IIJ AmericaVol.12 November 2008
迷惑メール最新事情 1. 迷惑メール最新事情 in 日本:迷惑メールが減っている??
迷惑メール最新事情

日本における迷惑メール規制に関する法律には、「特定電子メールの送信の適正化等に関する法律」と「特定商取引に関する法律」があります。両法律とも今年が改正時期にあたり、昨年から総務省と経済産業省で研究会などが開かれ、改正の内容について検討されてきました。

筆者は、双方の検討の場には、ほとんど参加しているのですが、そのなかで「迷惑メールは最近減ってきているのではないか」という主旨の発言を聞き、大変驚いた記憶があります。 携帯電話やISPが提供するメールサービスなどで、各種フィルタが提供されるようになり、手元に届く迷惑メールが減少したことから、そのように感じているのかもしれません。また過度な規制を牽制する目的から、何となく言ってしまったのかもしれません。しかしメールサービスを運用している側からすれば、どうしてこのような感覚の違いが生じるのか、大変不思議な思いでした。

スパムやウイルスメールに関する情報は、セキュリティベンダ各社から定期的に提供されていますが、減少傾向にあるといった報告はなされていません。しかしこれは、いずれのレポートも全世界を対象にしたものであることから、日本のユーザにとっては、何となく他人ごとのように見えている、ということではないでしょうか。

確かに、2000年ごろから大量発生するようになった携帯電話向けの迷惑メールや、米国などで大問題となっていた迷惑メール(スパム)が、日本では特定のユーザを除いて数年前まではそれほど問題になっていなかったなど、日本のメールの利用環境は少し特殊なのかもしれません。しかし正しい対策を施すためには、共通の事実認識に基づく議論が不可欠です。そのためには、日本を基盤とした信頼できるデータの提示が、今からでも十分有益なのではないか、と考えるようになりました。

メールテクニカルレポートの発行

メールテクニカルレポート

IIJでは法人向けサービスを中心に、これまでメールサービスにさまざまな機能を追加してきました。 2001年にはウイルス対策機能を標準提供し、その後も早い段階から、米国MX Logic社と技術提携を行い、2004年に迷惑メールフィルタ機能を提供し始めました。また、迷惑メール対策として有効な送信ドメイン認証技術についても積極的に取り組んでいます。

SPF(Sender Policy Framework)については2005年から送信側の対応を順次行い、2006年には業界に先駆けてSPFの認証機能およびその結果に基づくフィルタ機能を提供しました。そして、この認証機能を広く使っていただくために、2008年にフリーソフトウェアとして公開することにしました。DKIM(DomainKeys Identified Mail)の認証機能についても、2008年からIIJセキュアMXサービスで導入を開始しました。

IIJではこうした取組みをもとに、現在のメール動向および今後有益と思われる技術をより積極的に公開するために、メールテクニカルレポートを発行することにしました(メールテクニカルレポートは、インターネット・インフラストラクチャ レビューの一部として報告されます。最新のメール事情にご興味のある方は、ぜひそちらをご参照ください)。

メールテクニカルレポートでも報告されていますが、現在の受信メールに対する迷惑メールの割合は、85パーセント前後と非常に高いレベルで推移しています。これは、2007年の同時期と比較すると、13パーセント近い増加となっており、迷惑メールは今なお増加傾向にあると言えます。

コミニケーション基盤としてのメール

コミニケーション基盤としてのメール

多くのメールサーバ運用者は、こういった状況を受けて、何らかの対策をとってきました。対策の多くには、怪しい送信元からの接続をネットワーク側で制限したり、メールの内容を機械的に判断して振り分けるといった手法が用いられています。中でもネットワーク側で制御するという方法は、メールを受け取らなくていいということから、処理が簡便なため、古くから行われてきた手法のひとつです。しかし、こういった手法がいき過ぎると、メールの利点が失われる恐れもあります。

日本より迷惑メールが先に急増した米国では、多くのISPがネットワーク側で接続元を選択するブラックリストの手法が用いられてきました。実際、2003年ごろから、日本から送ったメールが届かない、という話が多く聞かれるようになり、なかには日本を含むアジア全域を対象としたブロック(を行っているのはないか)という事例まで出てきました。

当時の日本のISPは、そこまで迷惑メールがひどい状況ではなかったため、全くなんてひどいことをするんだ、という意見が大半でした。しかし今、現在の状況を見たならば、やり方の善し悪しはともかく、心情としては理解できると考える人も多いのではないでしょうか。

このように、メールを書いた実際の送信者および最終的にメールを受け取る受信者以外の判断で、メールが届いたり届かなかったりする状況が頻発すると、コミュニケーション基盤としてのメールの信頼性が揺らいできます。最近では、宛先間違いのエラーメールまで抑制される場合もあります。ここまでくると、ちょっとした宛先間違い受信者はもとより、送信者自身も届いていないことに気づかない、ということになり、コミュニケーションに齟齬をきたすことになります。

動機と技術革新

では、なぜこれほど多くの迷惑メールが送られてくるのでしょうか?

