PR

 「せっかくメールを自由に使えるのに,その文化を壊されるのはつらい。米国のような状況にならないうちに数年前のいい状態に戻したい」――。インターネットイニシアティブ(IIJ)の近藤学・プロダクト推進部プロダクトマネージャは語気を強めた。

 迷惑メールは,今も増加の一途をたどっている。人によって受信ボックスに届く迷惑メールの数や内容には差があるが,ひとたび届きはじめるとその数は増す一方(写真)。メール・アドレスが有効であることが迷惑メール送信者に知られてしまうと,あとはリストに沿って何度も迷惑メールが送りつけられる。迷惑メール対策技術の開発で有名な米POBOX.COMのメン・ウェン・ウォン スペシャル・プロジェクト担当CTO(最高技術責任者)は昨秋,「米国では既に迷惑メールが多すぎて,メールそのものを利用しなくなってしまったユーザーがいる」と指摘した。同じメール・システムを使う以上,日本でもメールが使いものにならなくなる日が来ないとは限らない。

 サービス・プロバイダも大きな被害を被っている。「世界全体でフィルタリングなどを使い1日32億通の迷惑メールを防いでいる。だが迷惑メールの数は依然として増加している」(マイクロソフト),「迷惑メールが全受信メールの2割程度あるうえ,最近はフィッシング・メールなども増加。さらに悪質化する傾向が見られる」(NEC)など問題は深刻だ。大量の迷惑メールがインターネット接続事業者(プロバイダ)のメール・サーバーに押し寄せて,メールの遅延が発生するといった事態が起こっている。

 もちろん,プロバイダも同一の送信元からあまりにも多くのメールが押し寄せた場合に受信を一時規制したり,ユーザーに対して迷惑メールのフィルタリング・サービスを提供するなどの対抗策を打ってきた。しかしこれらの施策は「迷惑メールが殺到してしまったのでどうするか」という後追いの側面があった。

プロバイダが「送らせない」強硬策を開始

 こうした待ったなしの状況を受け,プロバイダや携帯電話会社などが2005年3月に迷惑メール対策グループであるJEAG(Japan E-mail Anti-Abuse Group)を結成。従来よりも強硬な対策を実行に移し始めた。その一つが,迷惑メールの送信そのものを阻止する「Outbound Port25 Blocking」(以下,ポート25ブロッキング)である。

 ポート25ブロッキングは,プロバイダのメール・サーバーを除き,メール送信に使うTCPの25番ポートをブロックしてしまう手法。迷惑メール送信者の多くは,プロバイダのメール・サーバーを使わない。自前でメール・サーバーを立てて迷惑メールを大量送信したり,ほかのユーザーのパソコンを乗っ取り,それを遠隔操作して迷惑メールを送る。このような方法で迷惑メールを送れないようにしてしまおうというのが,ポート25ブロッキングである。

 今のところ,ポート25ブロッキングを実施しているのは,ぷららネットワークスとNTT-MEの2社。だが効果は早くも現れはじめている。ぷららネットワークスは,1月にボーダフォンあてのメールのブロックを開始し,その後ブロック対象をKDDIのauあてにも拡大した。技術開発部の赤桐壮人氏は「ポート25ブロッキングの実施後,ぷららからauに送られる全メール数が7割減になった。ボーダフォンあてのメールもおよそ半分に減っている」と説明。NTT-MEでも「毎月1000件前後あった迷惑メール関連の問い合わせ数が,ポート25ブロッキングを始めたあとの3月と4月には100~200件に減っている」と明かす。

 本誌が調べたところ,KDDI(DION)やNEC(BIGLOBE),IIJ,ニフティ,日本テレコム(ODN),パナソニック ネットワークサービシズ(hi-ho)など,ポート25ブロッキングを検討しているプロバイダは多い。

迷惑メールが来ないユーザーにも多大な影響

 しかし一方で,ポート25ブロッキングは迷惑メールに無縁なユーザーにも影響を及ぼす。例えば,ポート25ブロッキングを実施しているプロバイダのユーザーが,ほかのプロバイダのメール・サーバーからメールを送ろうとした場合に問題が生じる。ユーザーは,メール・ソフトの送信ポートを「submissionポート」と呼ばれる587番ポートに変更し,なおかつ,接続先のメール・サーバーのSMTP(simple mail transfer protocol)認証を受けられるようにしなければならなくなるのだ。こうした設定変更は,多くのユーザーにとって敷居が高い。

 また,多くのプロバイダが今後実施することを検討している「送信ドメイン認証」技術も,ユーザーに大きな影響を及ぼす可能性が高い。

 送信ドメイン認証は送信元アドレスを偽るなどの「なりすまし」を抑止するために使われ,フィッシング対策に有効と言われる。だが,送信ドメイン認証を使うには,送信側と受信側の両方が対応する必要がある。送信ドメイン認証にも複数の方式があるが,例えば送信側は「送信元の検証に必要な情報をDNSサーバーに公開する」といった作業を要するし,受信側は送信ドメイン認証に対応したメール・サーバーを使う必要がある。

「普通に送れば当然届く」という時代は終わりを迎える?

 送信ドメイン認証をどのくらいの割合の企業がいつ頃導入するかはまだ見えないが,いずれ送信ドメイン認証を導入しないと普通にメールを送り届けることができなくなる可能性もある。実際に「米国の金融機関などで送信ドメイン認証に対応していないメールの受信拒否が始まっている」(IIJの近藤プロダクトマネージャ)という。

 つまり迷惑メール,なかでもフィッシングのようななりすましメールを警戒する企業やプロバイダにとっては,「なりすましているかどうかを確認できないメールも受信拒否」といった厳しい受信規制がありうるからだ。送信ドメイン認証に対応したメール・サーバーを開発・販売するセンドメールは「送信ドメイン認証は1社だけの問題ではなくなるだろう」(小島國照社長)と指摘している。

 エンドユーザーも,メールが使いものにならなくなるかもしれない事態を指をくわえて見ているわけにはいかない。より厳しい受信規制を始めるユーザーが出てくることが予想される。既にニフティは,登録リストにある以外のメール・アドレスから送られてきたメールを迷惑メールとみなせるようにするフィルタリング・サービスを提供している。

 「出したメールは当たり前のように届き,相手に読まれる」という時代は終わりを迎えようとしている。迷惑メール対策は総力戦の段階に突入。あらゆるメール・ユーザーの協力を必要としている。

(山崎 洋一=日経コミュニケーション

【緊急連載 今本当に必要なセキュリティ対策】特集ページはこちらをご覧下さい。

【緊急連載 今本当に必要なセキュリティ対策】記事一覧

●(1) カカクコムが浮き彫りにした商用Webサイトの油断
●(2) 迷惑メール対策は総力戦,皆が協力しないともう止められない
●(3) IP電話に襲いかかる“スパム”や盗聴
●(4) トレンド問題が残した教訓──単一ソフトに依存する危険性
●(5) 「持ち出せなければ紛失もない」ノートPC/携帯電話の新潮流