Security&Trust トレンド解説

Sender IDはスパム対策の切り札となるか!?

鈴木淳也(Junya Suzuki)
2004/9/25


 Sender IDの利用に「待った」をかける
 オープンソースコミュニティ

  もともとIETFには、Wong氏のSPFと米MicrosoftのCaller ID for E-mail以外にも、多数の対スパム防止技術が提出されていた。だがMARIDでは2004年5月、Sender IDの標準化を早めるために、同時に検討が進められていた「Client SMTP Validation(CSV)」などの技術を追加案件という扱いにし、この2つの技術に的を絞ることにした。これにより早期にSender IDの標準化を完了し、多くの関連メーカーやISPの支持を取り付けることで、Sender IDが対スパム戦争の最前線に早期投入されることが業界全体で期待されていた。

  だが数カ月が過ぎ、状況は一変する。世界で最も利用されているWebサーバの1つ「Apache」をはじめ、数多くのWebアプリケーションのオープンソースプロジェクトを抱える米Apache Software Foundation(ASF)は9月2日、標準化作業が進められているSender IDのサポートを行わないことを突如発表したのだ。ASFではその理由を「MicrosoftがSender ID利用で要求するライセンス内容が、Apacheなどの考えるオープンソースとはかけ離れたものだ」と説明する。これに続く形で、Linuxディストリビューションの1つDebianも、Sender IDのディストリビューション内でのサポートを拒否している。

  Sender IDに関しては、前月8月30日に米Sendmailが「milter」と呼ばれる(「mail filter」をもじった言葉のようだ)、メールサーバ「sendmail」用のスパムフィルタのMTA(Mail Transfer Agent)モジュールのテスト版を公開している。ご存じのように、sendmailはメールサーバアプリケーションとしては、最もポピュラーな製品である。そのほかにも、米America Online(AOL)やVeriSignなどがSender IDのサポートを表明しており、ASFが反対の意を表明するまでは、業界全体としてSender ID全面支持に近い形で推移していくものと考えられていた。ではなぜ、このような状況になってしまったのだろうか。

 Microsoftでは、Sender IDを構成する同社技術の利用に関してライセンス契約を要求している。だが、このライセンスは利用料を徴収するといったものではなく、実際のところロイヤルティーフリーとなっている。では、何が問題になるのだろうか。ASFがMARIDにあてたメッセージには、「Microsoftの要求するライセンス体系は、オープンなインターネット標準を目指すオープンソースの考え方とは合致しないものだ。特に『Apache License 2.0』の考えに大きく反する」と書かれている。Microsoftでは利用料を請求しない代わりに、いくつか利用上の条件を提示しているが、そのうちの一部が問題になるという。

 Open Source Initiative(OSI)の法律顧問のLarry Rosen氏の分析によれば、2つの点で問題になることが予想されるという。1つは、Sender IDを利用するISPなどは、その状況いかんにかかわらず、利用者(つまりISPのメールサービスを利用するユーザーすべて)の情報をMicrosoftに開示しなければいけない可能性があるということだ。そして2つ目は、Sender IDに関してMicrosoftが申請中の特許の内容について、同社がIETFに報告を行っていないという懸念である。つまり現状のライセンス体系では、Sender IDを組み込んだ製品に特許表示が必要なだけでなく、その影響範囲が利用者にまで及ぶ可能性があり、その先行きについても不透明なのだ。ASFでは、Microsoftが現状のライセンス体系を維持する限り、Sender IDのサポートを行うことはないと主張している。

 ライセンス形態維持にこだわるMicrosoft

 この原稿の執筆中にも、状況が変化しつつあるようだ。WebニュースサイトのCNET News.comの報道によれば、9月11日にMARIDの会合において、MicrosoftがSender ID向けの仕様として特許を申請する可能性のある技術を、Sender IDの仕様として盛り込むことを否決したという。影響範囲がどこまで及ぶのかは不明だが、もともとSPF自体の評価が高く、その信頼性をさらに高めるためにMicrosoftのCaller ID for E-mailの技術を加えたという経緯もあり、仮にSender IDがSPFのみで構成されたとしても、スパム防止技術として成り立たないわけではない。Microsoftとしては、Sender IDに自社の技術が含まれるいかんにかかわらず、SPFベースのメール認証を柱に製品展開を進めていくとしている。

 ではなぜ、Microsoftはオープンソース陣営と摩擦を起こしてまでライセンス形態の維持にこだわるのだろうか。その答えは、同社の特許戦略にある。米Microsoft会長のビル・ゲイツ氏は今年2004年夏に開かれた金融アナリスト向けの年次ミーティングにおいて、「Microsoftは2003年に2000件以上の特許を申請しており、2004年はさらに3000件の特許申請を行う予定だ」と述べている。企業別で見れば、昨年は米IBMが約3400件の特許を取得しており、あらゆる業種を対象にした企業の中でトップに君臨している。Microsoftでは、IBMに匹敵するほどの数多くの特許を出願することで、特許の他社へのライセンス供与による収入を同社の収益の柱とする計画だ。

