日曜日, 8月 05, 2012

情報リテラシーを向上させるには

 前回、こう書いた。
 「spf=pass」「dkim=pass」の表示に安心してしまう癖が付くのはかえって危険である。なりすましメールにだまされないためには、送信ドメイン認証の普及よりも、偽情報を見破る情報リテラシーをみんなが持つことの方が重要である。
これに対しては、「個々人の情報リテラシーに頼るには限界がある」という反論があるだろう。しかし私は、「インターネットの危険性をよく知らない素人さんの情報リテラシーを向上させるには、プロがそれぞれの立場でできることがある」と主張したい。
 私はかつて、勤務先のポストマスターを務めていた。2000年に当社のドメインをかたったスパムが発生し、世界からたくさんの苦情メールが殺到した。私はすべてに返事を書いた。「その送信者アドレスは偽造です。当社はスパムを送信していません。そのReceivedヘッダが証拠です」。2001年以降には、当社のドメインをかたったスパムが相変わらず発生していたにもかかわらず、苦情は一件も来なくなった。2000年中に世界中のスパム被害者が、スパムの送信者アドレスを真に受けてはならないと知ったのである。つまり、その点において情報リテラシーが向上したということである。
 自社からのダイレクトメールを受信する顧客がなりすましメールにだまされないようにしたいと思う企業は、次のようにするとよい。
 ダイレクトメールに時折注意喚起を記載する。
なりすましメールにご注意を!必ずお読みください。
http://www.***.co.jp/narisumashi-gochuui.html
 そして、ウェブページでは、Receivedヘッダの読み方を説明するとともに、以下のように記載する。
ご注意
●弊社からは、電子メールでパスワードの変更をお願いすることはございません。
●弊社からのご案内メールにファイルを添付することはございません。
●弊社からのご案内メールでは、 www.***.co.jp 以外のウェブサイトのURLを記載することはございません。
●弊社の業務に関して他社(関連会社等)からご案内メールを差し上げることはございません。
●・・・
 不審に思われましたら、
●弊社を名乗るメールの差出人アドレスが弊社のドメイン ***.co.jp であるかどうかをご確認ください(紛らわしいドメインである場合もあり得ます)。別のドメインであれば、なりすましメールと考えられます。
●Receivedヘッダを見て、お客様のドメインのメールサーバへ送信した弊社のメールサーバが dm数字.***.co.jp であるかどうかをご確認ください。別のメールサーバ名であれば、なりすましメールと考えられます。
 ご不明の点があれば、下記のお問い合わせフォームからお問い合わせください。
https://www.***.co.jp/cgi-bin/otoiawase.cgi
 顧客にこのように説明すれば、顧客は、自サイトでSPFチェックやDKIMチェックを行っていなくても、また、SPFやDKIMでチェックアウトできないなりすましメールであっても見破る情報リテラシーを身に付けることができるだろう。

