スマートフォンの普及とともに、Gmailを主に利用している人が増えているだろうが、キャリアメールを利用している人もまだいるだろう。メールを使う上での悩みの1つが「迷惑メール」だ。夜中にスマートフォンにメールが届いたので何かと思えば、迷惑メールだったなんてことも少なくない。

9月27日から29日まで、東京都内で開催されたセキュリティ関連のカンファレンス「Security Days Tokyo」では、KDDI、NTTドコモ、ソフトバンクの迷惑メールの担当者による講演「キャリアメールの迷惑メールの現状」が行われたので、その模様をお届けしよう。

今回、講演を行ったのは、KDDIの松本晋輔氏、NTTドコモの伊東悌氏、ソフトバンクの奥山将明氏で、皆さん自社で迷惑メール対策に関わっているそうだ。

最近の迷惑メールの傾向は?

まず、迷惑メールの受信数の傾向だが、ドコモは2015年7月に比べて80%と減少傾向にある一方、KDDIは「微増」、ソフトバンクは「横ばい」という状況にあるそうだ。

KDDIの松本晋輔氏は迷惑メールの具体的な傾向として、「新たなTLDの活用」「シンプル」「正規サービスの利用」「都道府県ドメインの利用」「ディスプレイネームの悪用」を挙げた。

KDDI 松本晋輔氏

昨年発見された新たなTLDは89個だったが、今年は、「.fun」「.cam」など、すでに180個以上のTLDが見つかっているという。「正規サービスの利用」については、これまでは海外のISPから送信された迷惑メールが多かったが、ISPやクラウドから送信されたものが増えているそうだ。

KDDIのほか、ドコモの伊東氏、ソフトバンクの奥山氏も挙げていたのが「ディスプレイネームの悪用」だ。3社において見られる傾向ということで、今年を代表する迷惑メールの傾向と言えるかもしれない。

ディスプレイネームとは、メールアドレスの表示名だ。つまり、メールアドレスとは異なる文字を設定することができる。攻撃者はこの仕組みを悪用して、もっともらしいディスプレイネームを表示させることで、メールの受信者をだまそうとしているわけだ。

松本氏はKDDIで実際に起きた事例を挙げて、説明した。今年、「auになりすました『緊急速報』メールに注意」という促すニュースが報じられたことから、調査を実施。その結果、「単純なメールアドレスのドメインのなりすましであれば、KDDIの場合「なりすまし規制」で規制できるが、今回のケースは「KDDI@ezweb.ne.jp」というディスプレイネーム(@は全角文字)/メールアドレスは全く無関係のものから送信されたことがわかった。

モバイルデバイスはディスプレイネームの優先表示が多いので、「KDDI」と表示することで、誤認を誘発したものと見られるという。

また、ソフトバンクの奥山氏は、「ディスプレイネームの悪用」に加え、「正規のフリーメールやSNSの悪用」を挙げた。

ソフトバンク 奥山将明氏

具体的には、正規のフリーメールからURLや電話番号もなく、画像のみ送る例、正規のSNSの招待メールを踏み台とする例などが確認されているそうだ。

キャリアが行っている迷惑メール対策とは?

こうした迷惑メールに対し、3社はいずれも公式Webサイト、Twitterを通じて、注意を喚起している。これに加え、2016年10月より、3社に加え、沖縄セルラー電話、ウォルトディズニージャパン、電気通信事業者協会が共同で、各企業の契約者が発信した迷惑Eメールについて受け取った側からの申告情報を共有するという施策を開始している。

NTTドコモの伊東悌氏は、その成果について、「利用停止、解約のメールアドレスが、ここ10カ月で月平均1.5倍に増えている」と語った。ソフトバンクでも同様に、2016年12月から、利用停止のメールアドレスが増えているという。また、KDDIでは、迷惑メールの対処件数が減っているそうだ。

NTTドコモ 伊東悌氏

また、ソフトバンクの奥山氏は自動学習機能を備えたスパムデータベースに、自社で仕掛けているハニーポットからの情報、迷惑メールの申告窓口、日本データ通信協会、警視庁や警察庁などの情報を格納し、対策を講じていることを紹介した。

迷惑メールにまつわる課題と展望

KDDIの松本氏は、これまでの話のまとめとして、迷惑メールにまつわる課題として、「ディスプレイネーム」「DNS」「個社での情報収集の限界」を挙げた。ディスプレイネームには「よくも悪くも自由度が高い」、DNSには「誰でも簡単にドメインを取得できる」という点が、攻撃者に悪用されている。

続けて、松本氏はこうした課題に対する解決策の案を紹介した。ディスプレイネーム」については、RFCで詐称を防ぐルールに見直すという案も考えられるという。DNSについては、国内だけでも利用のルールを明確にしていくという手も考えられる。情報収集については、例えばホワイトリストをメール業界全体で一元管理ができるとより積極的な迷惑メール対策を実現できる可能性がある。

最後に、展望として、AIの活用も視野に入れたうえで、全方位で迷惑メールを規制し、「送らせない/通さない」ことを徹底していく方針が紹介された。

迷惑メール対策の展望

セキュリティ対策は終わりがないと言われているが、技術を活用するとともに、各社で情報を共有することで、攻撃者を上回る手を打つことができるのではないだろうか。