  この部分だけを見ると、Microsoftの独占体制への一歩としてオープンソースコミュニティが懸念を表明するのも納得のいく話だ。だがこれはMicrosoftにとって、同社を訴訟から守るための数少ない自衛手段の1つだという側面もある。

 もともとMicrosoftは、特許取得に対してあまり積極的な企業ではなかった。通常、IT業界をはじめとする産業界では、同業者同士がお互いの保有する特許を相互ライセンスしあうことで特許紛争を回避する「クロスライセンス」が一般的に行われている。特に巨大企業ほど特許紛争の標的として狙われやすいため、特許を積極的に取得し、クロスライセンス戦略を積極的に押し進めることで、こういったリスクを回避している。だが保有特許の少なかったMicrosoftでは、他社とクロスライセンスを締結するのが難しかった。

 そこで同社が取った戦略は、PCメーカーなどにWindowsのOSライセンスを与える代わりに、Microsoftに対して一切の特許紛争を持ち込むことをライセンス契約の中で禁止するという方法である。Windowsの圧倒的シェアを使って、潜在的な訴訟リスクを除去するのだ。だが、2003年の欧州での反トラスト法裁判の結果に見られるように、このような他社にとって圧倒的に不利な条件を前提としたライセンスの締結が、今後非常に難しくなっていくことが予想される。

  ライセンスの縛りが消えた瞬間に、Microsoftは訴訟リスクを抱え込むことになる。特に、IBMなどの特許数では群を抜く企業のほか、日本のメーカーのように鍵となる特許を数多く保有する企業を相手にするとひとたまりもない。そこで、Windowsライセンスの縛りによる訴訟リスク回避戦略から、特許取得によるクロスライセンス戦略へと、自衛手段を変更しつつあるのだと予想される。特にSender IDなどのケースにおいては、ソフトウェア企業やISPなど対象が広く、その効果は高い。

 Sender IDの今後

 SendmailやAOLをはじめ、すでにいくつかの主力ソフトウェアベンダやISPがSender IDのサポートを表明しており、時間の経過とともにサポート範囲は広がっていくだろう。送信元メールサーバがSender IDをサポートしなければ認証は行えないため、今後この技術が成功するかどうかは、どれだけ多くのメールサーバのサポートを得られるかにかかっている。

 今後のシナリオとしては、3つの可能性が考えられる。1つ目は、Microsoftの技術がSender IDから外され、オープンソース陣営からも支持を得られること。2つ目は、Microsoftがライセンス契約の部分で譲歩し、オープンソース陣営と和解すること。3つ目は、両者ともに譲らず、オープンソース陣営ほかが標準技術としてSender ID以外の技術をサポートする可能性である。

 1つ目のシナリオは、つい先日報道されたニュースにより可能性が浮上してきたものだ。まだ影響範囲や投票による否決の効力がどれほどあるのかが未知数なため断定はできないが、MARID側が調整期間を余分に取られることを避けるために、この手段を選択する可能性は十分にある。その場合、Microsoftは独自のインプリメンテーションをExchange Serverなどの製品に施すことが考えられる。

 前述のニュースを聞くまで筆者自身が予想していたのが、2つ目のシナリオだ。オープンソース陣営にとってSender IDをサポートしないことによるデメリットはほとんどなく、困るのは仕様の提案者であるMicrosoftや調整を行っているMARIDの方である。特に、ユーザーからセキュリティホールに関する突き上げを受け、自身は「Trustworthy Computing」を標ぼうして60億ドル近いセキュリティ研究開発予算をつぎ込んでいるMicrosoftにとって、アンチスパム技術は重要なキーコンポーネントの1つだ。少しの話し合いの後、何らかの形でライセンス条項を緩めて譲歩する可能性もある。

 3つ目のシナリオは、どの陣営も可能であれば避けたい事態だろう。今回のSender IDでは、数ある技術の中からあえて2つの技術だけが選択され、標準化が進められている。この規格策定に漏れた技術を担ぎ出して、Sender IDとは別のアンチスパム標準として売り出すベンダが出てくる可能性もある。特にITの世界においては、ユーザーが主体になって標準を決定することも起こり得る。だが、MARIDではこうした事態を一番恐れていると予想されるため、このシナリオが現実になる可能性は低いだろう。

 いずれにせよ、現状のSender IDで防止できるのは送信元の特定と、その検証によるスパムメールおよびフィッシング(と思われるメール)の排除である。スパム業者が正規のメールサーバを使い始めたら、次はどのドメインがスパム業者のものかを特定するリスト作りが始まり、結局のところ業者とベンダ/プロバイダとのイタチゴッコになる。Sender IDではスパム送信手段の1つを封じたにすぎない。Sender IDの登場は、これから始まるアンチスパム技術開発の序章なのである。

2/2


Index
Sender IDはスパム対策の切り札となるか!?
  Page1
Sender IDでできること、できないこと
Page2
Sender IDの利用に「待った」をかけるオープンソースコミュニティ
ライセンス形態維持にこだわるMicrosoft

Sender IDの今後


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間