迷惑メール対策カンファレンス議事録 1.日時 :2005年5月10日 2.場所 :品川コクヨホール 3.参加者:高橋 4.カンファレンス概要: このカンファレンスはspamメール撲滅を目指す技術ワーキンググループであるzlilwan が企画し、IAjapan(インターネット協会)が主催するspamメールの現状と対策、今後の メールのあり方についての講演ならびにパネルディスカッションの内容となっている。 5.内容詳細: 1)はじめに   インターネットメール全体の問題   ・ゾンビ(bot)による迷惑メールの大量配信   ・メールアドレスの詐称によるフィッシング   日本国、固有の問題   ・携帯電話への迷惑メールが大半を占める   ・法律の規制が問題でフィルタリングに限界がある。    →通信の秘密、検閲の禁止     (検閲の部分に抵触するためISP等の電気通信事業者ではコンテンツフィルタは     標準で提供できない)   今回の参加者は300人募集したが2日も経たず登録が埋まった。   想像を絶する反響でもっと人が入れる会場にすればよかったと反省。   ※本カンファレンスの講義スライドは後日IAJapanのWebに公開 2)基調講演  講師:Meng Weng Wong氏(Spf考案者)  今後のメールシステムのあり方(spamをどうやって区別するのかが課題となる)  @IPアドレスや評価システムを利用しての本人性確認    SPF、SENDER ID     DNSを利用し、IPアドレスを元に封筒の送り主を認証する    Sender ID(PRA)     DNSを利用し、IPアドレスを元に便箋の送り主を認証する    DomainKeys     秘密鍵、公開鍵方式を利用し、便箋の署名を元に便箋の送り主を認証する   ・Spfの確認方法    # dif +short zproxy.gmail.com    メールヘッダーには『Recived-Spf』という項目で表示される。   ・Domainkeyの確認方法    # dif +short beta._domainkey.gmail.com txt    Domainkey-Signature  2年くらい前に送信者認証が話題になったが、当時AOLとHotmailのドメインが多く  spamerに使われていた現状があった。そこでこの2つでは早い段階に送信者認証を  取り入れることにし、その成果でspamメールの数はかなり減らすことができた。  ※ただし、この送信元認証というシステムの場合、spamerであってもきちんと正規   にドメインを持ち登録してしまえばSpfやDomainkeyを正常に通過することが可能   となってしまうという欠点がある。  このような欠点を補うサービスとして現在では上記のようにIPアドレスだけで認証  するのはなく、届いたメールを評価をするサービスも登場してきている。   Cloudmark社   # dig +short dealsoffer50.com.rating.cloudmark.com txt   cloudmarkでは任意のドメインを良い送信者からの物なのか、悪意の送信者からの   物なのかを評価している。評価は1-100でされる。   この方法では先の方法と違いIPアドレスではなくドメイン名で認証する。  IPアドレス(43億程度)だけで良いか悪いかを判断するのは母体の数が多く面倒であ  り、ブラックリストに記述していくのも管理上限界がある。  その点ドメイン名(1億程度)でブラックリストを作成した場合はまだ管理が楽である。  最近ではコンテンツによるフィルタも増えてきたが、これは検閲という部分で法律  上問題になるケースがあったり(日本がまさにそれ)、処理に高負荷が伴うことから  コストが高くなるという欠点がある。  送信者による検閲はそれに比べてコストも低く済み、法律の問題もクリアされる場合  がある。  A現在あるSMTPを利用したシステムを捨て、新しいメッセージングシステムを考案   RSSを次世代メールシステムに使えないかと考えている。   この方法はInternet Mail 2000に提言されている。(10年位前から考えられてきた)   Earthlink というところでは実際にこのようなサービスを開始している ※ このシステムは自分のアドレスブックに登録された人からのみメールを受け取るこ   とができる仕組みを取っている。  現在普及しているRSSは通常1:nの関係となっている。これを少しアップグレードし  て1:1を扱えるようにし、メッセージングシステムで利用できたらと考えている。  