「フィッシング」(Phishing)と呼ばれる新手の詐欺メールの被害が増え始めている。フィッシングとは,実在する企業のWebサイトに見せかけたサイトへ電子メールを使ってユーザーを誘導し,クレジットカード番号などを入力させてだまし取る詐欺行為。こうした問題への対策として新しい技術がいくつか提案されている。しかし,どうして新しい技術が必要になるのだろうか。そもそもの電子メールのしくみだけではなぜ不十分なのか。今回はそういった点を明らかにしていこう。
フィッシング・メールでは,実在の企業のメール・アドレスを使い差出人を詐称し,「クレジット情報を更新して下さい」といったいかにもありそうな文面で被害者を誘う。フィッシングのことを知らなければ,よほど注意深い人でもこうしたメールはその企業から届いたと勘違いするだろう。そして,本当の行き先がわかりにくいように記されたリンクをクリックすると,本物そっくりに作られた偽サイトに誘導されるしくみになっている。
そもそもフィッシング・メールが本物らしく見えるのは,差出人として本物の企業のメール・アドレスを使うから。出会い系サイトの案内などのメールと違って,本文の文面もきちんとしているので,フィルタリング技術を使った既存の迷惑メール対策ではうまく排除できない。
では,フィッシング・メールはなぜ差出人を詐称できるのだろうか。それを知るには,メールをやりとりするプロトコルについて知っておく必要がある。
メール・サーバーがメールを受け取るプロセスは,SMTPというプロトコルで規定されている。SMTPではまず,TCPのセッションを張る。この時点で,受信側のメール・サーバーには送信元のIPアドレスがわかる。次に差出人のメール・アドレス,あて先のメール・アドレスが通知される。この後,メール・ヘッダーを含むメールのデータが送られる手順になる。
つまり,メールを受け取るときに得られる差出人情報は,(1)送信元のIPアドレス,(2)送信元が通知してくる差出人メール・アドレス,(3)メール・ヘッダーに記された差出人メール・アドレス――の三つになる。これらの情報が確実に正しいものなら,なんら問題はない。しかし,この三つの情報のうち,確実なのは送信元のIPアドレスだけ。残る二つの差出人メール・アドレスは,送信者のメーラーやサーバーの設定次第でどうにでも詐称できてしまう。電子メールで「差出人」として表示される情報は,もともと信用のおけないものなのだ。
SMTPがこういった仕様になっているのは,電子メールがセキュリティより利便性を優先してきたため。例えば,自宅や出張先からメールを送るときに,アクセス先のプロバイダのアドレスではなく,会社のアドレスを差出人に設定している人もいるだろう。もし電子メールが差出人の詐称を一切許さない仕様だったら,こんな使い方はできない。
とはいえ,フィッシングのような具体的な被害が出てくると,電子メールに利便性ばかり求めていられない。しかし,SMTPだけでは送信元が通知してくる差出人の情報が正しいかどうか確認できない。そこで,メールの仕様を一部変えて,差出人の身元が正しいかどうか確認できるしくみが必要になるというわけだ。
現在,フィッシング・メールを防ぐ送信者認証技術として,米マイクロソフトと米Pobox.comがIETFに共同提案している「Sender ID」や,米ヤフーが提案している「DomainKeys」がある。標準化作業と並行して,これらの技術を各種メール・サーバー製品に実装する作業も進められている。標準化が完了し,フィッシング・メールを防ぐ送信者認証機能が当たり前に使えるようになる日も近い。
______________________________________________
名为“网页仿冒”(Phishing)的新型欺诈邮件受害开始增多。所谓网页仿冒,就是利用电子邮件将用户引诱到模仿某个实际企业的网站上,诱骗他们输入信用卡号码等来进行欺诈的行为。针对这一问题,已经有人提出了多项新技术。但为什么非要采用新技术呢?仅靠原来的电子邮件技术为什么就难以应对呢?在这里我们就对这些问题进行解答。
在网页仿冒邮件中,发件人冒充某个实际公司的邮件地址,利用“请更新信用卡信息”等看起来很正常的字眼的来引诱受害者。如果不了解网页仿冒的话,即便是很仔细的人也会把邮件当成真的是来自这家公司。然后点击一个很难弄清楚真正去向的链接,就被引诱到一个酷似真网页的假冒网站上。
网页仿冒邮件之所以看起来象是真的,就在于发件人使用了真正企业的邮件地址。与链接到约会网站的邮件不同,由于正文的内容非常正规,所以利用过滤技术等现有反垃圾邮件对策还难以阻拦。
网页仿冒邮件为什么能够冒充发件人呢?要弄清这个问题,需要了解邮件发送过程中的协议。
邮件服务器处理邮件的步骤是由SMTP这种协议来规定的。SMTP首先要求进行TCP对话。这个时候接收方的邮件服务器知道发信方的IP地址。然后通知发件人的邮件地址和收件人的邮件地址。最后再发送包括邮件头在内的邮件数据。
也就是说,在接收邮件时获得的发件人信息有三项:(1)发信方的IP地址;(2)发信方通知的发件人邮件地址;(3)邮件头部内记述的发件人地址。如果这些信息都准确的话,自然也就没什么问题了。但在这三项信息中,只有发信方IP地址是确凿可靠的。另外2项的发件人地址由于发件人邮箱或服务器设置问题,总是可以冒充的。电子邮件中显示的“发件人”信息,本来就毫无信用可言。
在SMTP标准中,一直是将电子邮件的安全性放在便利性之后。例如,在家里或出差地发送邮件时,有的人设定的发件人不是当时登录的网页地址,而是公司的地址。如果电子邮件使用的标准不允许冒充发件人的话,就不能这么使用了。
虽说如此,由于出现了网页仿冒这样的受害问题,电子邮件就不能再一味追求便利性了。但仅靠SMTP还是难以确认发信方通知的发件人信息是否准确。因此,需要对邮件标准作部分修改,增加能够确认发件人身份是否准确可靠的内容。
在防止网页仿冒邮件的发件人认证技术方面,目前有美国微软及美国Pobox.com与IETF联合提出的“Sender ID”、美国雅虎提出的“DomainKeys”。在进行标准化作业的同时,也正加紧把这些技术安装到各种邮件服务器上。随着标准化的完成,我们很快就能用上防止网页仿冒邮件的发件人认证功能了。
日语应试
