本当に本人が書いたメールだろうか

誰かさんからメールが来た。でも、ホントの本当に彼が書いたものだろうか。

先日、PostPetのお試し版で遊んでいて、あることに気が付きました。PostPetは、ソフトの中で飼っている亀さんやウサギさんが電子メールを届けてくる楽しいメーラーです。メールをペットに持たせて送ると、相手がPostPetを使って受信したときに、お使いに行ったペットが相手先から電子メールを飼い主に送ってきます。「今日、山田さんのところにいった。亀太郎と遊んだ。一回なぐられた..。」みたいなメールです。これで、相手が少なくとも受信したことがわかるのですが、実は、このペットが発信した電子メールの内容を、肝心の発信者は知らないのです。つまり、バーチャルなペットとは言え、メールソフトの利用者以外の誰かが、その人のアドレスで電子メールを発信するという、前代未聞の(^^;メールソフトなんだなぁ、これが。でも、まてよ、パスワードを記憶させていないメールソフトからでも、勝手にペットが電子メールを送れるということは、誰でも他人のメールソフトから電子メールをこっそり送ることができるということだろうか。実は、メールソフト(メーラー)で設定するパスワードは、メールをサーバーから読んでくるときに使うもので、送るときにはパスワードは使っていません。だから、他人のパソコンの電子メールソフトを使って、その人の名前でメールを送信することは可能なのです。そのソフトさえ使える状態になっていれば。

電子メールソフトの設定で、SMTP(Simple Mail Transfer Protocol)サーバーという名前が出てきますが、SMTPというのは電子メールをパソコンからサーバー、サーバーからサーバーと言う具合に転送していく手順のことです。この手順は、対話形式で進みます。パソコンでメールを書いて送信ボタンを押すと、メールソフトはSMTPサーバーに接続要求を出します。すると、サーバーのOSがsendmailというソフトを起動して、受信準備ができたという文字列を返してきます。次に、メールソフトは自分のドメイン名を送り、サーバーにどのドメインから来たメールかを教えます。それから、メールソフトは、MAIL FROMとRCPT TOというコマンドで、誰から誰に行くメールなのかを伝え、DATAコマンドで本文を送ります。あとは、QUITコマンドでおしまいです。この間、どこにも本人を証明するところはありません。MAIL FROMの後に送り主の名前が書かれるとはいえ、適当な名前を入れても正常に送られてしまいます。さらに、注意しないといけないのは、電子メールを開くとメールソフトの画面にFrom:で始まる送信元のアドレスが表示されますが、これはSMTPの手順でMAIL FROMの後に送る文字列ではありません。実は、From:とかReply-To:とかSubject:などは、DATAコマンドで一緒くたに送られたデータから、メールソフトが抽出しているだけなのです。ですから、これらが無くても、間違っていても、あるいは故意に嘘がかかれていてもメールは届きます。このように、見かけのデータでは、いくらでも嘘がつける電子メールですが、発信した後でデータ部に付け足される経路情報だけは変えることができません。これは、電子メールソフトで、メールのヘッダーをすべて表示するモードにすると見ることができます。このリストの一番下に、発信者の使ったパソコンのドメイン名が書かれています。LANから発信されたものであれば、そのパソコンのIPアドレスまで分かります。もっとも、プロバイダーにダイヤルアップ接続したパソコンから発信された場合は、パソコンまでをこの方法で特定することはできません。でも、必ずプロバイダーのサーバーには記録が残っていますから、本気で追跡するつもりであれば、発信者のダイヤルアップアカウントを割り出せるかもしれません。

このように、発信者をごまかしたメールが送られる可能性がある一方で、逆に匿名で発信したい人のために、インターネットでは匿名(anonymous)メールというサービスが提供されています。なぜ、こうしたサービスが必要かというと、メールの発信者を割り出して弾圧しようとする国も、世界のどこかにはあるからです。匿名メールについては、概要を説明してくれているページがあります。こうした匿名メールは、一度、仲介するサーバーがメールを受け取り、そこまでの経路情報を消去してから、再びメールをおくり直すという方法を使っています。さらに、そのサーバーにログが残るのが嫌であれば、さらに別の匿名メールを提供しているサーバーを経由させるという手を使うのだそうです。匿名でメールを出すことが悪いことだとは言い切れないものが、インターネットにはあるのです。そして、私はこうした匿名メールを悪用した嫌がらせよりも、むしろ他人の名を語った電子メール攻撃の方がもっと恐ろしいと思います。上に書いたように、電子メールソフトの設定をちょっと変えるだけで、見掛け上他人になりすますことは可能です。ですから、誰かからあからさまに失礼な電子メールが送られてきた時には、まずは本人が書いたのではないかもしれないと考えるべきなのです。そして、冷静になって、こういうメールが来たが、本当にあなたが送ったものですかと聞きましょう。ケンカを始めるのはその後でじっくりやればよいのです。そして、本人から、そのメールに覚えが無いと返事が来たら、それは偽メールの可能性が大きいです。さらに、そのメールが悪質な嫌がらせメールだったら、そのメールを発信したメールホストの管理者に苦情を送りましょう。宛先は、postmaster@(発信元のドメイン名)です。メールホストを管理している誰かが読んでいるはずです。

しかし、いつも被害者になるとは限りません。例えばある日、警察官が職場にやってくる。「あなたは、どこそこ株式会社のだれとかさんに、脅迫する内容のメールを送りましたね。」え、そんな記憶はないですが..。しかし、彼らが示したメールホストのログには、確かに自分のパソコンから発信されたと記録されいるではないか。そう、職場のパソコンから誰かが脅迫メールを送っていたのです。これは、パスワードでキーボードロックしているか、ログインしてから使うようなパソコンでないかぎり起こりうることです。職場では席を立つたびに電源を落としたりはしないものですし、ルーズな会社では社外の人間がオフィスに入ってくることもあります。多分、この先、本当にインターネットが一般的に使われるようになると、軽犯罪的な行為は日常的に起きるでしょう。だから、こちらも、何でも起こりうるのがインターネットなんだという心構えをしておいたほうが良いと思います。

1997.12.12
ひとつ戻る つぎに進む