お客様事例

ヤフー株式会社 鈴木様

ヤフー株式会社
法人番号 4010401039979
サービス 安心マーク
利用用途 メールなりすまし対策
URL http://www.yahoo.co.jp/

ヤフー株式会社 
パーソナルサービスカンパニー
メール本部
鈴木 康平様

【Q1】近年はPCだけでなく、スマートフォンやタブレットなどで電子メールが利用されるようになりましたが、活発なってきている脅威にはどのようなものがあるのでしょうか?

【鈴木氏】一般に「迷惑メール」と呼ばれているメール、例えば身に覚えのない広告メールや不審な出会い系サイトからのメールなど、多種多様の悪質なメールが横行しています。その中でも特に脅威といえるものにフィッシングメールがあります。その代表的な手口は、銀行などの企業・団体を騙ったメールを送り、IDやパスワード、クレジットカード番号などを入力させ、フィッシングサイトへ誘導することで受信者から情報を騙し取る方法です。また、お金に困っているなど人情にすがるような内容のメールを送り、受信者から金銭を騙し取る「ナイジェリアの手紙」と言われるような手口もあります。
このような被害にあうと金銭や個人情報の搾取といった大きなダメージを受けてしまう非常に悪質なものが脅威となっています。

【Q2】では、利用者はなぜフィッシングのような「なりすまし」に引っかかってしまうのでしょうか?

【鈴木氏】本物なのか偽物なのか区別しにくいことや、本物そっくりの「なりすまし」が行なわれていることが大きな要因と捉えています。例えば、銀行など本物の企業を騙ったフィッシングメールではフィッシングページへ誘導するような内容が一般的です。そのページへ遷移すると本物と全く同じデザインの入力ページが用意されており、ページだけを見たときに本物か偽物かを見分けることは極めて難しいのですが、フィッシングページはURLが正規のものとは異なるため、ページで判別できなくてもURLによって判別することはできます。しかし、本物と誤認するようなドメインを使うことでURLを確認してもパッと見では判別できないようにしていたり、メール本文ではhtmlタグを利用して本物のURLにフィッシングサイトのURLをリンクさせているケースも少なくありません。さらにスマートフォンでページを閲覧している場合は、画面をスクロールするとURLが表示されなくなるなど、PCよりもURLを気にする機会が少なくなりがちです。そのため、スマートフォン利用時は怪しいURLに気付きにくくなっている点も被害を受けやすくなった要因と捉えています。

【Q3】その対策として有効と考えられる技術にはどのようなものがあるのでしょうか?

【鈴木氏】受信者は「なりすまし」メールを正しいメールかどうかを判断することが難しく、電子メール事業者側でなりすまし対策を色々と行なってもフィッシングURLが次々と新しいものが生まれるように、その対策が追いつかず、いたちごっこになってしまうという課題があります。これは言い方を変えれば、受信者が安心・安全なメールをひと目で判断でき、新たななりすましの手法に左右されない電子メール環境が実現できれば、恒久的ななりすましメール対策になると考えます。
そこで、その実現に向けて「ROBINS」「DKIM」「安心マーク」を活用した三位一体のなりすましメール対策を推進しています。「なりすまし」は、メールの差出人や本文、デザインを本物になりすますことができても、詐称した対象が所有する本物の送信サーバーからメールを送ることはできません。電子メールシステムでは送信されたメールの送信元サーバーを保障する技術として送信ドメイン認証技術があり、そのひとつに「DKIM」という技術があります。DKIMを活用することでメールの差出人ドメインが、そのドメインを管理している正規の送信者からのメールかどうかをシステム的に判別できます。特定の企業・団体から送られた正規のメールを判別するため、企業・団体の所有ドメインを正確に管理する必要がありますが、この管理はJIPDEC様の強みである「サイバー法人台帳ROBINS」にて実現させていただきました。
併せて安心・安全なメールであることがひと目でわかるよう見せ方も工夫し、正規のメールと判断できた場合には「安心マーク」を表示することで視認性を高めました。「安心マーク」が表示されているメールは正しい、と受信者が認識できるような電子メール環境を目指していくことが、「なりすまし」メールに有効なひとつの対策であると考えています。

【Q4】2013年にネット選挙運動が解禁となりましたが、抱えていた課題はどのようなことだったのでしょうか?また、実際に自民党、民主党、公明党のメルマガに「安心マーク」が採用されましたが、振り返ってみるといかがでしたか?

【鈴木氏】候補者は電子メールによる有権者への情報発信が許容されました。しかし有権者はどのメールが候補者からの本当のメールか判断することが難しく、併せて政党を騙って悪評をメールで流すなりすまし行為が課題としてあがっていました。この課題は先ほどお話しした「なりすまし」が抱える課題と根本的には同じです。そのため、安心マークによるなりすましメール対策が有効であると考え、ネット選挙運動という世の中の取り組みと合わせて政党への導入を急ぎました。結果として自民党、民主党、公明党の3党からのメールには安心マークを表示する環境を実現できました。
また安心マークの表示はネット選挙運動解禁を受けての初めての試みでしたので、政党のメールを受け取っていた受信者にとって、安心マークがどのような意味なのか戸惑い、安心・安全なメールであることが理解できなかった方もいたようです。より多くの利用者に認知してもらい、正規のメールを基準としてなりすましメールかどうかを判断してもらうためには安心マークの認知度をもっと高めていく必要があると感じています。

※ JIPDECニュースリリース「ネット選挙運動解禁に伴う電子メール環境への取り組みについて」
URL  http://www.jipdec.or.jp/information/newsrelease/20130611.html

【Q5】普及段階では課題もあると思いますが、今後、どのような展開を期待していますか?

【鈴木氏】直近の目標は、「なりすまし」メールを大きな課題として抱えている企業・団体への導入を積極的に行ない、課題解決に貢献していくことです。当初はネット選挙運動と合わせて「政党」のみを対象に導入を進めさせて頂きましたが、2014年8月11日より「銀行」への導入も開始しております。※2送信するメールをDKIMに対応させるといった導入ステップが必要なため、ひとつの銀行だけでも導入を完了するまでに期間を要しますが、引き続き銀行への導入に力を入れ、安心マークの認知度を向上させていきたいと考えています。ただ長期的には企業・団体を広げていくことだけを考えていても「なりすまし」メールに困っている企業・団体にも限りがあるため、展開の動きが鈍りそうだと感じています。そのため、安心マークの導入と並行して、現在の電子メール環境が抱える課題を見つめ直し、新たに解決できる課題や新しい価値の提供を考えることで、展開の新しい方向性を模索していきたいと考えています。

(2015年3月)

※2 JIPDEC ニュースリリース「安心マーク」を表示したメールマガジンの配信の開始について(常陽銀行様)
URL  http://www.jipdec.or.jp/information/newsrelease/20140811-2.html

この記事に関連するキーワード

ページの先頭へ戻る