今度こそ標準化? 送信認証技術「DKIM」が2007年成立へ

2005/9/27

 スパムメールやフィッシング詐欺対策として効果が期待されるメールの送信者認証技術。マイクロソフトが推進する「Sender ID」はIETFでの標準化とはならなかったが、現在、新たな送信者認証技術「DKIM」が標準化に向けて動いている。

 DKIMの標準化に向けて尽力している米Sendmailのエリック・オールマン(Eric Allman)CTOが来日し、その中間報告を行った。ちなみに余談ではあるが、同氏はDKIMを「ディーキム」と発音していた。

 DKIMは今年6月1日に発表された、現在最も新しい送信者認証技術だ。とはいえ、以前より米ヤフーが中心となって策定を進めていた「DomainKeys」と、米シスコシステムズらが提案していた「Internet Identified Mail」(IIM)の仕様を統一した技術だ。どちらも電子署名を利用して送信者を認証する技術で非常に似た仕組みだったため、統一仕様での標準化作業となった。すでにDKIMのInternet DraftsがIETFに提出されており、2007年ごろには標準化される予定だ。

米SendmailのCTO エリック・オールマン氏

 オールマン氏はまず、既存のコンテンツスキャン技術によるスパム対策が限界にきていると現状を分析する。「ほとんどのユーザーにとって、正当な電子メールの90%以上が既知の人もしくは組織からの電子メールだ。本来ならば母親や上司、普段利用している銀行などからの電子メールをスキャンせずに受け付けたいと思っている。なぜならスパムフィルターにも誤検知(False Positive)があるからだ」と語る。

 一方、「スパムメールの90%以上は知らない人か組織から送付されている」とし、何らかの送信者認証技術が不可欠であるという。そして「重要なのは送信者が名乗ったとおりの人もしくは組織であることを確認する手段だ」とする。ようするにSender IDが「どこから送られてきた電子メールなのか」という経路を認証する技術であるのに対して、DKIMは「誰が送ってきた電子メールなのか」を認証する身分証明ベースの技術ということだ。

 なお、送信者認証技術がスパムメールやフィッシング詐欺対策として取り上げられることについて、「DKIM自体はアンチスパム技術ではない。アンチスパムはDKIMの重要なコンポーネントではあるが、あくまでもコンポーネントの1つに過ぎない」と語る。DKIMの目的は、「善意の送信者があるメッセージを送信したことを証明し、メール偽造者が善意の送信者をかたることを阻止すること」だ。

 目下の脅威としてのフィッシング詐欺対策にS/MIMEを使ったソリューションを導入する企業が現れ始めた。これに対してオールマン氏は「S/MIMEを使ったソリューションを導入することでよりセキュアになるのは間違いないが相応のコストがかかる。一方、DKIMは誰もが利用できる技術であり、異なるレイヤーに属している」という認識を示す。

 同氏はDKIMのゴールとして、大規模なPKIや新規のインターネットサービスを導入せずに低コストで実現できること、信頼できる第三者機関を必要としないこと、クライアント側の電子メールソフトをアップグレードせずに利用できること、電子メールへの変更を最小限に抑えて知識の少ないユーザーでも混乱せずに利用できることを挙げる。「例えばS/MIMEを使うということはCA、つまり信頼できる第三者機関が必要となる。コストもかかるし、その第三者機関が持つ技術やシステムが必要となるため広範囲な普及につながらない」と指摘する。

 また、先行しているSender IDに対しては「現在の脅威に対してある程度の効果は期待できるが、強度が足りない」と手厳しい。送信経路の正当性を証明するSender IDでは、例えば、マーケティングキャンペーンをPR代理店などにアウトソースした場合、正規のサーバからのメールと見なされない可能性がある。

 さらにDKIMでは、将来的にはメールアカウントごと、つまりドメイン単位ではなくユーザー単位での署名も可能とし、ユーザー本人を証明するような仕組みを提供したいとしている。おそらくこれは、IIMがモバイルユーザーの利用を念頭においてユーザー単位での認証をサポートしていたことがベースにあるのかもしれない。

 さて、DKIMが標準化されたとしたら、次に来るのは送信者のレピュテーション(評価)システムである。メールを送ってきた人もしくは組織が間違いなく本物であると認証されたら、その人もしくは組織のこれまでの評価と結びつける必要がある。これには多くの方法が想定されている。

 例えば、インターネットオークションのユーザー評価のようなコラボレーションベースのものが有力視されている。これ以外にもトラフィック分析(通常時のメール送信量を測定しておき、短時間で異常なまでの大量送信があった場合はスパムの踏み台にされた可能性があると判断するなど)や、スパムメールを収集することを専用に設計されたハニーポットの利用も挙げられる。

 オールマン氏は「おそらくこれらの技術のハイブリッドが最善の方法になると思うが、いくつかのベンダは相互接続のないレピュテーションシステムに接続する可能性がある。相互接続には時間がかかるため、70%程度はオープンソースからデータを取得することになるだろう」と予測する。また、「いままで以上に、送信者は自分の行動から生じる結果(レピュテーション)に責任を持たざるを得なくなる」という側面も評価している。

 DKIMの普及であるが、「世界中の全ユーザーの何割がDKIMに対応したかということよりも、大規模な電子メールを送信する組織としてブランドを確立している企業、例えば金融やリテールがどれだけ対応したかに掛かってくる」と語る。フィッシング詐欺などに対策をしなくてはいけない組織では、標準化前の2006年中にもDKIMを実装してくると予測され、実際にSendmail社もDKIM対応を打ち出している。

(@IT 岡田大助)

[関連リンク]
センドメール

[関連記事]
迷惑メール撲滅へ、MS推奨「Sender ID」の可能性は (@IT News)
IIJ鈴木社長、スパムメールに苦戦 (@IT News)
正しいメールを正しいと通知する方法の落とし穴 (Security&Trust)
深刻化する迷惑メール。対策サービスは有効か? (Master of IP Network)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)