本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
DomainKeysってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化を速めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマは「DomainKeys」。増えつつあるフィッシング詐欺や迷惑メール対策に有効な送信ドメイン認証技術を、あなたはご存知ですか?

DomainKeysとは

DomainKeys(ドメインキーズ)とは、「ヤフーが推奨する電子メールの送信元ドメインを認証するための技術」のことで、Yahoo!メールでは2005年12月からメール送信時の署名とメール受信時の照合にDomainKeysの利用を開始した。DomainKeysに対応したメールサーバを使ってメールの送受信を行うと、送信元を偽装した迷惑メールやフィッシング詐欺を防止することができるようになる。ただし、DomainKeysはメールの送信元メールアドレス(ドメイン)を偽装する行為(なりすまし)を防ぐための技術であり、メール本文や添付ファイルの内容を保証したり、メール送信元の個人を認証したりするものではない。

【DomainKeysを体験する】

説明はこれくらいにして、早速、実際にDomainKeysで署名されたメールを体験してみよう。Yahoo! メールでメールアドレスを取得(無料)したら、そのアドレスからそのアドレス宛にメールを送信してみよう。すると暗号化された電子署名が自動添付されたメールが送信される。このメールを受信してみると、受信メールのFromヘッダの下段に「DomainKeysは、このメールが ○○○ から送信されたことを確認しました。」(図1の赤枠部分)といった電子署名の照合結果が表示される。

図1 DomainKeysで署名されたメールを受信すると… 図2 Yahoo!メールの詳細ヘッダ

(クリックすると大きな画像が表示されます。)

Yahoo! メールのヘッダをさらに確認するために、Yahoo! メールの画面右上にある「詳細ヘッダ」をクリックする(図1)。すると、DomainKeysに対応しているメールサーバからメールを送信した場合にはメールヘッダに「DomainKey-Signature」という電子署名が追加され、DomainKeysに対応しているメールサーバでそのメールを受信した場合には、その照合結果が「Authentication-Results」に表示される(図2)。

【なぜ送信ドメイン認証技術が必要なのか】

DomainKeysが登場した背景には、フィッシング詐欺の急増がある。現在、Eメールを取り巻くおもな脅威には、「ウイルスメール」「迷惑メール」「フィッシングメール」があり、「ウイルスメール」と「迷惑メール」については、ウイルススキャン、迷惑メールフィルタ、大量メール送信の監視、アカウント大量取得の防止といった対策が進められている。
 一方、フィッシング詐欺については、例えば米国では毎月1万件以上のフィッシング詐欺が報告されており、日本国内でも2004年ごろから著名な金融機関を装ったフィッシングメールの存在が確認され始め、実際の被害も多発するようになってきた。こうした偽サイトへはメールから誘導されるケースが非常に多く、またフィッシングメールの90%以上が送信元を詐称(なりすまし)していることから、フィッシングメールにも積極的な対策が求められるようになった。そこで、考え出された対策の1つが送信ドメイン認証技術である。

DomainKeysの仕組み

前章でDomainKeysを体験してもらったのでもうお分かりだと思うが、この送信元のドメイン認証を利用するにあたって、利用者側で必要になる作業は1つもない。ただ、受信メールのところに表示される照合結果を確認するだけでよい。それでは一体、DomainKeysの仕組みはどうなっているのだろうか。
 DomainKeysはISPや金融サービス各社、オークションサイトなどのメールサービス側が対応すべき仕組みになっている。つまり、メールのFromを詐称する「なりすまし」行為に対抗するには、送信メールサーバ側で「なりすまし」ではないことを証明する必要があり、受信メールサーバ側では「なりすまし」であるかどうかを判別する必要がある。そこで、DomainKeysでは図3のような仕組みでこの両方を実現している。
 まず、オープンソースのOpenSSLなどを使って秘密鍵と公開鍵を作成する。そして、DomainKeysを導入した送信メールサーバに秘密鍵を設置し、公開鍵はDNSサーバに登録しておく。送信メールサーバはメールを送信するたびに秘密鍵を使って電子署名を作成し、それを送信メールのヘッダに添付する。そして受信メールサーバはDNSサーバに公開されている送信元の公開鍵を使って電子署名の照合を行い、その結果をメールヘッダに添付する。

図3 DomainKeysの仕組み

資料提供:ヤフー

■IPアドレスを利用した認証技術
 DomainKeysは電子署名を利用した方式だが、これ以外にも送信ドメイン認証技術は存在する。例えば、マイクロソフトが中心となって提唱している「SPF/Sender ID」がある。これはMeng Wong氏の「SPF」(Sender Policy Framework)とマイクロソフトの「Caller ID for E-Mail」を統合したIPアドレスベースの送信ドメイン認証技術だ。受信メールの送信元のIPアドレスと、そのIPアドレスから判明したドメインでDNSを参照してIPアドレスを取得し、両者を比較することで認証を行う。この方式を導入すれば、フィッシングメールや迷惑メールが大手ISPなどの著名なドメインを勝手に使うことが難しくなる。SPF/Sender IDでは、メールの自動転送設定をしている場合には送信先が異なってしまうことから正しく認証されなくなるが、DNSにSPFレコードを記述するだけで対応できるので、メール発信側としては手軽に導入できる。

DomainKeysの将来

【DKIMで標準化】

DomainKeysの近未来の姿はもう見え始めている。それはDKIM(ディーキム:DomainKeys Identified Mail)だ。DKIMはヤフー、シスコシステムズ、Sendmail、PGPの4社が標準化団体IETF(Internet Engineering Task Force)に提出した規格で、ヤフーのDomainKeysとシスコシステムズのIIM(Internet Identified Mail)の2つを組み合わせて作られている。IIMも電子署名を利用した認証技術の1つであり、不正メールを認識したらその検証プロセス結果に応じてユーザーが定めたポリシーを適用することができることから、DomainKeysとIIMを統一した仕様で標準化を進めることになった。
 DomainKeysとDKIMの大きな違いは、DomainKeysはドメイン単位で認証を行うのに対し、DKIMは送信者アドレス単位で認証を行うことも可能になっている。現在のところ、DKIMとDomainKeysの間に互換性はないが、近いうちに(年内にも)DomainKeysからDKIMへスムーズに移行できるようになると予測されている。

【レピュテーションとの連携】

DKIMが標準化されて普及段階を迎えた場合、その次に送信者のレピュテーション(reputation:評価)も大きな課題となる。つまり、メールが本物であることを認証しただけでは不十分であり、メールの送信元に「信頼度」という概念を導入して、信頼度が高いサイト(個人または組織)からのメールは受信し、信頼度の低いサイトからのメールは「迷惑メールまたはフィッシングメールの可能性が高い」と判断してメールの受信を拒否しようというものだ。すでに、いくつかのベンダーからレピュテーションサービスが提供されていて、こうしたサービスとの連携もさらに重要度を増していくだろう。

取材協力 :ヤフー株式会社

掲載日:2009年3月11日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2006年4月19日掲載分

検索

このページの先頭へ