米国で本格的に始まるスパム対策，しかし大手3社の足並みそろわず

小久保重信

2004.03.12

　米国でようやく，その実効性が期待されるスパム・メール対策が始まる。米Microsoftが2月24日に発表した「Caller ID for E-Mail」がその1つだ（関連記事）。Caller IDサービスとは電話の発信者番号通知サービスのこと。電子メールでもこれと似た仕組みを作って，スプーフィングと呼ばれる“なりすまし”メールを減らそうという狙いである。

　米AOL（America Online）も取り組みを始めている。今年1月から同様の技術を使って，全世界3300万人の同社会員を対象にしたシステムのトライアルを開始した。また，米Yahoo!も，暗号認証を使って差出人の身元を検証するシステムの試験を始めると発表した（関連記事）。

　オンライン・サービスを手がける大手3社が，それぞれに本格的なスパム対策を始めるわけだが，「おやっ？」と思った方もいるのではないだろうか。実はこの3社，ほぼ1年前に「3社協力のもと，スパム対策に取り組んでいく」という共同声明を発表している。その内容は「プラットフォームに関わらず採用できる技術標準と業界ガイドラインを促進していく」というものだった（関連記事）。しかし1年後に出てきた対策技術は足並みはそろわず，別々のものになった。今回はこの3社のスパム対策について考えてみたい。

■身元詐称のメールをスパムと見なす

　まずMicrosoft社のCaller ID for E-Mailについて簡単に説明しておく。Caller ID for E-Mailとは差出人メール・アドレスのドメイン（@以下の部分）を調べ，そのメールが本当にそのドメインが所属するSMTPサーバーから送られてきたものかをチェックする仕組みだ（詳細記事）。

　例えば，スパム送信者のAという人物が，Microsoft社のインターネット・サービス「Hotmail」の会員を装って自分のメール・クライアントの差出人欄に「○×△@hotmail.com」と入力，Bという人物に送信したとする。このメールはAが加入するISPのSMTPサーバーを経由して，Bの加入するISPのSMTPサーバーに届く。

　このとき，BのSMTPサーバーがCaller ID for E-Mailに対応していれば，まずそのメールの差出人アドレスを調べる。そこには「○×△@hotmail.com」と書いてあることから，hotmail.comのDNSサーバーに対し，hotmail.comで使っているSMTPサーバーのIPアドレスを尋ねる。すると例えば「65.54.247.109」「216.33.241.106」「207.68.163.86」といった答えが返ってくる。しかしこのメール内に記述されているSMTPサーバーのIPアドレスは「80.34.201.194」で一致しない。よって，hotmail.comアドレスを名乗ったこのメールは身元詐称と考えられるというわけだ。

　Microsoft社では，このCaller ID for E-Mailの発表と同時に，hotmail.comのIPアドレスを公開している。また，hotmail.comのSMTPサーバーをCaller ID for E-Mailに対応させ，会員あてに届くメールをフィルタリングすることも計画中である。

■AOLが導入するのは「SPF」

　AOL社が行っているトライアルも同様の仕組みを利用している。というよりも，同社が採用しているのは，「SPF（Sender Policy Framework）」（旧称はSender Permitted From）と呼ばれる認証プロトコルで，業界ではこちらの方がよく知られていた。SPFは昨年の10月に，「RMX（Reverse Mail Exchange）」「DMP（Designated Mailers Protocol）」といった同様の認証プロジェクトとともに共同プロジェクトを発足させている。この新たなプロジェクトは，IETF（Internet Engineering Task Force）やIRTF（Internet Research Task Force）の下部組織であるASRG（Anti-Spam Research Group）からも後押しされているという。

　SPFのWebサイトの記述によれば，Microsoft社のCaller ID for E-Mailは，SPFの「近親者」というくらい似ているという。そんな両者の違いは，SPFがメールのエンベロープ部の「Return-Path」に注目しているのに対し，Caller ID for E-Mailは，メール本文内のヘッダー情報の差出人に注目している点である。

　スパム送信者は無作為に架空の差出人アドレスを生成し，また無作為にあて先アドレスを生成してスパムを送る。このとき差出人アドレスが実在のものであれば，そこに大量の配送エラー・メッセージが届くことになる。こうした状況からユーザーを守ろうと考えられたのがSPFという。

　一方で，メール本文内のヘッダーにある差出人は実際にユーザーが目にするもの。ここに米eBayや米PayPalの担当者を装った差出人を記述し，ユーザーを信用させ，クレジット・カード番号などを盗むという行為が横行している。Caller ID for E-Mailでは，こうした被害が減らせると考えられている。

