財団法人インターネット協会(IAjapan)は2006年3月13日、岐阜のソフトピアジャパンにおいてスイートバレー推進協議会情報セキュリティ推進研究会との共催で迷惑メール対策セミナーを開催いたしました。参加者は、当初の見込みを大きく上回る約80名。熱心な受講者に支えられ、会は盛況のうちに終わりました。今回は、このセミナーの概要をレポートします。
迷惑メール対策セミナーは有限会社エムブイシステムズの水越賢治氏の司会進行により進められ、最初にインターネット協会迷惑メール対策委員会委員長であるサン・マイクロシステムズ株式会社の樋口貴章氏にバトンが渡された。
▼ 迷惑メール対策には一致団結した活動が必要
樋口氏による「インターネット協会迷惑メール対策委員会の活動」は、迷惑メールの現状認識には2種類のタイプがあるとして、その対策の難しさを紹介するところから始まった。迷惑メールに困っている人がいる一方で、迷惑メールを受け取っていない、もしくは受け取っていても困っていない人がいる。このことが、迷惑メール対策の重要性を広く認知してもらう上で影響するということだ。
また、「迷惑メール」と言う用語から、逆に「受け手にとって迷惑なもの」であるという誤解が生じやすいため、(利用者が使う)メーラが持つフィルタリング機能で十分だと判断する場合がある。世界でやりとりされているメール全体の約8割前後が迷惑メール、しかも増加傾向にあると言われている状況で、迷惑メールの送信行為を止めることが大きな課題となっている。
現在の迷惑メール送信業者は、儲かるからやっている。迷惑メール送信は不正行為であり、犯罪であることを明確にし、かつ儲けにならないという方向に持って行くことが重要であるとした。
そのために、この問題はISPだけの問題というのではなく、インターネット全体の問題として捉える必要があること、そのために一致団結した活動が必要であり、あらためて皆さんのご協力をお願いしたいと続けている。
インターネット協会迷惑メール対策委員会の活動については、法制度・技術対策・情報共有の3点からなる包括的な対策が必要である。法制度に関しては、総務省の迷惑メールへの対応に対する研究会に参加したり国際連携活動を行っていること、技術対策に関しては現在利用可能な技術を組み合わせて使うように推奨した。
また、迷惑メール対策情報の共有については、技術セミナーを東京以外の地域でも積極的に展開することと、Webでの情報提供に際して、これまでのISPやASPといった組織の技術者向けから、大学の管理者や一般のメール利用者までより幅広い層へ向けた情報発信を強化していくことを予定しているとした。
▼ 迷惑メール排除のための法整備は大きく進んできている
樋口氏に続いて、ニフティ株式会社の木村孝氏による「迷惑メールの動向と法律」が行われた。木村氏はまず、迷惑メールとは何かという観点からその定義を紹介するところから話を始めている。
現在、社会的に問題となっているメールには、青少年にとって有害なメールや詐欺を目的としたメール、ウィルスメールといったように様々な種類がある。この中で、ウィルスメールは迷惑メールの対象に含まれないこと、フィッシングや振り込み詐欺などは刑事事件として対応することなどが紹介され、法的に迷惑メールとして取り締まり対象になる「特定電子メールとは」、広告、宣伝メールに類するもののみであることが示された。
最近の迷惑メールの状況としては、携帯電話会社の対策強化により迷惑メールの宛先が携帯電話からPC向けに移行したこと、迷惑メール配送業者がボットネットという仕組みを使ったり、不正に得たISPのアカウントや無防備な無線LANなどを利用して広範囲にメールを送信する手段を得てきていることなどが報告された。特にボットネットに関しては、グローバルIPアドレスで常時接続をしているWindowsマシンでは、きちんと対策がされていないと4分程度で乗っ取られてボット化してしまうことなどの事例が紹介され、ISPやASPだけでなく、一般利用者を含めた広範囲な対策が必要なことがあらためて示されている。
その迷惑メールを規制する法律として、総務省の特定電子メールの送信の適正化等に関する法律や経済産業省の特定商取引に関する法律が簡単に紹介されたのち、迷惑メールからの防衛手段と法律問題を考える材料として2002年に作られた特定電子メール法でのオプトアウト(メールの送信者に受信拒否の意思を伝えた場合、以降の送信を認めない方式)が紹介された。この法律によりはっきりしたことは、オプトアウト方式では任意に生成されたメールアドレスに受信者がいることを迷惑メール配送業者に知らせてしまう結果となり逆に迷惑メールが増えてしまうこと、そして、そもそも法律を遵守する迷惑メール配送業者は今日ではほとんどいないということである。
そうした様々なことを経験し、迷惑メール排除のための法整備は大きく進んできている。その実例として、昨年の11月に施行された改定特定電子メール法では、特定電子メールの範囲を拡大したり、架空アドレス宛のメール送信の禁止する範囲の拡大及び罰則の見直しや送信者情報を偽った電子メール送信の禁止および直罰規定の整備、電気通信事業者による役務提供拒否事由の拡大といったことが行われている。
たとえば、改正前の特定電子メール法では役務拒否(メールの送信拒否など)をするためには非常に厳しい条件が課せられていたが、改正特定電子メール法ではメールサーバがダウン寸前になるような状況以外にも正当な理由があれば認められるようになる、また、送信者に関する情報を偽るといきなり直罰になるなど、その内容が例を挙げて紹介された。
現在、各ISPが推進しているOP25B(Outbound Port 25 Blocking)は正当業務行為と位置づけられているが、ISPによる迷惑メールのフィルタリングに関してはいくつかの条件が課せられており、それらを満たす必要があること。そのため、ISPがフィルタリングを行う場合は、原則は利用者から個別に委託を受けて行うものであることが説明されている。
