名乗るあなたはほんとに本人?

そのメールは本当にその人からか(RBB TODAYより)より:

 実際にその文面をここで紹介するわけにもいかないので概要を書くと、まず「○○です」と姓を名乗った後「携帯電話を従来とは別の会社のものにする」ことが述べられ、番号とメールアドレスが書かれ「返事は新しい電話機の方に送って欲しい」とした後「また会おう」という旨の一言で締めくくられている。
 至って普通のメールアドレス変更の通知だと思われるだろうが、問題は私が発信元のメールアドレスに見覚えがないことだった。メールは携帯電話のアドレスから送られており、本文は改行なしで全角約60字分が1行に詰め込まれている。文中で名乗っている姓の知人はいるが、その人の携帯電話のメールアドレスは知らない。ヘッダを見ると、確かにその携帯電話会社のサーバーから発信されていた。迷惑メールだったら1通ずつ携帯から送るようなことはないだろうと考えて、やっとこれは本当に知人からの通知だろうと思えた。

ここはS/MIMEの出番だ。本来は、S/MIMEをはじめとするPKI技術はこのようにデータや文書の真正の証明に力を発揮する。PKIもそのルート証明書をどのタイミングが誰がシステムに既定の状態で設定するかが問題になるが、その部分が解決できていると仮定すれば、PKIほど安全なシステムは現時点では存在しない*1

ただ、このS/MIME。想像以上に普及しない。サポートしているメーラー(MUA)が不足していることも理由の1つだろうが、証明書の発行の手間とコストも普及の阻害要因になっているのだろう。また、S/MIMEをはじめとするPKI技術は完全な実装を行おうとすると、システムへの負荷が馬鹿にならない。たとえば、大量のメールを短時間でスキャニングしなければいけないときなど、それぞれにCRL(Certificate Revocation List)の確認一つを行うことは現実的ではない。勢い、中途半端な実装が増えることになる。

PKIの普及のためには、その使われるシナリオごとに、必要とされる実装レベルについて業界で規定するのが必要かもしれない*2

*1:Windowsに何をあらかじめルート証明書として組み込むべきかは常に議論の的となる

*2:CSPやCPSについて言っているわけではない