米Googleら15社は1月31日(現地時間)、フィッシングやスパム対策のための標準確立を目指す作業部会「DMARC.org」の発足を発表した。業界全体の認証フレームワークを設けることで、フィッシングなどの脅威を緩和したいとしている。
DMARCは「Domain-based Message Authentication、Reporting & Conformance」の略で、電子メールの発信元認証のための標準策定を目指す。
参加企業はGoogleのほか、米AOL、米Facebook、米Microsoft、米PayPal(eBay傘下)、米Yahoo!、米LinkedInなどのIT企業が中心だが、Bank of America、Fidelity Investments、American Greetingsなども名を連ねる。これらの企業は1年半前から信頼できる電子メールエコシステムの実装を目指して作業を進めており、今回の作業部会発足となった。
現在、発信元を偽るスパムやフィッシングの対策として、送信ドメインを認証するSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)などの認証技術がある。ただし、事業者同士が提携していない場合、電子メールサービス事業者が電子メールを受け取る際に送信者がどの認証標準を利用したかを知る方法が確立されておらず、複雑かつ不完全な対策を講じているという。
DRARCは標準ベースのフレームワークで、送信者が電子メール認証技術をインフラに導入するための包括的な方法を定義するもの。例えば、送信者が認証されていない電子メールを破棄するようサービス事業者に要求するポリシーを設定するといったことができるほか、サービス事業者が送信者に詳細なレポートを送る仕組みもある。これらにより、認証システムのループにおける欠陥を見つけやすくするという。
DMARCはドラフト仕様段階にあり、今後はフィールド実験でフィードバックを収集し、標準化団体「IETF(Internet Engineering Task Force)」に仕様を提出したいとしている。