これからは全く未知の人からのメールを受け取るか受け取らないかを選択する時代  にしていくべきである。現行の未知の人からメールを受け取る仕組みではspamを受  け取ること自体を100%無くすことはできない。(判定して見なくすることは可能でも)  このRSSを利用したシステムと評価のシステムを組み合わせることでより精度が高く  使いやすいシステムを作ることができるかもしれない。  現在のIMでは先にこの概念をシステムを取り込んでいる『登録者以外からのメッセ  ージを受ける』『受けない』と設定できることでわかってもらえると思う。今後の  メールはこのようなものの延長線上となっていくかもしれない。  質疑応答:  Q>送信者認証の標準化はいつ頃を考えているのか。  A>ドメイン認証の標準化はEETFに提案してもう12ヶ月が経とうとしている。毎月    話し合われているようだがあと6ヶ月くらいたつと返事がくるかなぁ・・・。  Q>RSSを利用したシステムを考案されているがネットワークトラフィックはこの方    が断然的に多くなるのでは?POP一つ取っても非常に無駄なアクセスが多い。  A>今のままではそうだろう、送信者側がメッセージ送信時にISP当てに送ったよと    いうUDPパケットを投げる方法を取ることで、受信者は無駄な問い合わせをする    必要が無くなりトラフィックも抑えられると思っている。それにISPのサーバリ    ソースをあまり必要としなくなるため全体的なコストを落とすことができる。    (受信者は送信者に直接メッセージを受け取りにいくシステムだから)  Q>送信者ドメイン認証の特許等はどうなっていますか?  A>SPFについてはフリーで利用できます。皆さんもまず導入を考えてみては?    マイクロソフトが提唱しているDomainkeyについては特許取得を考えているよう    だがそれを利用したからといって訴える等といったことは考えていないようだ。 3)迷惑メールに対する世界的な取り組みについて  講師:IIJ 近藤 学 氏  背景:・酷くなる一方       負け組みである→勝ち組みであればこんなセミナーはいらない。     ・組織単位でどうこうなる状況ではなくなっている       出し手も受け手も     ・国境も存在しなくなってきた。       Botnetの普及が主な原因となっている  潮流:・共同戦線を張る     ・官民連携あるいは民間(業界)主導になりつつ     ・国際連携が必須  共同戦線団体   MAAWG(MessagingAnti-Abuse Working Group)   ASTA(Anti-Spam Technical Alliance)   APWG(Anti-Phishing Working Group)   JEAG   共同戦線その他いろいろ    FTC E-mail Authentication Summif    迷惑メールへの対応のあり方に関する研究会(総務省)    FSTC(Financial Services Technology Consortium)  MAAWGとは   2004/01創設 2004/06 NPO化   http://www.maawg.org   基調講演を行ったMeng Weng Wong氏がシニアエンジニアとして活躍中   日本からはIIJのみ参加   ・Working groupには以下のようなものがある     Collaboration/Technical/Public Policy/Wireless SIG   ・日々のSWG活動の他に3-4ヶ月毎にGeneral Meetingを開催している     前回は3月頭にSan Diegoで開催     次回は6月下旬にドイツのDusseldoftで開催予定  JEAGとは   2005/03創設   ・日本の携帯キャリア/ISP/ベンダなど約30社が参加   ・送信ドメイン認証/OP25/啓蒙/携帯について各SWGで構成     まだ成果物は無いが今年の後半には取り組み実績公表予定 4)携帯メールにおける迷惑メールについて  講師:KDDI 本間 輝彰 氏  日本の特徴として携帯での迷惑メールが多い  携帯のメールが迷惑メール配送業者に狙われる理由は・・・   ・携帯所有者は人口の約7割   ・携帯加入者の9割が携帯インターネットを利用している。   ・携帯ユーザは幅が広いため子供でも受信可能である。そのため知識がある    人ばかりでなく知識をもたないユーザも多く鴨が多い。   ・携帯利用ユーザのメール貼り付けURLへのクリック率は約10%ほどある。   ・反応率はPCメールよりも圧倒的に携帯メールのほうがいい。   ・リアルタイム性がありシステムが安定している(携帯キャリアの投資大)。  