はじめに:なりすましメールの恐怖
「○○銀行からのお知らせです。パスワードを再設定してください」
空子/情報セキュリティマネジメント担当こんなメールを受け取ったことはありませんか? 見た目は本物そっくりでも、実は詐欺グループが送った「なりすましメール」かもしれません。
インターネット上のメールは、実は驚くほど簡単に「差出人」を偽装できます。手紙でたとえるなら、封筒に他人の名前と住所を勝手に書いて送るようなものです。これを防ぐために生まれた仕組みのひとつが、今回ご紹介する DKIM(ディーキム) です。
DKIMとは何か?
空子/情報セキュリティマネジメント担当DKIM(DomainKeys Identified Mail)は、メールが「本当にそのドメイン(メールアドレスの@以降の部分)から送られたものか」を証明するための技術です。
たとえば info@example.co.jp というアドレスからメールが届いたとき、DKIMが設定されていれば、そのメールが本当に example.co.jp のサーバーから送られたものであることを受信側が確認できます。
もう少しかみ砕いて言うと、DKIMは 「デジタルな封蝋(ふうろう)」 のようなものです。中世ヨーロッパでは、手紙が本物であることを示すために、差出人が自分だけの印章で蝋を押しました。DKIMはこれと同じ役割を、デジタルの世界で果たしています。
DKIMの仕組みをやさしく解説
空子/情報セキュリティマネジメント担当DKIMの仕組みは、大きく3つのステップで成り立っています。
ステップ1:鍵のペアを用意する
まず、メールを送る側の組織(たとえば企業や団体)が、2つの鍵を用意します。
- 秘密鍵(ひみつかぎ):自分だけが持っている鍵。金庫の中に厳重にしまっておきます。
- 公開鍵(こうかいかぎ):誰でも見られる場所に公開する鍵。DNS(インターネット上の電話帳のようなもの)に登録します。
この2つの鍵はセットになっていて、秘密鍵で「署名」したものは、対になる公開鍵でしか「検証」できないという特殊な性質を持っています。
ステップ2:メールに署名をつけて送る
メールを送るとき、送信サーバーは秘密鍵を使ってメールの内容に「電子署名」をつけます。この署名はメールのヘッダー(メールの裏側にある情報欄)に埋め込まれ、受信者が普段目にすることはありません。
ポイントは、署名がメールの「中身」と結びついていることです。もし途中で誰かがメールの内容を1文字でも書き換えると、署名と中身が合わなくなります。
ステップ3:受信側が署名を検証する
メールを受け取った側のサーバーは、次のことを行います。
- メールに書かれたドメインのDNSから「公開鍵」を取得する
- その公開鍵を使って、メールに付いている署名を検証する
- 署名が正しければ「このメールは本物」と判断する
署名が合わなければ、そのメールは「偽物の可能性がある」と判断され、迷惑メールフォルダに振り分けられたり、警告が表示されたりします。
身近なたとえで理解する
空子/情報セキュリティマネジメント担当DKIMの仕組みを、もっと身近な例で説明してみましょう。
あなたが友人から手紙を受け取ったとします。封筒には友人の名前が書いてあります。でも、本当にその友人が書いたものでしょうか?
そこで友人は、あらかじめ「自分だけが持っている特殊なスタンプ」を手紙に押して送ります。あなたは、友人が事前にSNSで公開していた「スタンプの照合パターン」と照らし合わせます。パターンが一致すれば、間違いなく友人からの手紙だとわかるわけです。
DKIMでは、この「特殊なスタンプ」が秘密鍵による署名、「照合パターン」が公開鍵にあたります。
DKIMだけでは足りない? SPFやDMARCとの関係
空子/情報セキュリティマネジメント担当メールのセキュリティを守る仕組みは、DKIMだけではありません。実は、DKIMは他の技術と組み合わせて使うことで、より強力になります。
SPF(Sender Policy Framework) は、「このドメインからメールを送っていいサーバーはどれか」をあらかじめ登録しておく仕組みです。許可されていないサーバーから送られたメールは、偽物と判断されます。
DMARC(Domain-based Message Authentication, Reporting and Conformance) は、SPFとDKIMの結果をもとに、「認証に失敗したメールをどう扱うか」を送信側が指定できる仕組みです。「拒否する」「隔離する」「何もしない」といったポリシーを設定できます。
この3つはよく 「メール認証の三本柱」 と呼ばれ、セットで導入することが推奨されています。
なぜ今DKIMが重要なのか
空子/情報セキュリティマネジメント担当近年、フィッシング詐欺やビジネスメール詐欺(BEC)の被害が急増しています。攻撃者は取引先や上司になりすまし、金銭の振込や機密情報の送付を要求してきます。
こうした被害を防ぐために、Gmailを提供するGoogleやYahooは、2024年から大量にメールを送る送信者に対してDKIMやDMARCの設定を義務化する方針を打ち出しました。つまり、DKIMを設定していないと、送ったメールが相手に届かなくなる可能性があるのです。
企業だけでなく、個人でメールマガジンを配信したり、自分のドメインでメールを使っている方にとっても、DKIMの設定はもはや必須と言えるでしょう。
まとめ
DKIMは、メールの「差出人が本物かどうか」を証明するためのデジタル署名技術です。秘密鍵と公開鍵のペアを使い、メールの送信元と内容の正当性を保証します。
私たちが日常的にやり取りするメールの裏側で、DKIMは静かに安全を守ってくれています。「なりすましメール」の被害に遭わないためにも、こうした仕組みがあることを知っておくだけで、ネットリテラシーは一歩前進します。
空子/情報セキュリティマネジメント担当メールを送る立場の方は、SPF・DMARCとあわせてDKIMを正しく設定すること。メールを受け取る立場の方は、不審なメールが届いたら安易にリンクを開かないこと。この2つを心がけるだけで、あなたのメール環境はぐっと安全になるはずです。
コメント