メール送信者認証の仕組みを探る(1/2)

高崎達哉 2005年09月08日 10時00分

  • このエントリーをはてなブックマークに追加

現在、企業では、メールにより感染を広げるワームやspamメール、フィッシング被害などが非常に問題となっている。今回からは、これらのメールに関連した問題とその対策について、2回に分けて解説していく。

メールの送信元は簡単に偽造できる

 現在では、ビジネスツールとして必需品となった電子メールであるが、その仕組みは非常に古い。電子メール配送のためのプロトコル(SMTP: Simple Mail Transfer Protocol)の仕様が定まったのは、1982年であり、RFC(Request for Comments)のRFC821に記されている(現在はRFC2821に置き換わっている)。

 メールの配送の仕組みは図1の通りである。メールの配送には、複数のメールサーバを経由するバケツリレー方式が採用されている。最初に、メールの送信端末は、自組織または自身が契約しているISPのメールサーバ(これをローカルメールサーバと呼ぶ)に対して、SMTPを使用してメールを送信する。

 メールを受信したローカルメールサーバは、宛先メールアドレスに含まれるドメイン名に対して、DNSのMX(Mail eXchange)レコードを問い合わせることにより、送信先メールサーバを特定する。送信先メールサーバが判明すると、ローカルメールサーバは、そのメールサーバに対してSMTPを使用してメールを送信する。

 そして、宛先メールアドレスで指定したユーザの端末が、そのメールサーバに対してPOP(Post Office Protocol)やIMAP(Internet Message Access Protocol)といったプロトコルを使用してメールを取り込むのである。

メール配送の仕組み

 メールを作成する際は、通常、次のように、送信元メールアドレスをFromヘッダに、宛先メールアドレスをToやCc、Bccヘッダに記述する。

From: tatsuya@xxx.ne.jp
To: ichiro@yyy.co.jp
Subject: Test

This is a test mail.

 このメールを、SMTPを使用してメールサーバに送信する場合には、次のような一連のコマンドを発行する。

EHLO mail.xxx.ne.jp ←送信元ホスト名を指定
MAIL FROM: ←送信元メールアドレスを指定
RCPT TO: ←宛先メールアドレスを指定
DATA ←メール本文の始まりを指定
From: tatsuya@xxx.ne.jp
To: ichiro@yyy.co.jp
Subject: Test
This is a test mail.
. ←メール本文の終わりを指定
QUIT ←SMTPセッションの終了

 SMTPでは、MAIL FROMコマンドを使用して送信元メールアドレスを、RCPT TOコマンドを使用して宛先メールアドレスを指定している。この時、メールを配送するメールサーバは、メール本文のFromヘッダや、SMTPのMAIL FROMコマンドのアドレスが正当であるかどうかのチェックはしていない。

 つまり、これらのアドレスを適当に設定することで簡単に送信元を偽造することができてしまうのである。このメールの送信元の偽装を悪用した例として、メール感染型ワーム、spamメール、フィッシングなどがある。

メールを媒介として感染するワーム

 現在、NetskyやMydoomなどのワームの被害が後を立たない。このようなメールを媒介として感染を広めるワームは、次の感染先となるメールアドレスを、感染したPC内のハードディスクドライブをスキャンして取得する。

 また、最近のメール感染型ワームは、自身でメールの送信機能を持っており、取得したメールアドレスを宛先に設定し、DNSで送信先メールサーバを検索して、次々とワームが添付されたメールを送信する(図2)。

 この時、ワームは、送信元のPCが特定されないように、送信元アドレスとして、マイクロソフトなどの信頼できるベンダのアドレスや、ファイルを検索して取得したアドレスの中から適当なものを選んで設定することが多い。

メール感染型ワームの感染経路

ゾンビPCを経由して大量に送信されるspamメール

 spamメールは、迷惑メールとも呼ばれ、インターネット上で収集した不特定多数のメールアドレスに対して送信される、広告などのメールのことを指す。spamメールの送信者は、メールからその送信者が特定されないように、通常、送信元アドレスを偽装する。

 広告自体は被害を与えるものではないが、現在のインターネット上を流れるメールトラフィックの2/3はspamメールによるものだとされており、ネットワークやメールサーバに大きな負荷を与えている。また、ユーザによっては、毎日何百通というspamメールを受信している場合もあり、ビジネスに大きな支障が出ている。

 spamメールは、一度に大量のメールを送信する必要があるため、図3のように、ゾンビPCと呼ばれる、ワームによってリモートコントロール可能な状態になった大量のPCを経由して送信されることが多い。

ゾンビPCによるspamメールの大量送信

偽サイトに誘導して情報を盗むフィッシング

 最近では、金融機関などからのメールを偽装して、口座番号やパスワード、クレジットカード番号などの機密情報を不正に取得するフィッシングの被害が増加している。

 フィッシングの仕組みはこうである。まず、ある金融機関からのメールであるかのように偽装したメールをspamメールの仕組みを使用して不特定多数のアドレスに送信する。そのメールには、その金融機関のWebサイトを偽装した偽のWebサイトへのリンクが存在し、それをユーザにクリックさせる。

 このリンクは、本物の金融機関のドメイン名に似た別のドメイン名を使用したり、IPアドレスを直接指定したりしているものが多い。そして、その偽のWebサイトにアクセスさせ、そこで、口座番号やパスワードなどの情報を入力させて盗むのである。

 フィッシングでは、まず、金融機関からのものであるように偽造したメールを送信しなければならないが、これをspamメールの仕組みを利用して大量に送信する。

 今回は、メールの仕組みを悪用した問題について説明した。次回は、これらの問題を解決するためのメール送信者認証の仕組みについて解説する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化