携帯キャリアに迫った危機と対策   ・電話番号アドレスに対して迷惑メールを一斉配信     →電話番号だけのアドレスから文字のアドレスへ   ・存在しそうなアドレスへ大量配信へ・・・携帯キャリアではメールの遅延発生。     →解決に至っていない。   ・Fromアドレスの成りすましメールが増えた。     →成りすましフィルタを導入。全メールの2割程存在するなり済まし除去。   ・携帯以外から発信されるメールの通数規制を実施     →携帯を分解し、PCから携帯をコントロールし携帯から大量発信すると      いう荒業登場(携帯キャリアは発信に料金がかかるため予想してなかった)    予想では迷惑メールは本当に儲かっている・・・電話10台用意して送信したとして    大体300〜500万くらい費用がかかっているが・・・。数億のあら利があるとされる。    ※Docomo 2003年10月 1日の送信回数を1000件に     ここで紹介された表では各社の送信規制数等が記載されている   ・携帯発メールはオリジナルの送信認証しているため、どのユーザが何通送信    しているのかを判別することが可能であることから送信規制へ。     →代理名義等を利用して多くの携帯を入手されるようになった・・・。      →ユーザに法に抵触する場合あると啓蒙および省庁からの呼びかけ。  今後は携帯外からのメール送信にSMTP Authを完全普及すればISP経由の迷惑メール  はかなり減ると思われる。  それには・・・  ・各ISPとの連携  ・関係省庁への働きかけ(海外も含む)等の整備が必要  最近の傾向として   Bフレッツの動的IPからの大量送信が増えている    →1アカウントで1日に1000万通の送信が可能であること確認済み  DIONで取ったspam業者の排出対策として   →オンラインサインアップでの即時開通を撤廃    →逆に手続きを不便にすることでspam業者は便利な他の業者へ移っていったw 5)迷惑メールに対する包括的な技術対策  講師:IIJ 山本 和彦氏  メールを追跡可能にするには   ・配送と投稿の分離(サブミッションポートの対応)   ・ゾンビからの配送の禁止(Port 25 Blocking)   ・投稿に対するユーザ認証   ・配送に対するドメイン認証     alice@example.jp     まずは配送する元でユーザ認証(Smtp Auth)、配送先でドメイン認証  【注意】   ISP/ASPのメール管理者の共通理解   ・すべてのISP/ASPがすべてを実現できるわけではない    政治的、技術的、経済的な理由から   ・インターネットのあるべき姿とはという問題に    ・ユーザに自由を与えるが責任も課す?    ・ユーザの自由を制限するが安全なサービスを提供する?  現状の問題   ゾンビによる迷惑メールの大量送信   メールアドレスの詐称    メールの追跡が困難    フィッシング等が横行  サブミッションポートの提供(投稿と配送を分ける)  配送   ・ドメイン間の通信(Port25)  投稿   ・ユーザとそのドメイン間の通信(ポート587)    SMTP/Submission over SSL/TLS    SMTP over SSL も一案    ポート465番    ポート25番の代替ポートという意味  IETFはSSLよりTLSを推奨   TLSは同一ポートを使う  推奨の順序   1.Submission over TLS (port587)    投稿用にはこれが一番望ましい   2.SMTP over SSL (port465)   3.SMTP over TLS (port25)  サブミッションポートにはユーザ認証を必須とすること   POP before SMTPでは不十分(IPアドレスで許可では制限が足りない)   Smtp Authを原則とする。  理想的にはポート25番への投稿を禁止する   追跡しにくい動的IPからを全て   固定IPからのspam発信は受信側でIPブラックリストを作成できる   独自にメールサーバを運用したい人は固定IPへするのが望ましい  Outbound Port 25 Blocking導入実績   AT&T、BELL CA、BELL south、comcast、earthlink、msn、verizon等  SMTP Authが前提となってきた後に予想される新しい攻撃   →パスワードを盗むゾンビが出現   →堂々と迷惑メールを送信する業者が出現(止められたらプロバイダ乗り換え)  投稿にレート制御をかける   ・短時間にたくさんの迷惑メールを送信させなくする(これはかなり有効)  ドメイン認証   配送にはドメイン認証を取り入れる  メールが追跡可能になった後は   ・迷惑メール配送業者は独自ドメインをとり、送信ドメイン認証をクリアする    形で迷惑メールを送るようになる   ・使い捨てドメインがはびこる?  