Googleは8日(米国時間)、フィッシング詐欺メール対策について発表し、eBayおよびPayPalからのメールであるかのように偽装したフィッシング詐欺メールが摘発できるようになったと説明した。eBayおよびPayPalの努力もあってメール承認できるようになったことがその理由だ。
フィッシング詐欺メールは受信者を騙して個人情報へアクセスできるようにするためのもの。たとえばオンラインバンクからのメールであるかのように装い、アカウント情報を盗みだそうとするというものだ。こうしたフィッシング詐欺メールは時には実に巧みに作成されており、場合によってはアカウント情報を漏らしてしまうユーザもいる。
Webメールで最大シェアを誇るGmailはフィッシング詐欺メールであると判定されたものについては赤い注意ラベルをつけるなどして、ユーザにフィッシング詐欺メールの可能性が高いことを教えてくれる。しかし100%それを見抜くというのはなかなか難しいもので、ときにはフィッシング詐欺メールの判定を逃してしまうこともある。
フィッシング詐欺メールに対処する方法のひとつが標準化された承認機能を使うことだ。Gmailは以前からそうした機能としてDomainKeysおよびDKIMをサポートしてきた。しかしDomainKeysおよびDKIMはメーラが対応すればいいというものではなく、メールを送信するサーバが一貫して承認を実施してくれなければ効果が薄れてしまう。一部のメールがシグネチャなしで送られてしまえば、そのメールがフィッシング詐欺メールかそうでないか判定するのが難しい。
そこで今回の発表だ。GoogleはeBayおよびPayPalからGmailへ送信されてきたメールを承認できるようになったとした。つまり"paypal.com"や"ebay.com"から送信されてきたと表示されている電子メールはGmailによって承認されたメールになったというわけだ。これはeBayおよびPayPalがすべてのメールにDomainKeysおよびDKIMにシグネチャをつけるようになったことに負っている。承認できなければeBayやPayPalから送られてきたメールではないということが確実になったわけだ。
フィッシング詐欺メールへの対策として、こうした取り組みは有益なものだ。Googleではこれをモデルとし、ほかの企業も同様の処理をすることを期待しているようだ。