Gmailに届かなくなる?最近の電子メールで何が起っているのか?

2024年06月25日 火曜日


【この記事を書いた人】
doumae

IIJ 技術担当部長 最近はインターネットの技術を紹介するのがお仕事です。元々プログラマ、サーバ・データセンター・ネットワーク・セキュリティ・モバイルといろいろやってきました。

「Gmailに届かなくなる?最近の電子メールで何が起っているのか?」のイメージ

ここしばらく「2024年6月よりGoogle (Gmail) が迷惑メール対策を強化、メールが届かなくなるかも」というややセンセーショナルなニュースが流れていました。本件、掘り下げるとややこしい話ではあるのですが、この記事ではざっくりと「何が起っているのか」についてまとめてみたいと思います。(説明を簡単にするため、細かいことは省いています)

 結局、私は何をすれば良いの?

この問題、「Google (Gmail)で何か起るらしい」という報道のため、Gmailを使っている人が何かしなければならない雰囲気があります。ですが、実際に対応しなければならないのは、Gmailを使っている人ではありません。むしろGmailを使っている人自身は、できることがありません

対応が必要になるのは、「Gmailを使っている人にメールを送る人」です。

対策すべきなのはメールを送信する組織 

例えば、あなたがどこかの企業にお勤めで、お取引先にメールを送信するとします。このとき、お取引先がGmailを使っていると、あなたのメールを受け取ってもらえないかもしれない……というのが今回の問題です。

対策は、メールサーバをGmailの基準に合わせて設定することです。これは、その企業のメールサーバを管理している人 (例えば、情報システム部門の担当者) が行なう必要があります。

 

最近は、企業が自分で電子メールサーバを管理せず、通信会社のメールサーバを借りることが非常に多くなっています。私たちIIJもたくさんの会社にメールサーバを貸し出していますが、これらのサーバはGmailの基準をクリアしているので、IIJのサーバを使っていれば安心です。(自社ドメインを利用している場合、IIJ推奨の設定が必要です)

※もし、あなたが別のメールアドレスのメールを転送してGmailで読んでいる場合は、対策が必要なこともあります。このblogの過去記事 Gmail への転送エラーを回避する方法 を参考にしてください。

同じような話、昨年末にも聞いた気がするけど?

 はい、今回の件は、202310月から続く話です。

  • 202310: GoogleとアメリカYahooが迷惑メール対策強化の新方針を発表
  • 20242: 新方針に基づいた対策を開始
  • 20246: 新方針に基づいた対策を完全実施

※アメリカのYahoo社と日本のYahoo! Japan社は別会社です。日本のYahoo! Japan社は今回の件に関係していません。アメリカYahoo社のサービスは日本での利用が少ないため、この記事では省略します。

20242月に対策が一部開始されたため、そのタイミングに合わせてメールサーバの設定を見直した組織も多かったようです。ただ、6月の完全実施でより対策が強化されるということで、改めて話題になっていました。

 

ちなみに、Googleにはありがちな事なのですが、実際には20242月より前から一部の対策が先行して行なわれていたようです。逆に、予告した日以降に順次実施される対策もあったりするようで、きっちり上記のスケジュールで動いているわけではないようです。

どうしてGoogleはこんなことするの?

世界規模で発生している「迷惑メール」の対策のためです。

これまでの慣例で「迷惑メール」と書いていますが、実態としては「犯罪メール」と言っても差し支えありません。迷惑メールがきっかけで、企業秘密が漏洩したり、個人の預金が盗まれたりと、割としゃれにならない被害が発生しています。インターネット業界ではこうした問題への対応を進めていますが、その一つとして「迷惑メールを閉め出す」という作戦があります。

Googleはこの作戦について、強行な姿勢をとっています。このあたり、文化の違いというのがあるのですが、Googleを含めた欧米系の企業は「安全を守るためなら、正しいメールを少々誤爆しても構わない」ぐらいの姿勢のことが多いようです。日本だと「安全を守るのも大切だが、正しいメールが届かなくなるのは困る」という雰囲気があり、対照的です。

 

実際、今回の新方針だけでなく、以前からGmailでは「本当は迷惑メールではないのに、迷惑メール扱いされた」というケースが結構多いように思います。Gmailを使う以上はそういうものだと理解するしかありません。

とはいえ、今回の新方針はかなり厳しく、Gmailの基準に沿わないとメールがほぼ届かなくなる可能性があることから、メールを送信する側の組織が対策に追われています。

迷惑メール対策って、いったいなんなの?

迷惑な人を閉め出したい

現在インターネット業界が力を入れている迷惑メール対策は、「迷惑な人(組織)をメールの世界から閉め出す」というものです。

元々インターネットは性善説で動いていました。電子メールもその例に漏れず、設備(メールサーバ)さえ用意すれば、誰でもメールの世界に参加できるという、非常にオープンな環境でした。しかし残念なことに、ここに悪いことをする人が入ってきてしまったのです。

そこで、「設備を用意すれば電子メールの世界に参加はできるけれど、迷惑な行為をすると閉め出される」という方向性に向かうことになります。

具体的には、メールを利用している組織の行動を評価して、迷惑行為と思われる場合には、その組織からのメールの受け取りを拒否する、と言うものです。悪い評判の組織は「出禁」になる、みたいな感じですね。ちなみにこの評判のことを業界内では「レピュテーション」と呼んでいます。

