メール送信者認証の仕組みを探る(1/2)

高崎達哉 2005年09月08日 10時00分

  • このエントリーをはてなブックマークに追加

現在、企業では、メールにより感染を広げるワームやspamメール、フィッシング被害などが非常に問題となっている。今回からは、これらのメールに関連した問題とその対策について、2回に分けて解説していく。

メールの送信元は簡単に偽造できる

 現在では、ビジネスツールとして必需品となった電子メールであるが、その仕組みは非常に古い。電子メール配送のためのプロトコル(SMTP: Simple Mail Transfer Protocol)の仕様が定まったのは、1982年であり、RFC(Request for Comments)のRFC821に記されている(現在はRFC2821に置き換わっている)。

 メールの配送の仕組みは図1の通りである。メールの配送には、複数のメールサーバを経由するバケツリレー方式が採用されている。最初に、メールの送信端末は、自組織または自身が契約しているISPのメールサーバ(これをローカルメールサーバと呼ぶ)に対して、SMTPを使用してメールを送信する。

 メールを受信したローカルメールサーバは、宛先メールアドレスに含まれるドメイン名に対して、DNSのMX(Mail eXchange)レコードを問い合わせることにより、送信先メールサーバを特定する。送信先メールサーバが判明すると、ローカルメールサーバは、そのメールサーバに対してSMTPを使用してメールを送信する。

 そして、宛先メールアドレスで指定したユーザの端末が、そのメールサーバに対してPOP(Post Office Protocol)やIMAP(Internet Message Access Protocol)といったプロトコルを使用してメールを取り込むのである。

メール配送の仕組み

 メールを作成する際は、通常、次のように、送信元メールアドレスをFromヘッダに、宛先メールアドレスをToやCc、Bccヘッダに記述する。

From: tatsuya@xxx.ne.jp
To: ichiro@yyy.co.jp
Subject: Test

This is a test mail.

 このメールを、SMTPを使用してメールサーバに送信する場合には、次のような一連のコマンドを発行する。

EHLO mail.xxx.ne.jp ←送信元ホスト名を指定
MAIL FROM: ←送信元メールアドレスを指定
RCPT TO: ←宛先メールアドレスを指定
DATA ←メール本文の始まりを指定
From: tatsuya@xxx.ne.jp
To: ichiro@yyy.co.jp
Subject: Test
This is a test mail.
. ←メール本文の終わりを指定
QUIT ←SMTPセッションの終了

 SMTPでは、MAIL FROMコマンドを使用して送信元メールアドレスを、RCPT TOコマンドを使用して宛先メールアドレスを指定している。この時、メールを配送するメールサーバは、メール本文のFromヘッダや、SMTPのMAIL FROMコマンドのアドレスが正当であるかどうかのチェックはしていない。

 つまり、これらのアドレスを適当に設定することで簡単に送信元を偽造することができてしまうのである。このメールの送信元の偽装を悪用した例として、メール感染型ワーム、spamメール、フィッシングなどがある。

メールを媒介として感染するワーム

 現在、NetskyやMydoomなどのワームの被害が後を立たない。このようなメールを媒介として感染を広めるワームは、次の感染先となるメールアドレスを、感染したPC内のハードディスクドライブをスキャンして取得する。

 また、最近のメール感染型ワームは、自身でメールの送信機能を持っており、取得したメールアドレスを宛先に設定し、DNSで送信先メールサーバを検索して、次々とワームが添付されたメールを送信する(図2)。

 この時、ワームは、送信元のPCが特定されないように、送信元アドレスとして、マイクロソフトなどの信頼できるベンダのアドレスや、ファイルを検索して取得したアドレスの中から適当なものを選んで設定することが多い。

メール感染型ワームの感染経路

ゾンビPCを経由して大量に送信されるspamメール

 spamメールは、迷惑メールとも呼ばれ、インターネット上で収集した不特定多数のメールアドレスに対して送信される、広告などのメールのことを指す。spamメールの送信者は、メールからその送信者が特定されないように、通常、送信元アドレスを偽装する。

 広告自体は被害を与えるものではないが、現在のインターネット上を流れるメールトラフィックの2/3はspamメールによるものだとされており、ネットワークやメールサーバに大きな負荷を与えている。また、ユーザによっては、毎日何百通というspamメールを受信している場合もあり、ビジネスに大きな支障が出ている。

 spamメールは、一度に大量のメールを送信する必要があるため、図3のように、ゾンビPCと呼ばれる、ワームによってリモートコントロール可能な状態になった大量のPCを経由して送信されることが多い。

ゾンビPCによるspamメールの大量送信

偽サイトに誘導して情報を盗むフィッシング

 最近では、金融機関などからのメールを偽装して、口座番号やパスワード、クレジットカード番号などの機密情報を不正に取得するフィッシングの被害が増加している。

 フィッシングの仕組みはこうである。まず、ある金融機関からのメールであるかのように偽装したメールをspamメールの仕組みを使用して不特定多数のアドレスに送信する。そのメールには、その金融機関のWebサイトを偽装した偽のWebサイトへのリンクが存在し、それをユーザにクリックさせる。

 このリンクは、本物の金融機関のドメイン名に似た別のドメイン名を使用したり、IPアドレスを直接指定したりしているものが多い。そして、その偽のWebサイトにアクセスさせ、そこで、口座番号やパスワードなどの情報を入力させて盗むのである。

 フィッシングでは、まず、金融機関からのものであるように偽造したメールを送信しなければならないが、これをspamメールの仕組みを利用して大量に送信する。

 今回は、メールの仕組みを悪用した問題について説明した。次回は、これらの問題を解決するためのメール送信者認証の仕組みについて解説する。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化