見出し画像

携帯キャリアのメールアドレスには、なぜ迷惑メールが届きやすい?を技術的に検討する(前編)

藤田紀行(株式会社WOW WORLD CTO)

はじめに

こんにちは、株式会社WOW WORLD(旧 エイジア)の藤田です。私はメール送信のお仕事をしているのですが、携帯キャリアのメールアドレス(※)に話が及んだとき、このような反応が返ってくることがあります。
携帯キャリアのメールアドレスまだ使っている人たくさんいるんですか?
・携帯キャリアのメールアドレスって迷惑メールよく来ますけどあれは何でしょうね。Gmailなら来ないのに……

※携帯キャリアのメールアドレス=@docomo.ne.jp(ドコモ)、@ezweb.ne.jp・@au.com(au)、@softbank.ne.jp、@i.softbank.jp(softbank)

携帯キャリアのメールアドレス(以下、キャリアメールと略記)は、日本のBtoCのメール送信(企業からお客様に送るメール)では、20%くらい使用されています。 ahamo、povo、LINEMO の携帯キャリア3社が提供する格安料金プランが開始して少し下がったのですが、まだまだ無視できない割合です。

その無視できない量のあるキャリアメールには、迷惑メール(スパム)がよく来ます。私のキャリアメールにもたくさん来ます。携帯キャリア3社の格安料金プランが出てきたとき「メールはキャリアメールなんて捨ててGmailあたりに乗り換えればいい」という意見や宣伝はたくさんあって、「キャリアメール 必要性」で検索するとチラホラ出てきます。

ではなぜ、Gmailなどと比べてキャリアメールには迷惑メールが来がちなのか?単なる技術的な優劣なのか?いや、そうとも言えない(そして携帯キャリア各社にはここまでしてほしい)、というのが今回のテーマです。
説明すると案外長くなったので、全3回の構成です。今回は総論です。

迷惑メールの判定処理と対立する通信の秘密の尊重

アプリを入れればすぐ通信できるLINEやFacebookMessagerと違い、メールを受け取ったり送ったりするには、インターネットを通してメールを送受信するサービス(以下、メールサービスと略記)を利用する必要があります。メールサービスの提供元は大きく分けると
①フリーメール(Gmail、Yahoo!メール、outlook.com、iCloud など)
②キャリアメール
③インターネットサービスプロバイダー(ISP)のメール
④企業や大学など組織・団体のメール
の4つです。

迷惑メールを利用者に届けないためには、メールサービスが利用者に代わってメールの通信や内容から迷惑メールを自動で判定する必要があります。しかしこのことは、通信の秘密という概念と対立します。

日本国憲法第二十一条
1、集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。2、検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

日本でメールサービスを提供する事業者(④企業や大学など組織・団体は含まれない)は電気通信事業法の定める電気通信事業者です。その電気通信事業法には、このような条文があります。

電気通信事業法
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
第6条 電気通信事業者は、電気通信役務の提供について、不当な差別的取扱いをしてはならない。

メールサービスが「利用者に対して迷惑メールを届けないため」という正当な理由があっても、そのサービスを提供する電気通信事業者はメールの内容を見ることは通信の秘密を侵すことになる、というのが原則論です。
そんな馬鹿な!迷惑メールの判定ですよね?と思われる方がいます。私も最初これを聞いたとき驚きました。

迷惑メールの受信を防止する仕組みに、受信するメールサービス側でメールがどこから来たかを調べて、正当なメールかどうかを判断する「送信ドメイン認証」があります。
この送信ドメイン認証と通信の秘密の関係を説明する総務省のぺージ送信ドメイン認証技術等の導入に関する法的解釈について)にある「受信側における送信ドメイン認証技術導入に関する法的な留意点」では、

画像6

のように法的問題を定義し、下のように判断しています。

画像6

メールの内容を機械的に処理し正当なメールと判定すること(この判定結果は迷惑メールかどうかの判定にも影響する)を、通信の秘密を侵す行為、と明記しています。
それではメールサービスの利用者も提供者も双方に良くないので、当事者の同意を元に送信ドメイン認証を適用する条件は○○です、という内容がこの総務省のドキュメントでは続きます。その内容はこのnoteの以降の記事で説明していきます。

それでは、日本国内から利用する Gmail に、日本の法令が定める通信の秘密が適用されるか?というと、されません。Gmail、outlook.com、iCloud は設備管理主体(要はサーバーがたくさんある中心地)が海外だからです。このことも総務省は認識していて問題視しています。

電気通信事業分野におけるグローバル課題の対応の在り方について

画像6

メールを誰かから受け取ったりメールを誰かに送ったりするとき、相手先のメールサービスを示す@の右にあるドメインを見て「あぁ、これは国内にサーバーがあるから通信の秘密の対象である通信なのだ」なんてふつう考えません。けれど、通信の秘密の対象かどうかは、そのドメインがどの国にサーバーがあるかによって変わります。分かりづらいです。