土曜日, 8月 04, 2012

送信ドメイン認証は誰にとって有益か

 送信ドメイン認証は、スパム(迷惑メール)対策という言葉と共に語られている。だから、かつて私は、送信ドメイン認証はスパム対策の一つだと思っていた。今にして思えば恥ずかしい間違いであった。
 送信ドメイン認証は、スパムのうちの一部にすぎないなりすましメール(単に実在の送信ドメインをかたっているスパムという意味でなく、特定の組織や個人をかたって受信者をだまそうとするメール)に対する対抗策である。ボットから大量に送信されているスパムの受信を劇的に減らせるわけではない。ドメインの詐称ができなくなればスパムは少しは減るかもしれないが、使い捨てドメインを使ったスパムは送信ドメイン認証をパスできてしまう。S25R方式やグレイリスティングほどにはスパムの受信を減らすことはできない。送信ドメイン認証を導入しても、相変わらずたくさんのスパムが受信される。ただ、まともに見えるメールが実はなりすましメールかもしれないと判断できる手段が得られるだけのことである。
 送信ドメイン認証は無益だとは言えない。たとえば、私が契約しているSBIネット銀行(ドメインはnetbk.co.jp)からのダイレクトメールのメールヘッダにはDKIMシグネチャが入っている。受信側サイトがDKIMに対応していれば、SBIネット銀行をかたる偽メールを判別することができる。つまり、netbk.co.jpからのメールのAuthentication-Resultsヘッダにいつもは「dkim=pass」と表示されるのに、ある時「dkim=fail」と表示されたら、「これはおかしい」と気付くことができる。
 銀行やクレジットカード会社の顧客が偽メールにだまされたら、大きな金銭的被害をこうむるおそれがある。だから、メッセージの正当性を検証できる手段を受信者に提供することは、顧客を詐欺の被害から守るために意味のあることだと言える。
 いや、これで顧客がだまされなくなるわけではない。悪者がたとえばnetbk-service.jpのようなドメインを取得してDKIMに対応し、SBIネット銀行の関連会社をかたってフィッシング詐欺メールを送信したら、やはりだまされる人はいるかもしれない。これはSBIネット銀行としてはいかんともしがたい。しかしそれでも、同社は「なりすましメールによる被害から顧客を守るために、当社は最善の努力をしている」と主張できる。つまり、なりすましメールを判別する技術があるにもかかわらず使っていなかった場合よりも、同社が責任を問われるのを回避しやすい。これは同社にとってのメリットである。
 では、送信ドメイン認証にはすべてのサイトが対応すべきだろうか。私は、送信側として送信ドメイン認証に対応するのは、名をかたられて自サイトが責任を問われるのを回避しやすくなるという、自サイトにとってのメリットがあると判断するサイトだけでよいと思う。たとえば、なりすましメールにだまされる自社の顧客が重大な金銭的被害をこうむりうる銀行やクレジットカード会社、名をかたられたデマで社会に混乱を起こされかねない政府・自治体機関などである。それ以外の企業、学校、個人サイトなどでは、あえて導入するまでもないだろう。「貴社からのメールに書かれていたURLをクリックしてウィルス感染させられた」と苦情を受けても、「Receivedヘッダを見せてください。ほら、当社から送信されたものではありませんよ」と説明して済むことである。
 送信ドメイン認証は、標的型攻撃への対抗策として注目が集まり始めているとの情報がある。しかし、標的型攻撃を仕掛ける敵は、著名企業の信用を利用するためにその関連会社と見まがうドメインを使って、また、知人を装うために別メールアドレスを取得したふりをして(携帯電話番号が変わったと嘘をつく振り込め詐欺のように)、ターゲットをだまそうとするだろう。送信ドメイン認証では、スパムを激減させることができないだけでなく、標的型攻撃も防ぎきれないのである。
 「spf=pass」「dkim=pass」の表示に安心してしまう癖が付くのはかえって危険である。なりすましメールにだまされないためには、送信ドメイン認証の普及よりも、偽情報を見破る情報リテラシーをみんなが持つことの方が重要である。

続編:情報リテラシーを向上させるには

水曜日, 8月 01, 2012

自分の記事の検索順位が上がるか?

 前回、「送信ドメイン認証」で検索した人にぜひ読んでもらいたい記事「送信ドメイン認証はスパムに勝てないだろう」の検索順位が30位であることを述べた(今検索してみたら、34位に下がっていた)。
 S25Rホームページの注目度が高いので、ここからリンクされるサイトの検索順位が上がることが期待されてスポンサーが付いた。ならば、S25Rホームページを、自分の記事の検索順位を上げるために使ったらどうか。なぜすぐに思い付かなかったのだろうか。
 S25Rホームページの下の方に「送信ドメイン認証はスパムに勝てないだろう」の記事へのリンクを設けてみた。さて、検索順位は上がるだろうか。

「spf dkim」で検索上位のコンテンツ

 前回、単純な検索ワードで上位にヒットする私のコンテンツを自慢したが、一つ自慢し忘れたものがあった。
 もしかしたら、検索する人のPCによっては1位にヒットしないかもしれないが、おそらくトップ10には入るだろう。SPFやDKIMについて基本的なことを解説する多くのコンテンツを抜いて上位にヒットするのは意外な気がする。
 これは2008年2月8日に書いた記事。「SPFとDKIMはドメイン認証方式として理想的なものではないと思う」と述べた。その後、「ドメイン認証方式はスパム対策として有益ではない」と気付いて、2010年5月30日に「送信ドメイン認証はスパムに勝てないだろう」を書いた。こちらの方をぜひ読んでほしくて、「SPFとDKIMの問題点」の記事に「送信ドメイン認証はスパムに勝てないだろう」の記事へのリンクを設けている。
 「送信ドメイン認証」で検索すると、「送信ドメイン認証はスパムに勝てないだろう」は残念ながらトップ10にランクインしない。しかし、30位にヒットする。「送信ドメイン認証とは」では26位である。このくらいの順位なら、送信ドメイン認証について調べようとした人の目にとまる可能性はほどほど高いと期待できる。でも、なんとかトップ10まで登りつめてほしいところだ。
 送信ドメイン認証が普及したとしても、使い捨てドメインを使ったスパムに対しては無力である。送信ドメイン認証がスパム対策になるという誤解(あえて誤解と言おう)を解くために、私のコンテンツが役立ってほしいと思う。