェーズに入っている。

 日本国内でも公的機関の取り組みが本格化した。総務省の対応は、従来はユーザーの承諾を得ずに送信する広告メッセージのサブジェクトに必須の文字列を指定するなど静的な対応にとどまっていたが、携帯電話からのインターネット接続が増加するとともにスパム被害が深刻化したことから、苦情相談対応機関を定め、相談窓口を設置するに至った。また、10月からは迷惑メールへの対応の在り方に関する研究会を開催し、電気通信事業者の能動的な対応を視野に入れた法制化を検討し始めた。

 国内ではこれまでスパムによる金銭的被害は目立たず、送信者を詐称された側の運用停止や風評被害などが注目されていたが、11月に入ってVisaインターナショナルを詐称したフィッシングが明らかになった。こうした手法の蔓延を防ぐべく、経済産業省は12月にフィッシング対策の連絡会議を開催し、クレジットカードサービス事業者などとの協議を開始している。

 しかし、個人ユーザーの自己防衛はいまだ途上だ。2003年12月から2004年1月にかけて国内で行われた調査では、スパムメッセージを受け取ったユーザーの約半数がメッセージの配信を希望しない旨を発信者に伝えており、発信者に対して自分のメールアドレスが有効であることを知らせる形になっている。

 同じ調査主体によって行われた調査では、オンライン詐欺を経験したユーザーが調査対象の3%ながら存在し、日本国内でもフィッシングなどの被害が発生していることが裏付けられる。また、自分も被害にあっているかもしれないと考える回答者が30%に達しており、ユーザー側の社会工学的啓発は急務だ。

 増加するスパムメッセージに対して、ISPやソフトウェアベンダーなどがさまざまな対策を提案している。現在知られている標準案は、配送過程におけるアドレスベースの送信者認証と、送信メッセージへの署名付加などによるエンド間の送信者認証に大別される。二者のうちいずれかの方式が標準化されても認証が単一点でしか行えないため、詐称やデータの損傷などを考慮すると現実的な解決策とはいえない。このため、複数のポイントでの送信者認証を組み合わせる方式が標準化される可能性が高い。しかし、エンド間の認証を普及させるにはユーザー側の環境が整備される必要があり、必ずしも即効性が期待できない点が課題となるだろう。MUA側の実装が定まっても、MUAの更新などの対策を自ら進めることができないユーザーが最もスパムの被害にあいやすいことに変わりはなく、この点からも配送経路側で何らかのスパム対策を実施することは不可欠だ。

 ユーザーと自社ブランドの保護がニーズとなって、顧客宛てのメッセージに署名を付加するなどの積極的な対策が企業側でも開始された。また、署名技術を用いてスパムメッセージの先にあるフィッシングサイトを識別するソリューションも国内で発表されており、BtoCサービス提供企業側から顧客を保護するための選択肢も広がりつつある。フィッシングサイトはGoogleなどの検索対象に加わることでユーザーを呼び入れる手法を用いはじめており、多面的な顧客保護が求められる。

 ながく模造品販売などに用いられていたスパムは、これまでネットワークユーザーにとっては深刻な問題ではなかった。しかし、フィッシング手法の登場により、送信者目的がクレジットカード情報の取得などに発展し、ターゲットにされたユーザーの被害も、これまでとは比較にならないほど大きくなった。技術的な解決策の模索とBtoCサービス提供側の自衛的な対策、ユーザーの能動的な対策のすべてがそろって初めて社会全体がスパム対策をとったといえる状態になる。

-PR-企画特集