メールの中身をどこまで見るか、も違う

メールサービスが迷惑メールを自動判定し、利用者へ必要なメールだけを届けるためには、その件名・本文(中身)も迷惑メールを判定するシステムになるべく多く入力できたほうがより良い自動判定ができます。
しかしこれは、メールを送る人とメールを受け取る人(メールサービスの利用者)という通信の当事者ではない第三者であるメールサービスの提供者がメールの内容を取得する必要がありますので、これも通信の秘密と真っ向から対立する仕組みです。

その結果ドコモ・auでは、利用者が「迷惑メールと申告したメールだけ」を利用者の同意の元に迷惑メールを判定するシステムへ送るようになっています。(Softbankに関してはこの点に関する言及がサイトになかった)

ドコモの迷惑メールおまかせブロック(シマンテック社の迷惑メール自動判定を使用する)では、ご注意事項・ご利用規約で「セキュリティ会社(シマンテック)への報告には、判定エンジンの精度向上のために必要となる迷惑メールおよび誤判定メールの原文を添付して送付します。」と明記しています。

画像7

au ではそのサイトで「迷惑メール自動判定(フィルタ)の判定材料は、お客様から申告のあったものですよ」と図解入りで説明しています。とても分かりやすく利用者として好感が持てます。

画像7

このような説明は携帯キャリア(ドコモ・au)が、利用者の「これは迷惑メールですよ」と申告したものに限定して迷惑メール自動判定に使用していることを示しています。迷惑メールと申告のないメールは機械的処理であっても無断で見ない、と通信の秘密を尊重していることが見て取れます。

では、一方の Gmail はというと、こちらは受信したすべてのメールの内容を機械的処理にかけ、迷惑メール判定だけでなく分類(メイン・ソーシャル・プロモーション・新着・フォーラム)も行っています。
同じIPアドレスで同じ送信者がメールを送っても、内容によって「新着」だったり「プロモーション」だったりします。

画像7

キャリアメールとGmailでは迷惑メール判定で実施されていることが違う

このような法的背景やキャリアメールとGmailの仕組みの違いから、キャリアメールとGmailに代表されるグローバルなフリーメールでは迷惑メール判定で行うことが違います。

携帯キャリアが迷惑メール判定で行うことはこうなっていて

①メールがきたIPアドレスのレピュテーションが低いとき受信を拒否
②SPFによる送信ドメイン認証がpassしないメールの受信を拒否
③携帯キャリアが契約している迷惑メール判定の外部サービスの情報や利用者の迷惑メール申告があったものを元に、届いたメールを迷惑メールかどうか判定し、迷惑メールと判定したものを迷惑メールボックスに振り分け
④携帯キャリアで以前からある「ドメイン指定拒否」をはじめとする受信者によるフィルタリングの設定

Gmailに代表されるグローバルなフリーメールが迷惑メール判定で行うことはこうなっています。

①メールがきたIPアドレスのレピュテーションが低いとき受信を拒否
②SPF・DKIMどちらも送信ドメイン認証がpassしないメールの受信を拒否
③DMARCを使用した判定で、送信ドメイン認証がpassしないメールの受信を拒否、または、迷惑メールボックスに必ず入れる
④利用者にいままで届いた迷惑メールの件名や本文を学習し、個別のルール・パターンマッチング・機械学習で迷惑メールと判定したメールを拒否

各点、どのような違いなのかを次回以降で説明していきます。

全体としては、Gmailに代表されるグローバルなフリーメールの方が、迷惑メール判定で行うことや元となる情報が多いため、迷惑メールを利用者に届けない仕組みとして優れています。その結果、携帯キャリアメールには迷惑メールが来やすい状況にあります。

選択肢のあることが大事

AndroidやGmailに代表されるGoogleや、iPhoneに代表されるAppleの仕組みは優れたものだと私は思いますし、私もAndroidとGmaiの利用者の一人です。一方、日本に住んでいる方にとっては、その法令が定める通信の秘密が尊重されるこも大事です(Googleが利用者の通信内容を不当に使用している、ということではありません)。

携帯キャリアメールと聞いたとき、インターネットに慣れた人ほど「まだあれ使ってるの?」という反応をしがちですが、通信の秘密をどれだけ尊重するかで判断すれば携帯キャリアメールに分がありますし、利便性で判断すれば迷惑メールが来づらいGoogleやAppleが提供するグローバルなフリーメールに分があります。

サービスの利用者にとっては、利用者のおかれた状況や好みに応じてどちらを使用するか(または両方使用するか)、選択できることが大事なんだろうね、と考えています(結果、私は両方使用する派です)。

次回以降はDMARCという「送信ドメイン認証」では比較的新しい仕組みについて、携帯キャリアメールではどのようになっているかを説明します。(現状、これが携帯キャリアメールでは提供されないので、特にフィッシング詐欺のメールとかで防ぎようのないことが起きている……)




この記事が気に入ったらサポートをしてみませんか?