木村氏は最後に、現在でも1日に数万通の迷惑メールが来ることも珍しくなく、場合によっては52%が中国などのアジア諸国から送られてくる例を紹介し、関係する各組織間の協調が大事であると締めくくった。
▼ 迷惑メール対策はできることを確実に行おう
休憩を挟み、引き続き、株式会社インターネットイニシアティブの山本和彦氏による「迷惑メールを低減するための根本的な技術対策」が行われた。このセッションは、迷惑メールに対する技術的な対策を十分に理解してもらうために2コマ分を使用している。
山本氏は、その冒頭で、インターネットにおいて迷惑メールの問題をあらためて認識させられたのは2004年の夏に起こった迷惑メールの急増だとし、一時的にそれまでの10倍となった大量の迷惑メールがメールサーバを圧迫したことなどが伝えられた。このときの急増はボットが関係していると見られている。
現在でも迷惑メールの多くが、ボットや、ISPやASPの“渡り”などを使って送られており、こうした手口からメールを守るために技術的な視点から何をしなければいけないか、がここでのテーマである。特にボットに対しては、身を潜めて無関係な第三者のPCを悪用する手口が、かつての愉快犯から闇のビジネスへと変貌してきたことの証であるとし、ウィルスチェッカなどのセキュリティソフトをかいくぐるために毎日数十種類の亜種を作り出して攻撃をしかけていることなどに警戒するよう呼びかけた。
最近のボットは極めて高機能であり、その振る舞いをコントローラへのアクセスによって決定したり、メール転送プロトコルであるSMTPのオープンリレーを行ったりできるようになっている。その手口は巧妙であり、ランダムポートを25番ポートへリレーする機能などは、「このIPアドレスのこのポートにメールを送ってくれれば転送します」といった、機能をレンタルすることを目的としているようにも取れるという。また、メールアドレスの詐称も多く行われており、迷惑メール配送業者の特定が困難であったり、フィッシングなどの詐欺行為に利用されていることも問題だとした。
こうした迷惑メール対策としてはOP25Bや認証技術があり、それらを組み合わせて使うことが推奨される。OP25Bはメールの投稿と配送を分離し、自身の管理する中(にあるPC)から外に出て行く迷惑メールをブロックする機能である。認証技術に関しては、投稿に対するユーザ認証として“SMTP AUTH”(メールの投稿の際にパスワードを要求する)が、配送に対するドメイン認証としてSPF(Sender Policy Framwork)とDKIM(DomainKeys Identified Mail)がある。これらの認証技術を組み合わせて使えば、メールアドレスの詐称を防止することができるとした。
ただし、山本氏は「技術は抑止力になっても、無くすものではない」とし、ある技術によって迷惑メールの出口をふさいでも迷惑メール配送業者はそれらを回避した新しい攻撃手段を生み出して来るとも説明している。パスワードを盗むボットの出現や、堂々と迷惑メールを投稿する迷惑メール配送業者などはその典型であり、これらを抑止するために、さらに、たとえば1分間に出せるメールの量を制限するレート制御とか、そのドメインを持つサイトがよいのか悪いのかを判断する評価システムとしてレピュテーション(格付け)を使うことも検討の範囲だとしている。レピュテーションについては、日本ではあまり使われていないが、日本国内でも信頼できるレピュテーション情報を作ろうという動きがあるそうなので、その今後に注目したい。
小休止を挟み、「OP25Bと投稿ポート」について説明が行われた。この中で、投稿ポート(ポート587番)とユーザ認証(SMTP AUTH)をセットで提供し、ポート25番は投稿目的では利用不可能にすることが理想的だが、自動的にレポートメールを送るプログラムとかネット家電などでポート変更ができないものが存在することが考えられるため、そのままでは運用に支障が出る可能性があることなどが述べられている。そのため、現実的な解は、同じドメイン内からはポート25番での投稿を受け付けるが、ドメイン外からは投稿ポートでのみ受け付けるようにすることだが、最近のSendmailにおいて、ポート587番が開いているのにユーザ認証を要求しないという設定がデフォルトになっていることが見つかったので自身が管理しているメールサーバがそうなっていないかをチェックしてほしいということが述べられている。
「ドメイン認証」については、SPFとDKIMについて個別の説明がなされた。これらの技術は共存でき、メールヘッダを保護できればフィッシング対策にもなることなどが紹介されている。その普及のストーリーや設定については、山本氏から問題点の提起と、その解決案としてのエラーメールの扱いなどが提案された。
基本的に、メールの内容を逐次評価するコンテンツフィルタはサーバにとってとても重い処理である。したがって、コンテンツフィルタを使う前に、軽い処理であるユーザ認証やドメイン認証を行っておくことは現実的で確実な選択肢であろう。山本氏は、最後に、投稿ポートとユーザ認証を用意してOP25Bを導入すること、SPFとDKIMの導入、そしてISPやASPばかりでなく、企業や大学でも迷惑メール対策を実施してほしい旨を伝え、このセッションを締めくくった。
▼ 情報通信セキュリティ人材育成センターの紹介 〜 閉会
会の最後に、財団法人ソフトピアジャパン地域情報化室室長の太田秀昭氏による「『情報通信セキュリティ人材育成センター』の紹介」が行われた。ここでは、センターが必要な知識や経験を持った人材の育成を目的として創設されたこと、その創設の背景や特徴などが紹介された。その後、閉会の挨拶と続きセミナーは終了した。
【プログラム詳細および資料】
迷惑メール対策セミナー [岐阜]
http://www.iajapan.org/anti_spam/event/2006/gifu0313/index.html