家族に忍び寄るフィッシング詐欺の脅威 　 いまこそ必要な迷惑メール対策ソリューション

インターネットイニシアティブ 技術本部 技術開発部 主任 櫻庭秀次氏

　「もうすぐメールが使えない時代がやって来る!?」において、欧米では電子メールの6〜7割を迷惑メールが占めている現状と、迷惑メールの増大が企業活動に与える影響を紹介した。

　個人ユーザーにとっては、迷惑メールの増大以上に深刻な危険性が迫っている。スパマーがフィッシング詐欺のターゲットにしているのは企業ではなく個人であり、この観点からの対策を検討する必要がある。

　インターネットイニシアティブ（以下IIJ） 技術本部 技術開発部 主任 櫻庭秀次氏によると、迷惑メール（特にフィッシング詐欺メール）はより進化してきているという。これまでのフィッシング詐欺メールの多くは英語だったため、日本では比較的被害が少なかった。だが、2005年3月に出回ったUFJ銀行を騙るフィッシング詐欺メールのように、日本語によるメールも登場。幸いにも「UFJを騙ったメールは稚拙だった」（櫻庭氏）が、日本語フィッシング詐欺メールが海外並みに巧妙化するのは時間の問題であると指摘する。

UFJ銀行を語ったフィッシング詐欺メールのリンク先。UFJ銀行の本当のサイトとほとんど見分けがつかない（URLに注目）。IIJでは迷惑メール度合いを判定し、そのスコアに基づきメールを振り分ける迷惑メールフィルタ機能を提供。このフィッシング詐欺メールに対して迷惑メール率99％のスコアが付けられた（画面をクリックすると拡大します）

　もう1点、指摘しておかなければならない。＠ITにアクセスしているあなたは、フィッシング詐欺に引っかかることはないだろう。だが、あなたの家族は大丈夫だろうか？ 家族全員にあなたと同じ判断能力を要求するのは難しいのではないだろうか？ これからは、あなただけでなく家族も守れる手段が必要なのである。

　IIJは、個人向けブランド「IIJ4U」「IIJmio」において、迷惑メール対策サービスとして迷惑メールフィルタ機能を提供している。必要な機能をあらかじめパックし提供するIIJ4Uの場合は、オプションサービスとして「ウイルスプロテクション」（月額210円）を提供している。必要な機能を自由にセレクトできるIIJmioでは、セキュリティ機能充実の「セーフティメールサービス」（月額525円）、独自ドメイン名対応の「パーソナルドメインサービス」（月額3990円）、SLA対応の「プライムメールサービス」（月額1万500円）の3つのラインアップがあり、迷惑メール対策機能が標準で提供されており、追加料金は必要ない。いずれのサービスも、スパムとウイルスメールをまとめてフィルタ処理できるため、フィッシング詐欺メールなどの脅威から身を守る効果が期待できる。

　すでにほかのISPと契約してメールを活用している人にとって、メールアドレスの変更は抵抗を感じるだろう。

　アドレスを変更したくないが迷惑メール処理機能は利用したいという人にお勧めなのが、IIJmioのセーフティメールサービスである。ほとんどのISPは、メール機能としてメール転送サービスを提供している。そこで、既存アドレスあてのメールをIIJmioへ転送するように設定する。そして、メール受信時はIIJmioのPOP3サーバへアクセスすると、スパムやウイルスメールをIIJmioのメールサーバで判別してフィルタできるので、読みたいメールだけを確実に受け取れるという仕組みだ。送信時は既存ISPのSMTPサーバを使えばよい（IIJmioのSMTPサーバを使うこともできる）。メールソフトの設定でPOP3サーバを変更するだけで、これまでどおりメールの送受信ができるというわけだ。これを家族のアドレスにも同様に設定することで、さまざまな脅威を回避できることになる。これならば、あなたの家族も違和感なく使えるだろう。

　また、セーフティメールはメールを利用する際の接続環境に左右されないため、ISPを解約してもメールアドレスは変わらないというメリットがある。ISPを渡り歩いている方は、メインで使用するアドレスとして活用すると便利かもしれない。

　簡単に利用できるとはいえ、迷惑メール対策機能が優れていなければ意味がない。そこで、迷惑メールに対するIIJの取り組みと迷惑メール対策ソリューションの優位点をあらためて紹介する。

■迷惑メール対策への取り組み

　2005年3月、国内主要ISPおよび携帯キャリアなどによって、迷惑メール対策ワーキンググループ「Japan E-mail Anti-Abuse Group（JEAG）」が創設された。IIJは発起人（6社）に名を連ね、創設とJEAGの活動自体において中心的な役割を担っている。

　JEAGには、現在4つのワーキンググループが存在する。

• 送信ドメイン認証技術
  
• Outbound Port 25 Blocking
  
• メール管理者および利用者への迷惑メール対策の啓蒙
  
• 携帯あて迷惑メール対策

　現在、迷惑メール対策に効果的な技術として注目されているのが、送信ドメイン認証だ。送信ドメイン認証技術は、DNSを利用してメール送信者の認証を行い、ウイルスや迷惑メールなどで使われるドメイン名詐称を防ぐ技術である。特に実害が発生するフィッシング詐欺には効果的であるといわれている。IIJは、JEAGでの検討と並行して自社ドメインに導入し、検証を行っている。この技術は、十分な検証を経たうえで、今年度中に個人ユーザーにも導入を予定している。

送信ドメイン認証技術の仕組み （1） メールの送信側は、ドメインの認証情報（送信元メールサーバやメールに添付する電子署名の公開鍵など）をDNSで公開 （2） 受信側メールサーバは、送信側ドメインのDNSへ認証情報を照会し、メールの正当性を確認する （3） 検証結果を基に、受け取りの可否を判断したり、メールのヘッダなどに付加するなどにより受信者に注意を促す

　以上のように、送信ドメイン認証技術は、メールの送信側と受信側がともに利用することにより初めて効果を発揮する。IIJは常に他社と協力して業界全体で迷惑メール問題に取り組む体制作りを行っているのである。

■MX Logic社との緊密な提携

　 「もうすぐメールが使えない時代がやって来る!?」で説明したとおり、米国MX Logic社の迷惑メールフィルタ機能はスパム検出率最高98％を実現し、他社の追随を許さない。この高い検出率を維持するため、IIJはMX Logic社と緊密な協力関係を築き、日本の特殊事情にも対応できるようスパム対策エンジンの共同開発を進めている。

　常に快適なメール環境を提供するためにさまざまな研究・技術開発を行い、その技術をユーザーへフィードバックする点が、IIJ迷惑メール対策ソリューションの強みなのである。