送信ドメイン認証は、スパムのうちの一部にすぎないなりすましメール(単に実在の送信ドメインをかたっているスパムという意味でなく、特定の組織や個人をかたって受信者をだまそうとするメール)に対する対抗策である。ボットから大量に送信されているスパムの受信を劇的に減らせるわけではない。ドメインの詐称ができなくなればスパムは少しは減るかもしれないが、使い捨てドメインを使ったスパムは送信ドメイン認証をパスできてしまう。S25R方式やグレイリスティングほどにはスパムの受信を減らすことはできない。送信ドメイン認証を導入しても、相変わらずたくさんのスパムが受信される。ただ、まともに見えるメールが実はなりすましメールかもしれないと判断できる手段が得られるだけのことである。
送信ドメイン認証は無益だとは言えない。たとえば、私が契約しているSBIネット銀行(ドメインはnetbk.co.jp)からのダイレクトメールのメールヘッダにはDKIMシグネチャが入っている。受信側サイトがDKIMに対応していれば、SBIネット銀行をかたる偽メールを判別することができる。つまり、netbk.co.jpからのメールのAuthentication-Resultsヘッダにいつもは「dkim=pass」と表示されるのに、ある時「dkim=fail」と表示されたら、「これはおかしい」と気付くことができる。
銀行やクレジットカード会社の顧客が偽メールにだまされたら、大きな金銭的被害をこうむるおそれがある。だから、メッセージの正当性を検証できる手段を受信者に提供することは、顧客を詐欺の被害から守るために意味のあることだと言える。
いや、これで顧客がだまされなくなるわけではない。悪者がたとえばnetbk-service.jpのようなドメインを取得してDKIMに対応し、SBIネット銀行の関連会社をかたってフィッシング詐欺メールを送信したら、やはりだまされる人はいるかもしれない。これはSBIネット銀行としてはいかんともしがたい。しかしそれでも、同社は「なりすましメールによる被害から顧客を守るために、当社は最善の努力をしている」と主張できる。つまり、なりすましメールを判別する技術があるにもかかわらず使っていなかった場合よりも、同社が責任を問われるのを回避しやすい。これは同社にとってのメリットである。
では、送信ドメイン認証にはすべてのサイトが対応すべきだろうか。私は、送信側として送信ドメイン認証に対応するのは、名をかたられて自サイトが責任を問われるのを回避しやすくなるという、自サイトにとってのメリットがあると判断するサイトだけでよいと思う。たとえば、なりすましメールにだまされる自社の顧客が重大な金銭的被害をこうむりうる銀行やクレジットカード会社、名をかたられたデマで社会に混乱を起こされかねない政府・自治体機関などである。それ以外の企業、学校、個人サイトなどでは、あえて導入するまでもないだろう。「貴社からのメールに書かれていたURLをクリックしてウィルス感染させられた」と苦情を受けても、「Receivedヘッダを見せてください。ほら、当社から送信されたものではありませんよ」と説明して済むことである。
送信ドメイン認証は、標的型攻撃への対抗策として注目が集まり始めているとの情報がある。しかし、標的型攻撃を仕掛ける敵は、著名企業の信用を利用するためにその関連会社と見まがうドメインを使って、また、知人を装うために別メールアドレスを取得したふりをして(携帯電話番号が変わったと嘘をつく振り込め詐欺のように)、ターゲットをだまそうとするだろう。送信ドメイン認証では、スパムを激減させることができないだけでなく、標的型攻撃も防ぎきれないのである。
「spf=pass」「dkim=pass」の表示に安心してしまう癖が付くのはかえって危険である。なりすましメールにだまされないためには、送信ドメイン認証の普及よりも、偽情報を見破る情報リテラシーをみんなが持つことの方が重要である。
続編:情報リテラシーを向上させるには
0 件のコメント:
コメントを投稿