なりすましメールでイジメ急増

迷惑メール対策の関係者の間で、なりすましメールでイジメ急増が話題になりました。技術的な背景は予想できたのですが、確証がなかったので、KDDI の人に尋ねたところ、「その通り」と答えて頂いたので、ここに書いておきます。

なぜ、なりすませるか?

まずメールには、インターネット・メールと携帯メールの2つがあり、それらは似ているけれど違うものだ認識することが大切です。

インターネット・メール
なりすましは簡単です
携帯メール
なりすましは困難です

インターネット・メールはなりすましが簡単だ、つまり他人のメール・アドレスを使ってメールを送るのは簡単だというと、多くの人が「そんなことできるの?」と言います。

僕は「どうしてできないと思うの?」と聞き返したくなるのを我慢して、気長に説明を始めます。

通常の郵便を考えて下さい。郵便を発送する場合、多くの人は、差出人として正しい住所と名前を書きます。しかし、他人の住所や名前も書こうと思えば書けますね。

郵便の差出人を詐称できる理由は2つあります。

  • 郵便屋さんは、差出人の正当性を調べない
  • 郵便屋さんは、宛先を見て配達する
    • つまり、差出人が間違っていても、相手に届く

郵便と対比して考えれば、携帯メールがなりすませない方が、むしろ驚きです。携帯メールでは、携帯事業者が差出人の正当性を保証しているのです。

携帯メールでの投函の仕組みを郵便に例えて説明すると、こうなります。まず、ポストはありません。郵便局の窓口までもっていく必要があります。また、差出人が、差出人欄を書くことはできません。窓口の郵便屋さんが、郵便を持ってきた人を身分証などで確認した後に、その郵便屋さんが差出人を書き込むのです。

携帯メールでなりすますには?

携帯メールだけでなりすますのは困難なので、インターネット・メールを使います。つまり、携帯からインターネットにあるサイトに接続し、そのサイトにからインターネット・メールを携帯向けに送ります。携帯事業者がこのインターネット・メールを受け取ると、携帯メールに変換して、宛先に送ります。

詐称するメールアドレスとして携帯メールのアドレスを指定したとしても、そのメールは実際にはインターネットからやってくるのです。

どうやってなりすましを見抜くか?

なりすましメールは、端末の設定を変えるだけで防ぐことができる。NTTドコモは「受信拒否」の設定を「弱」に、auは「フィルターレベル」を「低」にする。ソフトバンクの場合は、「オリジナルメール設定」で受信しない設定にできるという。

これは、ユーザの合意があれば、携帯事業者はなりすましだと判断したメールを捨てるということです。幸か不幸か、日本国憲法では通信の秘密が謳われているので、ユーザの合意なしにメールを捨てることはできません。(この秋から変わりますけどね。)

では、どうやってメールのなりすましを見抜くのでしょうか?

答えは簡単です。たとえば、AU のアドレスを名乗るメールが、AU のメール送信サーバ以外からやってきら、それは上記の詐称サイトなどを使っていると判断するのです。もちろん、たとえば、DoCoMo では、DoCoMo のアドレスを名乗るメールがインターネットからやってきても、なりすましだと判断できるのは自明ですよ。

具体的には、こうです。

送信側の準備:

  • 携帯各社はメール送信サーバの IP アドレスを公開する

受信側の準備:

受信側の手順:

  • 携帯事業者がインターネットからメールを受け取ると、SMTP コネクションにより、接続元の IP アドレスが分る (A とする)
  • メールのヘッダから差出人のドメインを切り出す
  • ドメインをキーにして表を検索し、IP アドレスを得る (B とする)
  • AとBを比較する
    • 一致すれば、正当なメール
    • 一致しなければ、なりすましメール

おまけ

この仕組みを一般化したものが SPF や Sender ID です。