今から6~7年前、メールが正しいアドレスから送られてきたかどうかをチェックする「送信ドメイン認証」技術が注目されたことがあった。フィッシングや迷惑メール対策として有効との考えからだ。しかし、今に至るも送信ドメイン認証はさほど普及していない。しかしここにきて、再び送信ドメイン認証に注目が集まり始めている。友人/知人をかたるメールから始まる標的型攻撃への対抗策としてである。

 標的型攻撃の始まりにはさまざまなパターンがあるが、典型的なのは、実在の人物を騙って偽のメールを送り付けてくる手法だ(写真)。攻撃者はターゲットとなる企業の担当者の情報を事前に収集するなどして、友人や知人、あるいは関係する業界団体などになりすましてメールを送りつける。そしてそこに、罠を仕掛ける。

写真●標的型攻撃メールの実例(フィンランドF-Secureの資料より抜粋)
写真●標的型攻撃メールの実例(フィンランドF-Secureの資料より抜粋)
写真●標的型攻撃メールの実例(フィンランドF-Secureの資料より抜粋)
[画像のクリックで拡大表示]

 具体的には、ウイルスが自動的にダウンロードされるようなWebページへのリンクを記述したり、ウイルスが仕込まれたファイルを添付したりといったようなものだ。しかも、これらの罠に成功した後には“正しい情報”を表示させる。このようにして攻撃者は、メール受信者が気付かないうちに、クライアントPCにウイルス(ボット)を送り込むことに成功するというわけである。

 こうした、なりすましメールにひっかからないよう、メールによる攻撃を疑似体験する訓練サービスが登場したり、政府機関が大規模な訓練を実施したりしている(関連記事)。しかし、攻撃はより巧妙になっていると言われており、個人の注意力に頼るのには限界がある。

 そこで、送信ドメイン認証を使ってなりすましメールを検知しようというわけだ。

実は地道に対応が進んでいる送信ドメイン認証

 送信ドメイン認証とは、「送信元が詐称されていないかどうか」「メールが改ざんされていないか」をメールの受け取り側で確認できるようにする技術のこと(関連記事)。大きく分けて,IPアドレスを使う「SPF」「Sender ID」と,電子署名を使う「DKIM」の二つの方式がある。

 冒頭で、フィッシングや迷惑メール対策として以前注目を集めたと過去の話のように書いたが、実は、地道に送信ドメイン認証への対応は進んでいる。ブロードバンドセキュリティ 特命 技術企画担当アーキテクトの安藤一憲氏によると、現在、送信側でSPFのポリシーを公開しているドメインからのメールは9割以上で、DKIMでサインして送信されているメールも1割程度あるという。

 大手インターネット・サービス・プロバイダー(ISP)の対応も進んでいる。インターネットイニシアティブ(IIJ)や@nifty、BIGLOBE、So-netといったISPは、SPFやSender ID、DKIMによる認証を実施している(対応している方式はISPによって異なる)。また、グーグルの「Gmail」やヤフーの「Yahoo!メール」、マイクロソフトの「Windows Live Hotmail」といったフリーメールも同様だ。もしこれらのサービスのユーザーであれば、一度、受信メールのヘッダ情報を見てみてほしい。上から数行あるいは十数行のところに「Authentication-Results」という項目が見つかるはずだ(SPFは「Received-SPF」の場合もある)。

 Authentication-Resultsは、送信ドメイン認証の結果を記述したヘッダ情報である。そこに「spf=pass」という文字があれば、SPF方式による認証が成功したことを示している。同様に「sender-id=pass」と書いてあればSender ID方式、「dkim=pass」と書いてあればDKIM方式による認証成功だ。ただ、Authentication-Resultsを見て「spf=softfail」「sender-id=softfail」「dkim=fail」といった文字を見つけたとしても、「なりすましか?」とすぐには慌てないでほしい。その理由については後述する。