前回、前々回とフィッシングメールに関するお話をしました。
そんな折、2024年の2月までにGoogleのGmailが迷惑メール対策を強化するというニュースが飛び込んできました。
Gmail側としても、迷惑メール(フィッシングメール)が増えていることに危機感を持っているようで、「変なメールは受信しない(受け付け拒否する)」方向とするようです。
タイムリーでもありますので、今回はこのGmailの迷惑メール対策についてお話をします。
1. 迷惑メール=フィッシングメール?
前回(340号)、前々回(号外)をご覧になった方には同じような話を何度もご覧いただくことになりますが、ご容赦ください。
迷惑メールは、受信者が特に希望もしていないのに一方的に送ってくる広告メールやフィッシング詐欺を狙ったメールなどを指します。
一方的に送ってくる広告メールでも迷惑ですが、これは住宅に投函されるチラシと同じで、宣伝行動の一つと考えればある程度は許容せざるを得ません。
ですが、これがフィッシングメールともなると話はまったく別です。
フィッシングメールはそもそもが犯罪行為であり、受信側に何のメリットもありません。
さて、フィッシングメール(phishing mail)というのは造語です。
魚釣りのfishing(獲物を釣り上げる)を、'f'と同じ発音の'ph'に入れ替えて隠語のように使い始めたもののようです。(他にも諸説あります)
実在の組織などを騙ったメールやショートメッセージを送り付け、相手の誤解を利用してログイン情報ややカード番号といった個人情報をだまし取ることを目的としたメールを指します。
誤解させるため、フィッシングメールではクリックしたくなるようなタイトルや内容のメールがやってきます。
「【Amazon】お客様のアカウント認証に関する重要なお知らせ」
「マイナポイントプレゼント」
通常、フィッシングメールにはURLが付いていて、それをクリックすると本物そっくりのニセサイトに誘導されます。
ニセサイトと言ってもバレては意味がありませんので、ロゴや色、画面構成は本物と同じものを流用しますので、見た目は本物そっくり(というか本物と同じ)であることが多く見抜くことはできません。
URLをつぶさに確認すれば、ニセサイトを見抜くことは可能ですが、これにはいろんなゴマカし方がありますので「メールに記載されたリンクはクリックしない」が鉄則なのは変わりありません。
人に誤解させて、何らかの行動を取らせるという点ではいわゆるオレオレ詐欺(特殊詐欺)と同じ、いわばインターネットを介した特殊詐欺といえます。
2. 結局は人による判断が必要
今回、Gmailでは迷惑メール対策を強化するとのことですが、これは迷惑メールをゼロにするための対策ではなく「減らす」ための対策に過ぎません。
迷惑メールがたくさん来るとそれを削除するだけでも面倒ですし、大事なメールを間違って削除してしまいかねません。
だから、迷惑メールが減ることは大歓迎です。
前回も書きましたが、メールが迷惑メールやフィッシングメールであることの判断は、結局のところ人がするしかないのです。
メール発信者のドメイン認証を行えば送付元が詐称していないことは検証できます。でも、送信者が悪意を持っているかまで判断できようはずがありません。
また、基本的にメール本文はまったくのノーチェックですから、本文がウソまみれであってもメールは届いてしまいます。
結局のところ、技術的な検証だけで迷惑メールを根絶することは不可能なのです。
「多少は迷惑メールが減ってラクになった」
「メールアドレスをチェックすれば怪しいメールかどうかチェックしやすくなった」
これくらいの利便性向上が限度だと思った方が良いでしょう。
3. Gmailの対策(2023年10月)
Gmailでは以前から迷惑メール対策に取り組んでいるようです。
その一環として、2023年10月には認証(メール送信者がドメインを詐称していないことを確認すること)を必須としています。
そのため、ドメイン認証の登録(設定)をしていないドメインからのメールは受信拒否されるようになっています。
実際にGmailに未認証のドメインからメールを送ると次のエラーとなります。
gt;: host gmail-smtp-in.l.google.com[64.233.189.26] said:
This mail has been blocked because the sender is unauthenticated.
Gmail requires all senders to authenticate with either SPF or DKIM.
