Loading...

[ログイン] または [登録]

名称不明なホームページ

ここから広告です。
ここから本文です。

差出人は偽装可能

皆さんは、電子メールの差出人(From)を、信用していますでしょうか。もし、信用していたとしたら、今後重大な問題に巻き込まれる可能性があります。

電子メールの差出人は、実は非常に簡単に偽装することが可能です。差出人にsysadm@s.kbachaun.com(このメールアドレスは実在しません。また、特定電子メールの送信の適正化等に関する法律第2条第2号に定める特定電子メールを送信することは同法の規定並びに特定電子メールの送信の適正化等に関する法律施行規則の規定によりできません。以下同じ)と書かれていたとしても、実際はsysadm@s.kbachaun.comに成りすました他人かもしれません。

簡単に偽装できる理由ですが、実は、Fromは送信者の自己申告となっています。これは、郵便でも同じことです。郵便物に書かれている差出人は、郵送の際チェックを行いません(というより、行えません)。そのため、うその差出人を書いたとしても、宛先が正しければそのまま相手先に届きます。電子メールでも同じです。

偽装の手口

電子メールの差出人の偽装は非常に簡単です。メールを送信する際、メールのFromを偽装したいメールアドレスにするだけです。

しかし、それだけではメールのヘッダを見れば、偽装したことがばれる可能性もあります。そこで、相手のメールサーバーに直接メールを送り付けることで、偽装したことがばれにくくします。もっと念を入れるのであれば、全宛先に転送を許可した、匿名性が高い(IPアドレス等を記録しない)メールサーバーを経由することも有効です(ただし、こうしたメールサーバーは受信拒否されることが多いでしょう)。

偽装メールが多い理由

では、なぜメールの差出人は偽装されることが多いのでしょうか。メールは、送信にほとんど費用が掛かりません。そのため、広告などの送付の格好の媒体となっています。近年では特定電子メールの送信の適正化等に関する法律などもできた関係で、減ってきてはいますが、それでも広告メールを受信される方も多いでしょう。

ここで、広告メールを受信した場合、利用者が再び広告メールを受信したくないと考えたとします。その場合、メールの差出人をブロックするといったことを行う方も多いでしょう。受信者が広告メールをブロックすることで、広告効果が減少してしまいます。

広告を行う業者は、あらゆる手段を使用して広告メールを受信者に読ませようと考えます。そこで、差出人を偽装したメールを送信して、差出人のブロックを逃れようとすることを考えます。こうすれば、再び利用者が広告メールを開くことが期待されます。こうやって、差出人を偽装したメールが送信されるわけです。

ではなぜ、郵便での差出人の偽装が少ないのでしょうか。郵便の場合、1つの郵便物を送付するのに、最低50円かかります。また、印刷代や紙代(ただし郵送費だけで紙は手に入る場合もある)もかかるなど、大量に送付するには莫大な費用が掛かります。また、差出人を偽装したところで、この差出人は受け取り拒否を自動的に行うといったサービスは(こちらの確認した限りでは)存在しないので、偽装する意味もほとんどないと考えられます。そのため、差出人を偽装した郵便は少ないと考えられるのです。

偽装の対処方法

最近では、メールアドレスの差出人の偽装を見抜くための各種技術が開発されています。

SPF/SenderID

SPFやSenderIDは、メールアドレスのドメイン部が、正規に許可された送信元のメールサーバーから送信されたかを確認する規格です。許可されていないメールサーバーから送信されたメールは、差出人を偽装したメールであると判断します。

この方法を導入することで、メールアドレスのドメイン部の偽装が困難となります。また、設定や運用が簡単なため、導入しやすいのも利点です。

しかし、メールアドレスのユーザー部分(@の前の文字列のこと)の偽装は見抜くことができません。そのため、正規に許可された送信元のメールサーバーが、差出人の偽装を防ぐ構造になっている必要があります。

DomainKeys/DKIM

DomainKeysやDKIMは、送信側メールサーバーにおいて、電子メールに電子署名を行い、受信側でそれを検証することにより、正規のメールであるかを確認するための規格です。差出人を偽装してメールを送信しようとしても、偽装しようとするドメインの秘密鍵がわからなければ、正規のメールとすることはできません。

DKIMでは、ドメイン部のほかに、ユーザー部分の偽装も見抜くことが可能となるなど、機能が強化されています。また、電子署名を利用するため、メールの改ざんにも対応可能です。

しかし、メールに対して電子署名を行うため、公開鍵や秘密鍵の管理など、設定や運用が面倒な点が難点です。

偽装についての法令

最近では、差出人を偽装した広告メールが多数送信されている実情を受け、特定電子メールの送信の適正化等に関する法律(平成14年4月17日法律第26号)の第5条において、差出人を偽装した特定電子メール(特定電子メールの送信の適正化等に関する法律第2条第2号に定める特定電子メールのことを指す、以下同じ)の送信を禁止しています。

しかし、現実においては、この条文はあまり守られていません。さらに、(こちらで調べた限りにおいては)特定電子メール以外の差出人を偽装したメールについては、法的規制がないのが現状です。