色々あった、腹くくった。腹をくくってもダイエットにならないのが残念(挨拶)。

 

「なりすましメール安心マーク」銀行への導入開始 - ITmedia ニュース を見たのでいくつか課題を書いておく。

 

今回は『常陽銀行がDKIM(dkim.jp | Japan DKIM Working Group)を採用したよ、Nifty MailかYahoo! MailのWebメールで見てね』というニュース。調べたらスルガ銀行はすでにDKIM対応しているっぽいけど。さすがスルガ。違いはサイバー法人台帳を使っているかどうかなんだろうか。マジメに調べてない。

 

このDKIM (Domainkeys Identified Mail) 、良い仕組みだけどまだ普及していない。普及していない部分を解消するために「Webメールで開け」ということになったんだろうけど、「Webメールで開け」じゃなあ。引っ掛かる人間は「Webメールで開け」と言われても、そういう手間を掛けないから引っ掛かるんだよ。Webメールの話はまた後で。

 

それに、MUA(Mail User Agent：いわゆるメールソフト)ではDKIM署名されたかどうかの判断が面倒。FAQ | dkim.jpから引用する。

「DKIM署名されてるかはどこを見ればわかりますか？」

DKIM署名されたメールは、メールヘッダに DKIM-Signature ヘッダが付与されます。

（DKIM-Signature ヘッダ 例）

DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=example.jp;
s=dkimjp20101115; t=1308471652;
bh=KF7zwHMa9ToPtsGy8urMTpCLCfTnzrcJ6mxHnrWCffQ=;
h=To:Sender:MIME-Version:Subject:From:Content-Type:
Content-Transfer-Encoding:Message-id:Date;
b=xdIeG4cUHIBhU0nix2V5tK9ZN7QwnKd+qYuFamqtZpon2EfsKfSwdGhSHvU6fRj3z
dp6tVjGpT64hx4eayxKcnjHTYMq8yRVgEPp9naNrCD7SIX70P6LvrbFpMZc85Exxpx
FZdETOXsumsY7pt6tpP9puwjN3/5EsYuwWM63AUY=

受信時にDKIM署名されたメールが認証されると、メールヘッダにさらに Authentication-Results ヘッダが付与されます。”dkim=pass”であれば、そのドメインから確かに送られたメールであることが証明されます。

Authentication-Results: example.com;
sender-id=pass header.from=example.jp;
dkim=pass (good signature) header.i=@example.jp

”メールヘッダ”とは、メールの送信・受信の際にメールに記録される送信者・受信者の情報です。閲覧する場合は以下のようにします。

 

Outlook Express の場合
受信トレイなどにあるメールを右クリックして[プロパティ]→[詳細]（このメッセージのインターネット ヘッダー）でヘッダ情報を見ることができます。

Thunderbird の場合
メニューから[表示]→[ヘッダ]→[すべて]を選択するとヘッダ情報を見ることができます。

Yahoo!メール の場合
ログイン後、メールを表示し、[詳細ヘッダー]というリンクをクリックするとヘッダ情報を見ることができます。

Gmail の場合
ログイン後、メールを表示するとメールに▼ボタンがあり、これをクリックし、[メッセージのソースを表示]を選択するとヘッダ情報を見ることができます。

 いや、こんな手間は掛けないだろメール開くときに。あとFAQ | dkim.jpなんだけど典型的な、分かっている人間が、分かっていない人間はどこで分からなくなるかを気にせず書いた文章ｗ。例えばコレ。

「スパマーが対応したらどうするんですか？」

DKIM で出来ることは「メールの送信元が誰であるかの担保」です。言い換えると、「なりすましのない世界」を作ることです。
もちろん、スパマーも DKIM に対応できます。しかし、「なりすまし」がなくなれば、ドメインによるメール送信元の正当性の評価が可能になります。これにより、正当な送信者は正当であると評価され、スパマーはスパマーであると評価できます。
DKIM は普及の初期段階において、「正当な送信者へのプラス評価の加算」して利用されることが想定されますが、十分に普及したのちには、「スパマーへのマイナス評価の加算」に利用されるでしょう。
このように、スパマーが DKIM に対応しても、より安全性を高められます。

このトートロジーっぽい文章読んで安心する人間は少ないだろ。こんなFAQにならないFAQを堂々と出しているから普及しないんじゃねーの？というか上にも貼ったdkim.jp | Japan DKIM Working Groupのリンクを律儀に開いた人は頭の中が「???」だったかも。先頭が↓だもん。

2014/6/7
dkim.jp解散について

dkim.jp(Japan DKIM Working Group) は電子メールに関わる事業者・団体が集まり、DKIM 技術の啓発・普及を目的として発足しました。そして、約3年半の間に国内のメール流通数に対する一定量の普及(*1)を達成することができました。また、なりすましメールをはじめとする迷惑メール対策としては、ドメインレピュテーションや DMARC(*2) など、DKIM を応用した新しい技術や枠組みを包括して対応していくステージにシフトしたとも考えています。
そのため、dkim.jp は2014年5月23日の総会をもちまして解散をいたしました。

まだ普及していないんだからやることいっぱいあるじゃん。次のステージって言っても、普及していないんじゃ専門家がゴチャゴチャやっているだけになるじゃん。まだ今回みたいに、DKIM採用したって程度でニュースになる段階だっつーの。普通、普及しているものはニュースにならないつーの。

 

てなわけでFAQ | dkim.jpとかへの文句を書いたけど、分かりやすくDKIMの説明をすることは大変難易度が高いので、オレはパス。自信ない。

 

というわけで、今回「Webメールで開け」と言われているNiftyとYahoo!のWebメールを調べてみた。「なりすましメール安心マーク」銀行への導入開始 - ITmedia ニュースの図に載っているのはこの2社だけだし、両方アカウント持っているし。そしてオレが調べると言えば、三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意！」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明な でおなじみのEV SSL証明書。

 

Gmailもそうだし、@nifty WEB MailもYahoo!メールもそうなんだけど、EV SSL証明書使ってない。

ここをフィッシングされたら今回のDKIM採用は意味がないな。まあ、操作手順的にあまり起こらないと思うけど。ありうるとすると次の順番。

1. 通常使っているMUAで銀行からのメールを受信。
2. そこにWebメールで開けって書いてあり、偽WebメールサイトのURLが貼ってある。
3. それで偽Webメールサイトを開くと銀行からのメールがあって、そこにフィッシングする側の目的とする偽銀行サイトURLあり。

 

まあ無いとは思うけど。ここまで凝ったことをすると大変だし、もっと簡単に引っかかるやつがいるし。でも、今回の件の落としどころがWebメールってちょっとどうなんだろう感は否めない。 

 

そういえば2社だけってことは、他のメールアドレスだとDKIMのヘッダ情報見ろってことだな、多分。引っ掛かる人間は、そういう手間を掛けないから引っ掛かるんだよ。