迷惑行為を行なうとメールを受け取り拒否される

迷惑な人が他人になりすますのを防ぎたい

ここで大きな問題になるのが、「出禁」を避けるために、悪者が他人になりすますことです。自分の名前で迷惑行為をすると出禁になってしまうので。他人の名前で迷惑行為に及ぶことが横行します。これは、迷惑行為そのものも問題ですし、名前をなりすまされた人の評判に傷がつくという問題もあり、大変困ったことです。

悪者が他人になりすましてメールを送信する

そこでインターネット業界では、送信する電子メールのなりすましがあった場合、それを検出できるような仕組みを開発しました。この仕組みを使っていれば、悪者が他人になりすましてメールを送ったときに、「このメールはなりすまされた偽物である」と識別することができます。偽物のメールは受け取りを拒否すれば良いのです。

なりすましを見分けるために、正しいメールに証明を付ける

「本物」の証明はメールを送信する組織の責任

現在インターネット業界ではこのような方法で、「本物のメール」と「なりすまされた偽物のメール」を識別し、「偽物のメール≒迷惑メール」を電子メールの世界から締め出すという方向に進んでいます。

正しいメールに証明を付けるのはメール送信組織の責任

この取り組みの中では、メールを送信する組織の役割が重要です。メールを送信する組織は、メールが本物であると言う証明を用意する責任があります。具体的には電子メールサーバなどに「SPF (えすぴーえふ)」「DKIM (でぃーきむ)」「DMARC (でぃーまーく)」といった技術を導入します。

一方、メールを受信する組織は、これらの証明やその他の情報を総合して判断し、「不審なメールである」と判断した場合はメールの受け取りを拒否しても構いません。このとき、どの程度の「不審さ」までならメールを受け取るかの基準は、受信側の組織が自由に決めることができます

Googleが示した高い基準

ここで、非常に厳しい基準を設定してきたのが、今回のGoogleなのです。Googleが示してきた高い基準をクリアするためには、「証明」の設定だけでなく、エラーメール(宛先間違いなど)を一定以下に減らすなどの対策が求められており、これをクリアできない場合はGmailがメールを拒否する可能性がある、としているのです。実際、Gmailがメールの受け取りを拒否したため、高校受験の出願に支障が出るなど、大きなニュースにもなっています。

Googleがこのような厳しい基準を提案するのは、実は今に始まったわけではありません。2010年代からGoogleは迷惑メールに対して厳しい姿勢を示してきており、これまでにも段階的にメール送信組織に求める基準を引き上げてきました。Gmailは世界的に非常に利用者が多いため、Gmailが基準を引き上げることで業界が追随し、迷惑メールの締め出しが進むと考えたのかもしれません。

欧米の企業はそうした動きに対応し、SPFDKIMDMARCといった証明技術の導入も進んでいたのですが、日本では残念ながらこれらの技術が普及しているとは言いがたい状況でした。そういった中でGoogleが基準を一段階上げてきたため、日本では特に大きな騒ぎになっているのです。

迷惑メール送信の最新手法

さて、こうした状況の中で、迷惑メールを送信する悪者も、迷惑メールを送信するために新たな手法をとってきています。その一つが、「正規のメールアカウント(メールアドレス)を乗っ取る」方法です。アカウントを乗っ取ることで、正規のメールサーバを利用しようというのです。

これまでの「なりすまし」による迷惑メールは、「なりすました悪者が横から入ってきた」ような状況でした。この迷惑メールは正規のメールサーバを利用しないので、先ほど紹介した証明技術により「偽物」と識別することができたのです。

そこで悪者は、正規のメール利用者が使っているID・パスワードを何らかの方法で不正に入手し、メールアカウントを乗っ取り、正規のメールサーバを利用するという方法に出ています。この方法だと、迷惑メールも正規のメールサーバを通過するため、受信する側から見ると証明を含めて「本物のメール」にしか見えません。巻き込まれた正規のメール利用者にとっては、自分の名前を騙られて迷惑メールを送信された形になり、自分の評判に大きな傷を残すこととなります。

メールアカウントを乗っ取って送信される迷惑メールが急増

残念ながら、最近はこうした方法で送信される迷惑メールが増えています。もちろん、他人のID・パスワードを盗んで利用する事は違法行為(日本の場合、不正アクセス行為の禁止等に関する法律により規制)であり、認められるものではないのですが、悪者の行為もどんどんエスカレートしています。

 

IIJでは、こうしたメールアカウントの乗っ取りによる迷惑メールの送信についても対策が必要だと考えています。これまでには、乗っ取られたと思われるアカウントから不審なメールが大量送信された場合に、それを検出して即座にアカウントを停止、利用者に連絡をするという対応をとってきました。

しかし、こういったある種の「事後対応」では限界があります。そこでIIJでは他人のメールアカウントを乗っ取る悪者の行動をAI(機械学習)で分析し、迷惑行為を未然に防ぐ対応を取る事にいたしました。これによって迷惑メールが世間に出回るのを防ぎ、さらに、メールアカウントを乗っ取られた人(組織)の評判に傷がつかないようにしようと考えています。

……こちらの対応については、IIJの技報「Internet Infrastructure Review Vol.63」に掲載しています。合わせてご覧ください。

日々高度化するサイバー攻撃からお客様を保護するための取り組み:定期観測レポート(IIR vol.63 1章)

日々高度化するサイバー攻撃からお客様を保護するための取り組み:定期観測レポート(IIR vol.63 1章)

doumae

2024年06月25日 火曜日

IIJ 技術担当部長 最近はインターネットの技術を紹介するのがお仕事です。元々プログラマ、サーバ・データセンター・ネットワーク・セキュリティ・モバイルといろいろやってきました。

Related
関連記事