今後のspamメール対策にはドメインを評価するサービスとの連携が肝となる  →リピュテーション(Reputation)と呼ばれる  ・ISP/ASPの将来像   ・追跡可能なメールシステム   ・リピュテーション   ・コンテンツ・フィルタ 6)国内における迷惑メール対策活動  講師:樋口 貴章 氏  迷惑メールの状況   迷惑メールに対する基本アプローチ    ISP経由、大学経由、日本国内経由、国際間の迷惑メール発信者の摘発ならび    に技術情報の交換  受信側の対策   迷惑メール・フィルターソフトの導入   ・企業などの場合、メール・サーバへの導入   ・個人ではフィルターをサポートしているメール・ソフトの使用  迷惑メール対策の基本コンセプト   ・包括的な対策    →技術的対策    →法制度の整備    →教育・啓蒙活動  メール送信のパラダイムシフト   ・これまでのメール     送信したメールはすべて受信   ・今後のメール     送信したメールは全て受け取られるとは限らない     送信認証等々  日本における迷惑メール対策活動   ・民間での活動    インターネット協会    迷惑メールに関する技術者連絡会    日本インターネットプロバイダ協会    JPCERT/CC    JEAG    IGTF インターネット・ガバナンス・タスクフォース(http://igtf.jp)   ・政府側の活動    総務省     2004年10月に迷惑メールへの対応のあり方に関する研究会立ち上げ    経済産業省     商法的観点から迷惑メール対策へ乗り出す 7)Outbound Port25 Blocking導入の背景  講師:小野里 氏  ・ゾンビPCの膨大化  ・迷惑メールが多くなってくることでメールに対する不信感   →メール文化の崩壊を招く  実施を案内したがPort25って何?的な問い合わせが全問い合わせ件数の9割を占めたw  実施後にトラフィックを確認するとWAKWAK経由の全メールの8割がspamであった^^;  Port25 Blocking実施ISP   米国では多くのプロバイダにて実施済み   →www.postcasterserver.com/help/Port_25_Blocking.aspx  今後はISPが配布する設定マニュアルをPort587をデフォルトとしていきたい 8)送信ドメイン認証  講師:パナソニックネットワークサービシズ 池田 武 氏  SMTPの問題点   ヘッダの送信者アドレスを簡単に詐称できる   プロトコル中の送信者アドレスエンベロープも簡単に詐称できる   自分宛てのメールであれば誰が送ったものでも受信される  詐称の防止方法   電子署名による本人認証(S-MIME等)   DNSベースによる送信ドメイン認証    ・送信ドメインの正当性をDNSを用いて検証、ドメイン認証では個人を特定する     ことは難しい    ・MTA間で検証を行い、送受信者は認証を意識しない場合が多い。    ・DNSの権限者=ドメインの権限者であることにより検証結果を信頼し自動化する  送信ドメイン認証   SPF/Sender ID(MFROM)    IPアドレスに依存   Sender ID(PRA)    IPアドレスに依存   DomainKeys    IPアドレスには依存しない    メールのヘッダについた公開鍵と照らし合わせる  導入に際しての課題【メール転送】  ・spf/senderid    対応不可。    SMTPプロトコルの拡張が検討されている  ・SENDERID    resent-fromヘッダに転送もとのアドレスを入れることにより可能  ・domainkey    問題なし  導入に際しての課題【メーリングリスト】  ・spf/senderid    MLプログラムによってMAILFROMがML管理者として発信されるため問題なし  ・SENDERID    Senderまたはresent-fromヘッダをML管理者おつることにより可能  ・domainkey    MLで再署名することにより可能    MLがSubjectやReceicedを書き換えるため署名対象を除外する必要あり  導入に際しての課題【第三者投稿サーバ】  ・spf/senderid    対応不可。    