ひと昔前は、ウイルス作成者が社会的な広がりと反応を楽しんでいた状況でしたが、今日の迷惑メールの多くは、何らかの宣伝をしたり、特定のウェブサイトへの誘導を行なっていることから、最終的な目的がビジネス、利益獲得であるのは明らかでしょう。

検挙数が少ない日本であっても、逮捕された迷惑メール送信者が得ていた利益は、報道などで知る範囲でも相当な額にのぼっています。利益が得られて物理的な危険性も少ない、しかも罰則も低いとなれば、多くの人が良からぬ興味を持つのも当然です。また、迷惑メールを受け取った人も、多少迷惑であっても消せばいいだけということから、そんなに悪いことをされているという意識も持たない、というケースが多いのではないでしょうか。ただ、中には迷惑メールが意図する反応をしてしまい、実害を被るケースも少なからず発生しているという状況であることも明らかです。

また、迷惑メールの対策はいっそうむずかしくなってきました。まず、ネットワーク側のブラックリストによる対策を回避するために、特定の送信元から大量送信するのではなく、少量を多数の送信元から大規模分散的に送信する手法が考え出されました。これは、インターネットの一般利用者のPCを、ウイルスのような不正プログラムに感染させ、そのプログラムが外部からの指令を受けて送信を行うという仕組みによって実現されています。

この不正プログラムに感染させるためにもメールが利用されます。その際、添付ファイル形式で直接送られてくる場合もあれば、興味がありそうなウェブサイトのURLをHTML形式などで送信し、ウェブから不正プログラムをダウンロードさせる手法も頻発しています。また、クレジットカードや航空会社の利用履歴をかたるなどの、いわゆるソーシャルエンジニアリングの手法を用いるなど、巧妙化もいっそう進んでいます

。 迷惑メールの内容自体も進化してきました。スパムフィルタの性能がよくなると、テキストで内容を伝える方法ではブロックされてしまうため、昨年はメッセージが書かれた画像ファイルやPDFファイルだけを添付する手法が大流行しました。

また最近では、ごく短い文面とURLだけの迷惑メールが増えています。そのURLも特定のものを長期にわたって使うのではなく、頻繁に異なったドメイン名を利用するため、なかなか検知が難しくなっています。

迷惑メール対策

動機と技術革新

それでは、コミュニケーション基盤としてのメールを健全化するには、どうすればいいでしょうか?インターネットも「道路」などと同様に、利用者が増えて、その用途も多様になれば、皆が気持ちよく使うためのルールが必要になります。もともと実験的なネットワークとして発展してきたインターネットには、規制や制限などは馴染まないと考える人も多いのですが、このまま社会基盤としての発展が続くのであれば、何らかの妥協点を探さなければならないでしょう。

冒頭に記載したとおり、今年は迷惑メール関連の法律が改正され、年末には施行される予定になっています。改正の大きな柱は、未承諾の特定電子メール(いわゆる広告宣伝メールなど)を受け取ったとき、これまでは不要の連絡を行うことによって抑制するオプトアウト規制であったものが、未承諾のものは原則送ってはいけないオプトイン規制に変わったところです。これにより、不特定多数からの情報をメールで受け取る機会を失う恐れもあるのですが、不要なメールに埋もれてしまって必要なメールが見つからないという状況と比較すれば、どちらを選択すべきかは一目瞭然でしょう。事実、政府の研究会でも、オプトイン規制そのものについての反対意見はそれほど強くありませんでした。

技術的な対策についても、今後進めていく必要があります。それも、メールの受信側が過度な制限を一方的に行うのではなく、送信側と受信側の双方が協力し合うようなかたちが望ましいと考えています。そういう意味で、迷惑メールの送信についてこれまでほとんど対策してこなかった送信側も、通信の自由度をある程度制限するOP25B(Outbound Port 25 Blocking)の導入や、メールの送信元を明確にする送信ドメイン認証技術に対応することが、まず必要であると考えています。

現在の迷惑メールのほとんどは、ある意味不正な手段によって送信され続けています。それらを送信側で抑制したり、区別する手段を受信側に提供することは今後も必要です。また、こうしたルールに関しても、暗黙的に推し進めるのではなく、できる限り多くの関係者で議論していくべきでしょう。MAAWG(Messaging Anti-Abuse Working Group)やJEAG(Japan Email Anti-Abuse Group)を創設してきたIIJとしては、今後もこのような場に積極的に関わっていこうと考えています。

櫻庭秀次
櫻庭秀次

IIJ メッセンジャーサービス部 サービス推進課

日本の迷惑メール対策グループJEAG(Japan Email Anti-Abuse Group)のボードメンバーとして迷惑メール対策およびその組織運営に奔走する傍ら、国際的な迷惑メール対策グループMAAWGのメンバーとして年に数回、グローバルの動向を探りながら活動している。総務省や経産省の研究会で最近の状況を報告するなど,技術や法制面なども含めて、迷惑メール対策について多角的に調査研究を行っている。