適当訳:
gt;宛: gmail-smtp-in.l.google.com(※)は次のように言っている。
このメールは送信者の認証が行われていないので、ブロックしました。
Gmailは全ての送信者に対して、SPFかDKIMによる認証を必要としています。
※gmail-smtp-in.l.google.comはGoogleのメール受付サーバのこと。
エラー内容にもある通り、SPFかDKIM(どちらも認証方式の名前)を使っていないメールは送られても拒否するよ、ということです。
SPF(エスピーエフ)にしてもDKIM(ディーキム)にしてもGmailにメールを送りたいサーバ自身が正しいサーバであることを証明する方式です。
この証明はそのメールサーバを運営している組織でドメイン管理をしている人だけが行えます。
組織のドメイン管理者が保証するメールサーバなら安心だよね、という理屈です。
これによって、メールアドレス(正確には送信元のドメイン)がヨソのものを詐称していないことを保証するわけです。
さて、この迷惑メール対策は上述の通り、2023年10月時点での強化策です。
筆者としてはSPFやDKIMの説明をしたいところですが、これを書き始めると2024年2月の迷強化の話に辿り着くのは次々号あたりになってしまいます。
幸い、SPFについてはほぼ1年前に解説をしています。
ご興味のある方は以下のバックナンバーをご覧ください。
No298 詐欺メールを防ぐSPFという技術(2023年3月配信)
https://note.com/egao_it/n/nc348a0142ca0
このSPFやDKIMを必須とする対策で、迷惑メールの75%を事前ブロックできるようになったそうです。
4. 今回のGmailの対策(2024年2月)
Gmailでは上記の対策に加えて、2024年2月までにさらなる迷惑メール対策の強化を行うという記事があがっています。
2024年1月12日:
より安全で迷惑メールの少ない受信トレイを実現する新しい Gmail のポリシーについて
https://japan.googleblog.com/2024/01/gmail.html
これによりますと、2024年2月からはさらにいくつかの対策を取ろうとしているようです。
なお、以下の強化策はいずれも、メールサーバ側でメールサーバの管理者が行うものばかりで、メールサーバ利用者は何もしなくても大丈夫です。
■1. TLSによるメール送付
TLSというのはいわゆる暗号化のことで、以前はSSLと呼ばれていました。
主に通信経路を保護する(途中で改竄されない)ために利用されます。
GmailではTLSによるメール送付を以前から推奨していました。
今回からこれが必須となります。
■2. 迷惑メール率
Gmail側では迷惑メール率をドメイン毎に測定しています。
この迷惑メール率が高いとメールが受信拒否されることになりそうです。
これ自体はチラシ相当の迷惑メールには強力な対策ですが、フィッシングメール対策としてはあまり期待できないかな、と筆者は思います。
いくら迷惑メール率を測定したところで、悪意のあるドメインが短期間(数日)でクローズされ、翌日に別ドメインが開かれるのが現状です。
迷惑メール率の情報を溜めているうちにクローズされてしまうようでは、抑制効果は限られると思います。
■3. DMARCによる認証ポリシーの適用
DMARCはSPFやDKIMを使ってさらにきめ細かい制御が行えるようになります。
送信者アドレスの厳密なチェックが可能となる点、受信拒否だけでなく迷惑メール扱いにするといった柔軟な運用が行える点が特徴です。
この送信者を厳密にチェックする方式は確かに迷惑メール対策に効果的なのですが、困った副作用があるのです。この話は余談として次章に書きます。
以上のGmailの対策ですが、基本的に全てのメールサーバが対象となるようです。
日に5千通以上のメールをGmailに出すような大量送付してくるようなメールサーバの場合は、以上に加えてサーバの運営元の管理するドメインについてもDMARC対応が必須となるようです。
それだけのメールを送信しているドメインでは、既にDMARC対応は行われているでしょうから、新たな負担というほどでもないのかな、と思います。
5. (余談)送信者の厳密なチェックの副作用
上記で書いた困った副作用というのは、意図的に送信者とメール作成者を違えている場合に起きます。その典型的な例がメーリングリストです。
メーリングリストというのは、複数のメールアドレスにメールを一斉送信するサービスです。
この「がんばりすぎないセキュリティ」は、皆さんのお手元に「まぐまぐ」というサービス会社のアドレス mailmag@mag2tegami.com から届いているはずです。
ですが、執筆はえがおIT研究所のしみず(t.shimizu@egao-it.com)が行っています。
つまり、メールの送信元と作成者は異なっていて、メーリングリストでは両者が違うのがむしろ通常です。(まぐまぐでは運営元のポリシーにより、しみずのメールアドレスは記載されません)
この問題はDMARCでの送信者チェックの大きな課題だったのですが、IETF(Internet Engineering Task Force)というインターネットの標準化団体から、ARC認証という新しい方式の提唱が2019年に行われています。
このARC認証はまだ実験段階ですので、これから普及に向けて様々な検証が行われていくものと思われます。
なお、GmailとしてはこのARC認証を活用することを推奨しています。
6. まとめ
2024年2月からGmailでいくつかの追加の迷惑メール対策が発表されました。
いずれの対策もメール発信元の詐称を防ぐ点にあります。
つまり、三井住友銀行であるかのように見せてあるけれど、実は全く関係ない会社からのメールを受信拒否しようということです。
そのための対策として、従来のSPFやDKIMに加えてDMARCの対応を行うというものがあります。いずれもドメイン認証を行うことでメールアドレスの正当性(正しいところからのメールか?)を保証する仕組みです。
もちろん、この取組みには価値があるのですが、これを行ったからといって迷惑メールが根絶できるわけではありません。
SPFもDKIMもDMARCも、送付元のメールアドレスが適切かどうかをチェックすることが目的であり、メール本文については全くのノーチェックです。
受信した人がメールアドレスを見ずに本文だけで判断してしまうと、騙されてしまう可能性は十分にあります。
逆に言えば、メールアドレスを見てフィッシングメールや詐欺メールを見抜けるだけの知識を得ておけば、こういったドメイン認証の効果を大いに享受できるのです。
今回は、Gmailの2024年2月の迷惑メール対策強化についてお話をしました。
次回もお楽しみに。
(本稿は 2024年1月に作成しました)