■MSの特許ライセンスに懸念の声

　実はSPFとCaller ID for E-Mailにはもう1つ大きな違いがある。それはMicrosoft社がCaller ID for E-Mailの特許を主張していることである。米メディアによると，特許は申請中で，現在ペンディング状態ということだが，Microsoft社はその特許範囲について明らかにしていない。また，同社はこの技術を標準化団体に提出せず，サード・パーティーにライセンス供与していくことを明らかにしている（Microsoft社は同技術の仕様公開と同時に，ライセンスも公開した）。

　同ライセンスは，ロイヤルティー・フリーで提供されるということだが，IRTFのJohn Levine氏によれば，そのライセンスに書かれている内容はMicrosoft社の意図が分かりにくいものになっているという。「（ライセンスの記述では）Microsoft社がライセンス供与を突如としてやめ，ある日突然，『Windowsにバンドルしました』と言うことも可能」（同氏）という。「同社は標準化団体を関与させないという姿勢。こうした状況では，Caller ID for E-Mailが永久にオープンでロイヤルティー・フリーであることを明確に示す必要がある。そうしなければコミュニティの不安は消えない」というのが同氏の意見である（掲載記事）。

■Yahoo!は暗号認証方式だが・・・

　3大オンライン・サービスのもう1社，Yahoo!社の場合は少し違う方法をとっている。公開鍵／秘密鍵を利用してメールを認証するシステム「DomainKeys」である。これはすべてのメールに暗号化した署名を付けて送信するというもの。この署名は差出人の秘密鍵を使って，メール送信時に生成され，ヘッダー部分に埋め込む。そのメールが受信側のサーバーに届いた際，サーバーは差出人アドレスのDNSサーバーから公開鍵をもらって，署名を認証する。もしその公開鍵で認証できなかったら，差出人アドレスは偽りということになる。

　これもSPFやCaller ID for E-Mail同様，差出人アドレスが正規のものであるかを確認する方法だ。ただし，この場合，新たに暗号鍵や，公開の仕組み，暗号処理のシステムも提供していかなければならない。一気に普及させるには少し難があるだろう。

　難があると言えば，Microsoft社が提案しているもう1つの対策もそうかもしれない。もうお気づきの方も多いと思うが，Caller ID for E-Mailは万全でない。これが対処できるのは，メール・アドレスのドメインと送信サーバーのIPアドレスの対応が異なった場合のみ。つまり，メール・アドレスを偽っていなければスパムを送ることは可能だ。不正な方法で正規のメール・アドレスを取得したり，人のパソコンを踏み台にしてスパムを送るといった手口には対応できない。

　そこで，Microsoft社が提案しているのが，認定制度である。その概要が同社の発表資料に掲載されているので，それをもとに簡単に紹介する。

■小企業はプロセサ・パワーの使用で免除される

　これは「IETAs（independent e-mail trust authorities）」と呼ぶ第3者機関を設置し，ここで，大量の電子メールを送ることができる企業を認定しようというものである。例えば，銀行，証券会社，航空会社といった大手企業を想定している。顧客への情報提供をメールに頼っている企業だ。こうした企業はお金を支払ってこの機関の認定を受ける。またポリシーに沿った方法でメールするよう義務づけられる。こうした企業から送信されるメールには安全シールが付けられ，受信サーバーのフィルタリングの対象外になるという仕組みを作るという。

　では，認定のための費用を負担できない，小企業はどうずればよいのか？　それにはお金を支払う代わりに，自社コンピュータのプロセサ・パワーを使うことで認定を与えるという方法をとるという。通常，メールを1通送るのには1秒とかからない。これを5～10秒程度かかるようなシステムに切り替えさせる。つまり1通のメールの送信処理にかかる時間を増やし（おそらくソフトウエアで複雑な計算をさせるのだと思うが），その代わり認定費用を支払わなくてもよいという条件とする。そうして送信されたメールには同様にして安全シールが付けられ，受信サーバーのフィルタリングにひっかからない。

小さな企業は大手のように大量にメールを送らないので，1通の送信に10秒かかってもあまり影響がない。しかしスパム業者にはこれが大きな痛手となるというわけだ。

◇　　◇　　◇　　◇　　◇　　◇

　この原稿を書いていた米国時間3月10日，折しも米国でMicrosoft社，AOL社，Yahoo!社，そして米EarthLinkの4社が，米国のスパム対策（CAN-SPAM）法に違反したスパム業者などを相手取り，6件の訴訟を起こした（関連記事）。

　このニュースを見てがっかりしたのは筆者だけではないだろう。3社が昨年，華々しく発表した業界挙げての協力体制。その1年後の具体的な成果が単なるスパム業者探しだったとは・・・。ここで述べてきたように，現在の3社の技術はまちまち。このままでは本格普及はいつになることやら，である。対策は急務。犯人捜しはほかの機関に任せ，一刻も早く技術面で協力体制を築いて，スパムメールを封じ込めてほしい。