SMTPプロトコルの拡張が検討されている  ・SENDERID    Senderヘッダに送信サーバのメールアカウントを入れることにより可能  ・domainkey    **書けなかった**  運用ポリシー上の課題  ・spf/senderid    記述の最後に、?all/~all/-all/おwつけて、正規サーバ以外のポリシ    を公開する。    ※ISP系は?all/で企業系は-allで実施が望ましい  JPドメインの送信ドメイン認証の対応状況  2005年4月の段階でSPFで0.113%、dkで0.008%という状況・・・。  導入ステップ1   ISPの中には導入を始めているところもあります。   有名どころのものを真似してレコードを書いてみる  導入ステップ2   spfを検証する仕組みを受信MTAに入れていく   sendmailなら8.12以降でsid-milter  導入ステップ3   domainkeys導入   sendmailなら8.12以降でdk-milter 9)リピュテーション  講師:IronPort Systems 脇山 氏  スパム防止のための基本的な対策  ・コンテンツベース   送られてくる内容を分析    例    ルールエンジン    ベイジアンなどの学習型フィルター  ・アイデンティティベース   送り元が誰かを分析してスパムをブロックする    例    ブラックリスト/オープロキシリスト    ホワイトリスト    リピュテーション  ブラックリストにはさまざまなものがある。  主なブラックリストの特長   ・SPEWS    もっとも攻撃的なブラックテスト。一旦掲載されるとリストから外されない。   ・MAPS RBL    数少ないコマーシャルベースのブラックリストサービス   ・SpamCop    IronPort社で買収したらしい    検知率高い←ん?本当か?  ブラックリストの問題点   そもそもどれを使用すればいいのかという選択の問題   1/0の判定は誤検知のもの   チューニングはエンドレス   リスト掲載、解除の時間的ギャップの問題   苦情情報に依存した恣意性(信頼)の問題   ダイナミックIPをはじいていいのかの問題  ブラックリストだけでなく情報、流量、流量の変化、振る舞い、オーナー、履歴  など総合的に判定する必要がある。→リピュテーション  主なリピュテーションサービス   TrustedSource   Cloudmark Anti-Phishing Reputation Service   SenderBase←IronPort社が行っているサービス    (75,000以上の情報提供企業、ISP 40億クエリー/日以上 インターネット上の    電子メールの25%以上 45項目以上の項目から採点)   Kelkaa IP-based Repyutation Services   Symantec Brighmail Reputation Service   GOSSIP Project  SPAMコンテンツフィルターの処理は重いため先にリピュテーションを行いふるい  落としてからコンテンツフィルターを実施することが望ましい  リピュテーションについて参考までにwww.senderbase.orgを見てほしいとのこと。 10)迷惑メール対策と法律 パネルディスカッション  国としてspam対策をどう考えているか。   総務省としてspamメールに撲滅に対しH14年に制定されている『特定電子メールの   送信の適正化等に関する法律(特定電子メール法ともいう)』の抑止力効果が少ない   ことを受け、今年度改正を図っている。  ※早ければ5月13日に締結される運びとなる。  メールを取り扱う業界代表からの意見   spam対策をする上で、現在の『電気通信事業法』は重い足かせとなっている現状が   ある。特に以下の条項について改正して欲しい。  検閲の禁止   第3条 電気通信事業者の取扱中に係る通信は、検閲してはならない。  秘密の保護   第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。 後日以下のWebページにて今回のカンファレンス資料が公開される予定だそうです。 ※5月11日現在では公開されていませんが・・・。 IAjapan http://www.iajapan.org/anti_spam/event/2005/conf0510/application.html WIDE University, School of Internet http://www.soi.wide.ad.jp/contents.html