迷惑メール対策の関係者の間で、なりすましメールでイジメ急増が話題になりました。技術的な背景は予想できたのですが、確証がなかったので、KDDI の人に尋ねたところ、「その通り」と答えて頂いたので、ここに書いておきます。
なぜ、なりすませるか?
まずメールには、インターネット・メールと携帯メールの2つがあり、それらは似ているけれど違うものだ認識することが大切です。
- インターネット・メール
- なりすましは簡単です
- 携帯メール
- なりすましは困難です
インターネット・メールはなりすましが簡単だ、つまり他人のメール・アドレスを使ってメールを送るのは簡単だというと、多くの人が「そんなことできるの?」と言います。
僕は「どうしてできないと思うの?」と聞き返したくなるのを我慢して、気長に説明を始めます。
通常の郵便を考えて下さい。郵便を発送する場合、多くの人は、差出人として正しい住所と名前を書きます。しかし、他人の住所や名前も書こうと思えば書けますね。
郵便の差出人を詐称できる理由は2つあります。
- 郵便屋さんは、差出人の正当性を調べない
- 郵便屋さんは、宛先を見て配達する
- つまり、差出人が間違っていても、相手に届く
郵便と対比して考えれば、携帯メールがなりすませない方が、むしろ驚きです。携帯メールでは、携帯事業者が差出人の正当性を保証しているのです。
携帯メールでの投函の仕組みを郵便に例えて説明すると、こうなります。まず、ポストはありません。郵便局の窓口までもっていく必要があります。また、差出人が、差出人欄を書くことはできません。窓口の郵便屋さんが、郵便を持ってきた人を身分証などで確認した後に、その郵便屋さんが差出人を書き込むのです。
携帯メールでなりすますには?
携帯メールだけでなりすますのは困難なので、インターネット・メールを使います。つまり、携帯からインターネットにあるサイトに接続し、そのサイトにからインターネット・メールを携帯向けに送ります。携帯事業者がこのインターネット・メールを受け取ると、携帯メールに変換して、宛先に送ります。
詐称するメールアドレスとして携帯メールのアドレスを指定したとしても、そのメールは実際にはインターネットからやってくるのです。
どうやってなりすましを見抜くか?
なりすましメールは、端末の設定を変えるだけで防ぐことができる。NTTドコモは「受信拒否」の設定を「弱」に、auは「フィルターレベル」を「低」にする。ソフトバンクの場合は、「オリジナルメール設定」で受信しない設定にできるという。
これは、ユーザの合意があれば、携帯事業者はなりすましだと判断したメールを捨てるということです。幸か不幸か、日本国憲法では通信の秘密が謳われているので、ユーザの合意なしにメールを捨てることはできません。(この秋から変わりますけどね。)
では、どうやってメールのなりすましを見抜くのでしょうか?
答えは簡単です。たとえば、AU のアドレスを名乗るメールが、AU のメール送信サーバ以外からやってきら、それは上記の詐称サイトなどを使っていると判断するのです。もちろん、たとえば、DoCoMo では、DoCoMo のアドレスを名乗るメールがインターネットからやってきても、なりすましだと判断できるのは自明ですよ。
具体的には、こうです。
送信側の準備:
- 携帯各社はメール送信サーバの IP アドレスを公開する
受信側の準備:
受信側の手順: