スライド 1

迷 惑 メール 対 策 の 基 礎 知 識 山 井 成 良 ( 岡 山 大 学 ) 電 子 メールセキュリティーセミナー in 熊 本 2011 年 3 月 8 日 熊 本 市 国 際 交 流 会 館

Spamメールの 動 向

迷 惑 メール 受 信 者 が 望 まない 電 子 メール ウィルスメール 架 空 請 求 メール フィッシング(phishing) 詐 欺 メール 広 告 メール エラーメール など

Spamメール SPAM( 全 て 大 文 字 ) 米 Hormel Foods Corporationの 商 品 & 登 録 商 標 http://www.spam.com 参 照 Monty Python s Flying Circus の 劇 に 登 場 spam( 全 て 小 文 字 ) 一 方 的 かつ 大 量 に 送 られる 電 子 メール Hormel Foods 社 も 公 認 UCE (Unsolicited Commercial E-mail) UBE (Unsolicited Bulk E-mail)

Spamメールの 現 状 Spamメールの 比 率 (シマンテックマンスリースパムレポート 第 49 号 より )

Spamメールによる 被 害 (1) CPU ディスク ネットワーク 資 源 の 浪 費 メール 全 体 の90% 程 度 メールの 分 類 削 除 メール 受 信 後 も 時 間 がかかる 重 要 なメールの 見 落 としも 問 題 spamフィルタを 用 いても 起 こりえる 発 信 者 詐 称,エラーメールによる 間 接 的 な 被 害 spamメール 発 信 者 との 誤 解 通 常 メールの 受 信 拒 否 も エラーメールが 詐 称 された 発 信 者 に 大 量 に 返 送 事 実 上 のサービス 不 能 攻 撃

Spamメールによる 被 害 (2) 経 済 への 影 響 (*1) 日 本 経 済 への 影 響 額 労 働 時 間 損 失 による 被 害 額 : 約 7,300 億 円 ISP, 事 業 所, 消 費 者 における 対 策 額 : 約 970 億 円 環 境 への 影 響 (*2) 2008 年 全 体 では62 兆 件 世 界 全 体 での 年 間 エネルギー 消 費 量 約 330 億 kwh 米 国 での240 万 世 帯 分 に 相 当 世 界 全 体 での 温 室 効 果 ガス 排 出 量 ガソリン75 億 リットル 分 *1 日 本 データ 通 信 協 会 迷 惑 メールの 経 済 的 影 響 調 査 研 究 会 の 調 査 結 果 *2 米 国 マカフィー 社 スパムメールと 二 酸 化 炭 素 排 出 量 (2009/4)より

Spammerの 手 口 (1) アドレスの 収 集 辞 書 攻 撃 ( 架 空 アドレスの 生 成 ) 使 われそうなアドレスに 片 っ 端 からメールを 送 る 人 名 データ, 英 数 字 の 適 当 な 組 合 せなど 有 効 なアドレスだけリストに 登 録 宛 先 不 明 エラーになれば,リストから 削 除 HTMLメールを 開 けば,リストに 登 録 (web bug) MTAへの 負 荷 が 非 常 に 大 きな 問 題 ( 特 に 携 帯 電 話 メール) ハーベスティング( 実 在 アドレスの 自 動 収 集 ) Webページやネットニュースの 記 事 から@を 含 むものを 検 索 メールサーバへ 問 合 せ 業 者 間 での 売 買 アドレスを 売 るspamメールも 存 在

Spammerの 手 口 (2) Spamメールの 配 送 (1) Third Party Relay (Open Relay) MTA 無 条 件 に 中 継 MTA MTA MTA spammer

Spammerの 手 口 (3) Spamメールの 配 送 (2) ISPの 渡 り MTA 中 継 拒 否 ISP1 MTA spammer ISP2 MTA

Spammerの 手 口 (4) Spamメールの 配 送 (3) ゾンビPC(ボット) MTA ボットに 感 染 バックドア 作 成 遠 不 隔 正 制 侵 御 入 MTA MTA spammer spam 発 信 PC MTA

電 子 メールの 仕 組 み

電 子 メールシステムの 構 成 (1) メールサーバ MTA MSA SMTP MUA メールサーバ MTA SMTP MDA MRA POP/IMAP MUA MUA (Mail User Agent) メールクライアント,メーラなど,いろ いろな 呼 び 方 がある ユーザインタフェースを 担 当 メールの 送 信 受 信 処 理 を 行 う 例 : Outlook, Eudora 通 常 は1 台 のメールサーバ のみと 通 信 To: user@example.jp 発 信 者 受 信 者

電 子 メールシステムの 構 成 (2) メールサーバ MTA MSA SMTP MUA メールサーバ MTA SMTP MDA MRA POP/IMAP MUA MSA (Message Submission Agent) MUAに 対 するSMTPサーバ メールの 発 信 受 付 を 担 当 MTAから 分 離 独 立 有 資 格 者 からの 発 信 のみ 受 理 MTA (Mail Transfer Agent) メールの 中 継 配 送 を 担 当 ドメイン 部 に 従 って 中 継 例 : sendmail, qmail, Postfix To: user@example.jp 発 信 者 受 信 者

電 子 メールシステムの 構 成 (3) メールサーバ MTA MSA SMTP MUA SMTP メールサーバ MTA To: user@example.jp MDA MRA POP/IMAP MUA MDA (Mail Delivery Agent) メールの 格 納 を 担 当 ローカルパート(@より 左 側 )に 従 って メールボックスに 格 納 転 送 処 理 も 担 当 範 囲 例 : mail.local, procmail MRA (Mail Retrieval Agent) メールボックスからの メール 取 出 しを 担 当 POP/IMAPサーバに 相 当 発 信 者 受 信 者

電 子 メールシステムの 構 成 (4) メールサーバ MTA SMTP メールゲートウェイ MTA SMTP メールサーバ MTA MDA 多 段 中 継 の 場 合 MSA アンチウィルス サーバ MRA MUA SMTP POP/IMAP MUA To: user@example.jp 発 信 者 ドメイン example.jp 受 信 者

電 子 メールのプロトコル(1) SMTP (Simple Mail Transfer Protocol) 電 子 メールの 発 信 配 送 用 プロトコル MUAからMSA(MTA)への 発 信 MTAからMTAへの 配 送 標 準 ではTCP 25 番 ポートを 利 用 MSA 専 用 としてTCP 587 番 ポートを 利 用 可

電 子 メールのプロトコル(2) 主 なコマンド HELO/EHLO (Hello/Extended Hello) MTA 名 の 通 知 オプションの 選 択 MAIL (Mail) 発 信 者 の 指 定 RCPT (Recipient) 受 信 者 の 指 定 DATA (Data) 本 文 の 送 付 QUIT (Quit) セッションの 終 了 RSET (Reset) 発 信 者 指 定 状 態 に 復 帰

電 子 メールのプロトコル(2) 1. 2. 3. 4. 5. 6. S: 220 mail.example.jp ESMTP Ready C: HELO mta.example.com S: 250 Hello mta.example.com C: MAIL FROM: <alice@example.com> S: 250 <alice@example.com>... OK C: RCPT TO: <bob@example.jp> S: 250 <bob@example.jp>... OK C: DATA S: 354 Go ahead C: From: alice@example.com C: To: bob@example.jp C: Subject: test C: C: This is a test message. C:. S: 250 Message accepted C: QUIT S: 221 Closing connection 1. セッションの 開 始 2. 送 信 の 準 備 3. 発 信 者 の 指 定 4. 受 信 者 の 指 定 複 数 指 定 も 可 能 5. 本 文 の 送 付 6. セッションの 終 了

電 子 メールのプロトコル(3) サーバの 応 答 コード 3 桁 の 数 字 + 説 明 200 番 台 肯 定 完 了 応 答 300 番 台 肯 定 中 間 応 答 400 番 台 一 時 的 否 定 完 了 応 答 500 番 台 恒 久 的 否 定 完 了 応 答 400 番 台 と500 番 台 の 違 いが 重 要 400 番 台 の 場 合 には 再 送 500 番 台 の 場 合 には 返 送

電 子 メールのプロトコル(4) エラーの 例 S: 220 mail.example.jp ESMTP Ready C: HELO mta.example.com S: 250 Hello mta.example.com C: MAIL FROM: <alice@example.com> S: 250 <alice@example.com>... OK C: RCPT TO: <bob@example.jp> S: 550 <bob@example.jp>... User Unknown C: QUIT S: 221 Closing connection

エンベロープとヘッダ(1) エンベロープ(envelope) 封 筒 に 書 かれた 情 報 MAILコマンド,RCPTのコマンドの 引 数 ヘッダ(header) 本 文 ( 便 箋 の 先 頭 部 分 )に 書 かれた 情 報 DATAコマンドの 後 に 送 られる 空 白 行 までの 範 囲

エンベロープとヘッダ(2) S: 220 mail.example.jp ESMTP Ready C: HELO mta.example.com S: 250 Hello mta.example.com C: MAIL FROM: <alice@example.com> エンベロープFrom S: 250 <alice@example.com>... OK C: RCPT TO: <bob@example.jp> エンベロープTo S: 250 <bob@example.jp>... OK C: DATA S: 354 Go ahead C: From: alice@example.com ヘッダFrom C: To: bob@example.jp ヘッダTo C: Subject: test C: C: This is a test message. C:. S: 250 Message accepted C: QUIT

エンベロープとヘッダ(3) ヘッダのフォーマット 基 本 は フィールド 名 : 値 継 続 行 が 許 される 場 合 もある 代 表 的 なヘッダ 差 出 人 関 係 From: 本 来 の 差 出 人 Sender: 実 際 の 送 信 者 Reply-To: 返 信 先 Return-Path: エラー 時 の 返 送 先 (エンベロープFrom)

エンベロープとヘッダ(4) 代 表 的 なヘッダ( 続 き) 受 取 人 関 係 To: 正 受 取 人 Cc: 副 受 取 人 (Carbon Copy) Bcc: 副 受 取 人 (Blind Cc, 配 送 時 に 消 去 ) 転 送 関 係 Resent-From: 再 送 元 の 本 来 の 差 出 人 Resent-Sender: 再 送 した 実 際 の 差 出 人 Resent-To: 再 送 先

エンベロープとヘッダ(5) 代 表 的 なヘッダ( 続 き) その 他 Date: 発 信 日 時 Subject: タイトル Message-Id: メッセージ 固 有 のID Received: 配 送 記 録 ( 上 に 追 加 )

エンベロープとヘッダ(5) Return-Path: <owner-anti-spam@cc.okayama-u.ac.jp> エンベロープFromと 同 じ Received: from unknown (HELO ccsrv2.cc.okayama-u.ac.jp) ([150.46.xx.xx]) (envelope-sender <owner-anti-spam@cc.okayama-u.ac.jp>) エンベロープFrom by xxx.xxx.xxx.xxx with SMTP for <user@example.co.jp>; 13 Oct 2005 00:22:33 +0900 エンベロープTo Received: from ccsrv1.cc.okayama-u.ac.jp (ccsrv.cc.okayama-u.ac.jp [150.46.xx.xx]) by ccsrv2.cc.okayama-u.ac.jp with ESMTP id AAA26964 for <user@example.co.jp>; Thu, 13 Oct 2005 00:22:29 +0900 エンベロープTo Received: (from majordom@localhost) by ccsrv.cc.okayama-u.ac.jp id AAA29022 for anti-spam-outgoing; Thu, 13 Oct 2005 00:20:02 +0900 (JST) エンベロープTo Date: Thu, 13 Oct 2005 00:20:01 +0900 (JST) From: Nariyoshi Yamai <yamai@cc.okayama-u.ac.jp> 本 来 の 差 出 人 ( 投 稿 者 ) Message-Id: <200510121520.AAA29014@ccsrv.cc.okayama-u.ac.jp> To: anti-spam@cc.okayama-u.ac.jp 本 来 の 宛 先 Subject: [anti-spam: 638] anti-spam articles (September 19 - September 25) Sender: owner-anti-spam@cc.okayama-u.ac.jp 実 際 の 送 信 者 Precedence: bulk Reply-To: anti-spam@cc.okayama-u.ac.jp 返 信 先 アドレス

エンベロープとヘッダ(6) エンベロープとヘッダの 関 係 もともと 役 割 が 異 なる エンベロープFrom Toは 配 送 用 (MTAが 利 用 ) ヘッダFrom Toは 記 録 用 ( 受 信 者 MUAが 利 用 ) 両 者 が 一 致 しなくてもよい Bccで 指 定 したアドレス メーリングリストの 宛 先 差 出 人 アドレス 特 にspamメールでは 一 致 しないことが 多 い

DNSとの 連 携 (1) ドメイン 名 と 資 源 レコード(RR)を 対 応 付 け 電 子 メールの 配 送 に 深 く 関 与 配 送 先 の 決 定 に 利 用 MXレコード Aレコード,AAAAレコード 発 信 元 の 確 認 記 録 に 利 用 PTRレコード 最 近 ではspam 対 策 にも 利 用 DNSBL(DNS Black List), 送 信 ドメイン 認 証,etc.

DNSとの 連 携 (2) MX (Mail exchange) レコード 複 数 のレコードを 優 先 度 つきで 指 定 可 小 さい 番 号 が 優 先 okayama-u.ac.jp. IN MX 10 mta1.okayama-u.ac.jp. IN MX 20 mta2.okayama-u.ac.jp. まずmta1への 配 送 を 試 み, 失 敗 すればmta2へ 同 じ 番 号 の 場 合 にはランダム okayama-u.ac.jp. IN MX 10 mta1.okayama-u.ac.jp. IN MX 10 mta2.okayama-u.ac.jp. まずどちらかへの 配 送 を 試 み, 失 敗 すればもう 一 方 へ

DNSとの 連 携 (3) PTR (PoinTeR) レコード 逆 引 き(IPアドレス ホスト 名 )に 利 用 IPアドレスがAAA.BBB.CCC.DDDのホスト 名 DDD.CCC.BBB.AAA.in-addr.arpa. IN PTR client.okayama-u.ac.jp. client.okayama-u.ac.jpを 取 得 正 引 き(ホスト 名 IPアドレス)で 整 合 性 検 証 パラノイド 検 査 client.okayama-u.ac.jp. IN A AAA.BBB.CCC.DDD 最 初 のIPアドレスと 一 致 するため, 正 当 と 判 断

受 信 対 策 手 法

受 信 対 策 の 性 能 評 価 基 準 代 表 的 な2つの 評 価 基 準 見 逃 し(FN: false negative) 率 迷 惑 メールを 通 常 メールと 判 断 する 割 合 検 出 率 ( 迷 惑 メールを 正 しく 判 断 する 割 合 )と 等 価 誤 検 出 (FP: false positive) 率 通 常 メールを 迷 惑 メールと 判 断 する 割 合 重 要 なのは 誤 検 出 率 見 逃 した 迷 惑 メールは 単 に 削 除 すればよい 重 要 なメールが 迷 惑 メールと 判 定 されると 影 響 大

代 表 的 な 受 信 対 策 ブロッキング スロットリング Spamメールの 受 信 を 拒 否 フィルタリング Spamメール 受 信 後 に 内 容 により 判 断 送 信 ドメイン 認 証 送 信 者 (ドメイン)の 詐 称 を 受 信 側 で 判 別

ブロッキング(1) 定 義 送 信 側 IPアドレス,エンベロープFromアドレス 等 に 基 づいて 迷 惑 メールかどうかを 判 定 し, 迷 惑 メールの 本 文 を 受 信 せず 拒 否 する 方 法 代 表 的 なブロッキング 技 法 IPアドレスの 逆 引 き ブラックリスト/ホワイトリスト Tempfailing 自 動 認 識 付 きホワイトリスト

ブロッキング(2) IPアドレスの 逆 引 き 失 敗 すればペナルティ 例 : 恒 久 拒 否, 一 時 拒 否, 応 答 遅 延 成 功 すればホスト 名 を 検 査 例 : 多 くの 数 字 を 含 むようなホスト 名 なら 拒 否 動 的 IPアドレスからの 発 信 と 判 断 例 : 特 定 の 国 であれば 一 時 拒 否 or 応 答 遅 延

ブロッキング(3) IPアドレスの 逆 引 き( 続 き) 長 所 単 純 で 効 果 的 短 所 誤 検 出 率 が 高 い PTRレコードがない 正 当 なMTAもかなり 多 い ネットワークやDNSサーバのトラブルで 受 信 拒 否

ブロッキング(4) ブラックリスト(DNSBL: DNS Black List) 迷 惑 メール 発 信 ホスト, 不 正 侵 入 ホスト 等 を 登 録 代 表 例 Spamhaus ZEN (http://www.spamhaus.org/zen) SpamCop SCBL (http://www.spamcop.net/bl.shtml) SORBS (http://www.us.sorbs.net/) ORDB (http://ordb.org/) 2006 年 12 月 サービス 中 止 使 用 例 (Spamhaus ZENの 場 合 ) IPアドレスがA.B.C.DのMTAからSMTP 接 続 D.C.B.A.zen.spamhaus.orgのAレコードを 検 索 Aレコード(127.0.0.x)が 得 られれば, 接 続 を 拒 否

ブロッキング(5) ブラックリスト( 続 き) トラブルも 多 い 登 録 ホストからは 通 常 メールも(ある 日 突 然 ) 拒 否 対 策 完 了 後 も 復 旧 に 時 間 を 要 するものもある 一 部 は 訴 訟 にまで 発 展 効 果 も 疑 問 (CEAS 2006の 論 文 における 調 査 ) 登 録 ホストはbot 感 染 ホストの6% 程 度 検 出 後 に 直 ちに 登 録 されるホストは 尐 ない A. Ramachandran, et al.: Can DNS-Based Blacklists Keep Up with Bots? http://www.ceas.cc/2006/14.pdf

ブロッキング(6) ホワイトリスト (DNSWL: DNS White List) 信 頼 できるホストを 登 録 評 価 (reputation)サービス 例 : Sender Score(Return Path 社 ) 認 定 (accreditation)サービス 例 : Sender Score Certified(Return Path 社 )

ブロッキング(7) Tempfailing 迷 惑 メール 発 信 MTAは 再 送 をしない との 仮 説 に 基 づく 方 法 通 常 MTAは 信 頼 性 重 視 迷 惑 メール 発 信 MTAは 配 送 効 率 重 視 一 時 的 に 受 信 を 拒 否 再 送 されれば 受 信 代 表 例 お 馴 染 みさん 方 式 Greylisting

ブロッキング(8) Tempfailing( 続 き) 利 点 かなり 効 果 的 (80% 程 度 排 除 ) 欠 点 配 送 遅 延 が 結 構 大 きい 再 送 まで1 時 間 のものもある 別 MTAからの 再 送 も 一 時 拒 否 再 送 間 隔 が 短 すぎるものは 再 送 と 見 なされないことも 誤 検 出 ( 再 送 しない 通 常 MTA)も 多 い 一 部 のファイアウォール オンライン 予 約 システムなど ホワイトリスト( 除 外 MTAリスト)の 管 理 が 必 須

ブロッキング(9) 自 動 認 証 つきホワイトリスト(challenge&response) プログラム(bot)が 迷 惑 メールを 送 信 する 点 を 利 用 初 めての 相 手 には 再 送 要 求 メッセージを 返 送 再 送 されればホワイトリストに 登 録 して 配 送 長 所 人 間 相 手 には 非 常 に 効 果 的 短 所 送 信 元 が 正 当 なプログラムな 場 合 には 適 用 不 可 オンライン 予 約 システムなど 第 三 者 ( 詐 称 された 送 信 者 )に 再 送 要 求 メッセージを 配 送 バウンスメール(エラーメール)による 攻 撃 と 同 じ

スロットリング(1) 定 義 通 信 速 度 などを 意 図 的 に 低 下 させることによ り, 迷 惑 メールの 大 量 送 信 を 妨 害 する 方 法 代 表 的 なスロットリング 技 法 同 時 接 続 数 確 立 頻 度 帯 域 の 制 限 配 送 不 能 宛 先 数 の 制 限 Tarpitting

スロットリング(2) 同 時 接 続 数 接 続 頻 度 帯 域 の 制 限 サービス 不 能 (DoS) 攻 撃 に 対 する 防 御 Bot 等 からの 大 量 配 送 の 防 止 配 送 不 能 宛 先 数 の 制 限 一 部 の 迷 惑 メールに 対 して 効 果 的 アドレス 収 集 の 防 止 いずれも 一 部 の 正 常 メール 配 送 ( 特 にメーリング リスト)に 影 響

スロットリング(3) Tarpitting 意 図 的 に 応 答 を 遅 延 迷 惑 メール 送 信 側 でのタイムアウトを 誘 発 あるいは 配 送 効 率 を 抑 制 ブラックリスト/ホワイトリストとの 併 用 が 多 い ブラックリスト 登 録 MTAに 対 して 遅 延 挿 入 など 代 表 的 な 技 法 Greet pause

スロットリング(4) Greet pause コネクション 確 立 時 の 応 答 (220 )を 遅 延 RFC5321では 送 信 側 は5 分 間 待 つべきと 規 定 多 くの 迷 惑 メール 送 信 MTAは15 秒 程 度 で 切 断 MAIL/RCPTの 応 答 を 遅 延 する 方 法 も 例 : 宛 先 不 明 の 場 合 には 遅 延 挿 入 応 答 を 待 たずに 送 信 するMTAも 拒 否 本 来 はPIPELININGが 指 定 されている 場 合 のみ 可

スロットリング(5) Greet pause( 続 き) 長 所 Tempfailingより 設 定 が 簡 単 再 送 かどうかの 判 定 が 不 要 配 送 遅 延 が 小 さい 誤 判 定 が 尐 ない 短 所 MTAの 負 荷 が 大 きい サービス 不 能 攻 撃 に 弱 い

フィルタリング(1) 基 本 方 針 メール 受 信 後 に 迷 惑 メールかどうかを 判 断 迷 惑 メールは 削 除 あるいは 別 に 格 納 代 表 的 な 方 法 ルールベースフィルタ ベイジアンフィルタ 分 散 協 調 フィルタ(シグネチャベースフィルタ)

フィルタリング(2) ルールベースフィルタ 迷 惑 メールの 特 徴 をルールとして 記 述 単 純 なパターンマッチング 本 文 中 に $ Viagra など 特 定 のキーワードを 含 む ヒューリスティック 長 い 英 単 語 がある,FromとToが 同 じアドレスなど マッチした 場 合,ルールに 対 応 したスコアを 加 算 一 定 のスコア 以 上 のものを 迷 惑 メールと 判 定 欠 点 = 柔 軟 性 の 欠 如 スコアの 調 整 は 可 能 だが 限 界 が 存 在 新 たな 手 口 には 新 たなルールが 必 要 誤 検 出 が 比 較 的 多 い

フィルタリング(3) ベイジアンフィルタ(Bayesian filter) キーワード( 単 語,3 字 組 等 )の 出 現 率 を 学 習 キーワードの 種 類 に 応 じて 迷 惑 メールを 判 定 ベイズ 則 P(A B)= P(A)P(B A)/P(B)を 利 用 事 象 A メッセージが 迷 惑 メールである 事 象 B メッセージがキーワードを 含 む 有 効 なキーワードの 例 ff0000 HTMLメールにおける 赤 色 指 定 新 しい 手 口 にもある 程 度 対 応 可 能 但 し, 学 習 が 必 要 最 近 は 対 応 できないような 回 避 策 がいろいろ 使 われている

フィルタリング(4) 分 散 協 調 フィルタ(シグネチャベースフィルタ) 判 定 済 みの 迷 惑 メールの 再 受 信 を 排 除 同 一 内 容 の 迷 惑 メールが 大 量 配 送 される 点 を 逆 利 用 利 用 者 が 迷 惑 メールをデータベースに 登 録 メール 受 信 時 に 同 一 メッセージの 存 在 を 問 合 せ 一 定 数 以 上 の 登 録 があれば 迷 惑 メールと 判 定 大 量 の 迷 惑 メールの 登 録 が 必 要 おとりのアドレス,ハニーポットなども 併 用 登 録 までのタイムラグあり 内 容 の 一 部 変 更 に 弱 い URIブラックリストの 活 用

フィルタリング(5) Spammer 側 のフィルタリング 回 避 策 十 分 にフィルタリング 技 法 を 研 究 単 語 の 加 工 / 挿 入 背 景 と 同 じ 色 での 単 語 埋 込 み 一 部 のWebサイトが 提 供 するredirect 機 能 の 利 用 サーチエンジン 検 索 URLの 埋 込 み 検 索 結 果 の 先 頭 に 誘 導 先 URLが 表 示 されるようなリンク ファイルへの 埋 込 み(PDF, MS Word 等 ) 画 像 ファイルの 添 付 + 宛 先 毎 の 変 形

送 信 ドメイン 認 証

送 信 ドメイン 認 証 (1) 発 信 者 ドメインの 詐 称 を 識 別 する 手 段 ローカルパートの 詐 称 は 対 象 外 必 要 なら 発 信 者 認 証 を 活 用 メッセージの 中 身 も 対 象 外 Spamメールを 受 け 取 ることもあり 得 る 問 題 発 生 時 の 追 跡 が 目 的 Spamメールを 受 け 取 ったときの 苦 情 先 フィッシング 詐 欺 の 抑 止

送 信 ドメイン 認 証 (2) 2 種 類 の 方 法 IPアドレスに 基 づく 認 証 Sender ID = SPF + Caller ID SPF (Sender Policy Framework) POBOX Caller ID Microsoft デジタル 署 名 を 利 用 した 認 証 DKIM = DomainKeys + IIM DomainKeys Yahoo! IIM (Identified Internet Mail) Cisco Systems

送 信 ドメイン 認 証 (3) Sender ID(1) 3 種 類 の 要 素 により 構 成 ヘッダ 内 の 送 信 者 の 認 証 (PRA) エンベロープFromの 認 証 (MFROM) 送 信 側 ドメインのポリシー 定 義 (SPFレコード)

送 信 ドメイン 認 証 (3) Sender ID(2) PRA (Purported Responsible Address) 責 任 があるとされるアドレス Resent-Sender:, Resent-From:, Sender:, From:の 順 転 送 する 場 合 には,Resent-From:などを 追 加 MAILコマンドのSUBMITTERオプションも 利 用 可 能 本 文 を 受 け 取 る 前 に 判 定 するため 例 :MAIL FROM: <bob@example.com> SUBMITTER=<bob@example.jp>

送 信 ドメイン 認 証 (4) Sender ID(3) SPFレコード DNSのTXT (SPF)レコードで 送 信 サーバを 宣 言 + pass ( 受 信 許 可 )? neutral ( 宣 言 なしと 同 様 ) ~ softfail (neutralとfailの 中 間 ) - fail ( 受 信 拒 否 ) 例 : AレコードかMXレコードに 対 応 するIPアドレス を 持 つMTAからのみ 送 信 可 能 な 場 合 example.jp IN TXT v=spf1 +a +mx all example.jp IN SPF spf2.0/mfrom,pra +a +mx -all

送 信 ドメイン 認 証 (5) Sender ID(4) Sender IDに 関 する 話 題 MicrosoftがPRAに 対 して 知 的 所 有 権 を 主 張 特 許 料 は 取 らないがライセンス 契 約 が 必 要 など IETFでのワーキンググループが 余 波 を 受 け 解 散 MARID (MTA Authorization Records in DNS) WG RFCにも 影 響 強 制 力 のあるStandardではなくExperimentalに 現 状 ではSPFのみ 普 及

送 信 ドメイン 認 証 (6) DKIM (DomainKeys Identified Mail) 公 開 鍵 暗 号 方 式 を 利 用 送 信 側 秘 密 鍵 を 使 って 署 名 受 信 側 DNSを 用 いて 公 開 鍵 を 取 得 公 開 鍵 を 使 って 署 名 を 検 証

送 信 ドメイン 認 証 (7) DKIM ( 続 き) 署 名 つきヘッダの 例 DKIM-Signature: v=1; a=rsa-sha256; s=brisbane; d=example.com; アルゴリズム セレクタ ドメイン c=simple/simple; q=dns/txt; i=joe@football.example.com; 正 規 化 方 法 公 開 鍵 入 手 法 ユーザ 名 h=received : From : To : Subject : Date : Message-ID; 署 名 対 象 に 含 めるヘッダフィールド 本 文 のハッシュ 値 bh=2jusoh9nhtvgcqwnr9briaprekqjo6sn7xikfjvozv8=; 署 名 b=auuofefdxtdkhllxszepzj79liceps6eda7w3detvfok4yauoqob 4nujc7YopdG5dWLSdNg6xNAZpOPr+kHxt1IrE+NahM6L/LbvaHut KVdkLLkpVaVVQPzeRDI009SO2Il5Lu7rDNH6mZckBdrIx0orEtZV

送 信 ドメイン 認 証 (8) DKIM ( 続 き) DNSの 設 定 例 brisbane._domainkey.example.com. IN TXT ( "v=dkim1; p=migfma0gcsqgsib3dqebaquaa4gnadcbiq "KBgQDwIRP/UC3SBsEmGqZ9ZJW3/DkMoGeLnQg1fWn7/zYt "IxN2SnFCjxOCKG9v3b4jYfcTNh5ijSsq631uBItLa7od+v "/RtdC2UzJ1lWT947qR+Rcac2gbto/NMqJ0fzfVjH4OuKhi "tdy9tf6mcwgjanbcwtoimmpspddqpnuyckcq2qidaqab )

送 信 ドメイン 認 証 (9) 2つの 認 証 方 式 の 選 択 IPアドレスに 基 づく 認 証 ヘッダや 本 文 の 書 換 えに 強 い 転 送 に 弱 い PRA,MFROMが 維 持 できるかどうかが 問 題 デジタル 署 名 を 利 用 した 認 証 転 送 に 強 い ヘッダや 本 文 の 書 換 えに 弱 い 相 補 的 に 利 用 することが 重 要

送 信 ドメイン 認 証 (10) 普 及 後 の 問 題 点 既 にspammerは 送 信 ドメイン 認 証 に 対 応 単 に 認 証 するだけでは 問 題 認 証 後 の 判 定 が 重 要 に 認 定 (accreditation)サービス 信 頼 のある 機 関 に 公 的 に 認 定 してもらう 評 価 (reputation)サービス Spamメールを 大 量 に 発 信 すると 評 価 が 下 がる

送 信 対 策 手 法

代 表 的 な 送 信 対 策 ISPでのブロッキング 迷 惑 メールに 限 らず 送 信 を 原 則 的 に 禁 止 ISPでのスロットリング 迷 惑 メールに 限 らず 大 量 送 信 を 抑 制 送 信 者 認 証 法 的 対 策

ISPでのブロッキング(1) Outbound Port 25 Blocking (OP25B) 自 網 からの 迷 惑 メール 送 信 防 止 が 目 的 迷 惑 メール 配 送 業 者 やbotが 対 象 普 通 の 電 子 メール 発 信 は 対 象 外 方 法 自 網 外 部 MTAへのSMTP(25 番 )をブロック 他 社 MTAの 利 用 者 には 発 信 ポートの 利 用 を 推 奨 Submission(587 番 ),SMTP/SSL(465 番 ) 一 般 利 用 者 は 自 社 ISP 運 用 のMTAを 利 用 自 網 内 の 顧 客 MTAは 固 定 IPアドレスで 対 応 当 該 IPアドレスのみブロックを 解 除

ISPでのブロッキング(2) Outbound Port 25 Blocking ( 続 き) MUA ISP A 25 587 ISP B ISP B 運 用 MTA/MSA MUA MUA 顧 客 MTA 25 25 ISP A 運 用 MTA 25 ISP C ISP C 運 用 MTA

ISPでのブロッキング(3) Outbound Port 25 Blocking ( 続 き) 既 に 多 くのISPが 導 入 十 分 な 効 果 国 内 宛 迷 惑 メールの 送 信 拠 点 が 国 外 に 移 行 問 題 点 発 信 ポートを 提 供 していない 組 織 もまだ 多 い 特 に 大 学, 中 小 企 業 が 問 題 かも

ISPでのスロットリング 外 部 MTAに 対 するメール 発 信 を 制 限 同 時 送 信 数 送 信 頻 度 帯 域 などを 制 限 基 本 的 には 受 信 対 策 の 場 合 と 同 じ OP25Bとの 併 用 自 網 内 からのメールの 大 量 送 信 を 直 接 的 にも 間 接 的 にも 防 止

送 信 者 認 証 (1) 目 的 第 三 者 による 不 正 発 信 の 拒 否 問 題 発 生 時 の 発 信 者 特 定 送 信 者 アドレスの 正 当 性 は 対 象 外 他 のISPから 発 信 する 場 合 などを 考 慮 利 用 者 レベルでデジタル 署 名 を 利 用 可 能 PGP (Pretty Good Privacy),S/MIMEなど 送 信 者 アドレスの 正 当 性 保 証 も 可 能 強 制 的 にSender:ヘッダを 挿 入 / 置 換 するなど

送 信 者 認 証 (2) POP before SMTP 前 提 条 件 POPサーバと 発 信 用 MTAが 同 じ 方 法 受 信 時 に 先 立 ってPOPで 認 証 認 証 に 成 功 したIPアドレスを 一 定 時 間 ( 例 えば10 分 ) 登 録 登 録 IPアドレスからは 任 意 の 宛 先 への 配 送 を 許 可 利 点 欠 点 MUAを 選 ばない IPアドレスが 同 じMUA/MTAから 他 の 利 用 者 も 発 信 可 能 特 にNATを 利 用 するISPから 発 信 する 場 合 に 問 題

送 信 者 認 証 (3) SMTP-AUTH SMTPの 拡 張 (RFC2554 RFC4954) 新 しいコマンドAUTHの 追 加 メール 送 信 時 に 利 用 者 を 認 証 いくつかの 認 証 方 法 がサポート(SASL:RFC4422) CRAM-MD5, DIGEST-MD5, PLAIN, LOGIN, etc. 対 応 したMUAが 必 要 最 近 は 殆 どのMUAがどれかの 認 証 方 式 に 対 応

法 的 対 策 (1) 技 術 的 な 迷 惑 メール 対 策 の 限 界 ブロッキング フィルタリングでは 迷 惑 メール 発 信 者 は 不 利 益 を 被 らない 何 らかの 法 的 な 対 策 が 必 要 法 的 な 迷 惑 メール 対 策 の 実 施 国 日 本 アメリカ 合 衆 国 EU オーストラリア 韓 国 など

法 的 対 策 (2) 日 本 における 法 律 最 初 の 迷 惑 メール 対 策 法 (2002/7 施 行 ) 特 定 商 取 引 に 関 する 法 律 の 一 部 を 改 正 する 法 律 ( 特 定 商 取 引 法 ) 特 定 電 子 メールの 送 信 の 適 正 化 に 関 する 法 律 ( 特 定 電 子 メール 法 ) 広 告 メールを 全 面 的 に 禁 止 するものではない (オプトアウト 方 式 ) 広 告 は 企 業 活 動 にとって 必 要 CM, ダイレクトメールとの 比 較

法 的 対 策 (3) 迷 惑 メール 対 策 法 の 比 較 法 律 名 特 定 商 取 引 法 特 定 電 子 メール 法 担 当 官 庁 経 済 産 業 省 総 務 省 規 制 対 象 事 業 者 メール 発 信 者 表 示 義 務 禁 止 事 項 罰 則 1. メールアドレス 2. 未 承 諾 広 告 3. オプトアウト 方 法 拒 否 者 への 送 信 2 年 以 下 の 懲 役 300 万 円 ( 法 人 は3 億 円 ) 以 下 の 罰 金 1. 未 承 諾 広 告 2. 氏 名 住 所 3. 発 信 アドレス 4. 受 信 アドレス 拒 否 者 への 送 信 架 空 アドレスへの 送 信 50 万 円 以 下 の 罰 金

法 的 対 策 (4) 迷 惑 メール 対 策 法 の 効 果 殆 どの 広 告 メールは 表 示 義 務 に 違 反 違 反 者 の 調 査 が 困 難 発 信 者 情 報 の 欠 落 多 くの 場 合,ゾンビPCから 発 信 追 跡 が 困 難 違 反 しても 直 ちには 処 罰 されない 措 置 命 令 に 違 反 した 場 合 に 初 めて 罰 金 懲 役 2003/10/9に 初 めて2 社 が 行 政 処 分 件 名 に 末 承 諾 広 告 未 詳 諾 広 告 などと 表 示 2002/8 頃 から2003/9 頃 まで 発 信 2003/6 以 降 は 送 信 者 情 報 表 示 義 務 にも 違 反

法 的 対 策 (5) 迷 惑 メール 対 策 法 の 効 果 ( 続 き) 総 務 省 経 済 産 業 省 の 合 計 で10 件 程 度 迷 惑 メール 発 信 で 初 の 逮 捕 者 (2005/5/16) 容 疑 は 有 線 電 気 通 信 法 違 反 メールサーバに 過 負 荷 を 与 えたため 迷 惑 メール 発 信 で 初 の 業 務 停 止 命 令 (2005/6/14) 同 一 人 物 が 運 営 する2 社 特 定 商 取 引 法 違 反 ( 表 示 義 務 違 反 )

法 的 対 策 (6) 迷 惑 メール 対 策 法 の 改 正 (2005/11) 送 信 者 情 報 詐 称 禁 止 直 罰 規 定 ( 詐 称 の 場 合 ) 刑 罰 の 引 上 げ( 特 定 電 子 メール 法 ) 50 万 円 以 下 の 罰 金 1 年 以 下 の 懲 役 または100 万 円 以 下 の 罰 金 対 象 の 拡 大 私 用 アドレスに 加 えて 事 業 用 アドレスも 対 象

法 的 対 策 (7) 改 正 迷 惑 メール 対 策 法 の 効 果 行 政 処 分 は 計 4 件 警 察 による 摘 発 が 増 加 2006/5/25 初 の 逮 捕 者 ( 千 葉 県 警 ) 懲 役 8か 月 執 行 猶 予 3 年 罰 金 80 万 円 2006/8/3 3 名 が 書 類 送 検 ( 大 阪 府 警 ) 罰 金 100 万 円 1, 罰 金 50 万 円 1 2007/1/16 4 名 逮 捕 ( 千 葉 県 警 ) タクミ 通 信 8か 月 4 年 2,6か 月 5 年 1,6か 月 3 年 1 2008/2/15 1 名 逮 捕 ( 警 視 庁 ) 懲 役 6か 月 執 行 猶 予 3 年

法 的 対 策 (8) 迷 惑 メール 対 策 法 の 再 改 定 (2008/12) オプトイン 方 式 の 導 入 受 信 者 の 同 意 のない 広 告 宣 伝 メールの 送 信 禁 止 直 罰 規 定 あり( 特 定 商 取 引 法 ) 刑 罰 の 強 化 ( 法 人 に 対 する 罰 金 ) 100 万 円 以 下 から3000 万 円 以 下 に 引 き 上 げ 外 国 執 行 当 局 との 連 携 強 化 送 信 者 の 情 報 提 供 が 可 能 に 外 国 からの 迷 惑 メール 送 信 への 対 応 海 外 の 業 者 への 送 信 委 託 も 規 制 対 象

法 的 対 策 (9) 再 改 定 迷 惑 メール 対 策 法 の 効 果 計 14 件 の 行 政 処 分 いずれもオプトイン 規 制 違 反 2009/9 以 降 は 消 費 者 庁 との 共 管 発 表 直 後 は 日 本 語 の 迷 惑 メール( 主 に 出 会 い 系 )が 一 時 的 に 減 尐 逮 捕 は1 件 2011/1/17 出 会 い 系 サイト 運 営 会 社 7 名 逮 捕 1 度 に500 万 通 送 信 1 年 半 で 売 上 げ5 億

法 的 対 策 (10) 罰 則 は 適 切 か タクミ 通 信 事 件 (2007/1/16 4 名 逮 捕 )の 場 合 出 会 い 系 サイトを 運 用 2ヶ 月 間 で54 億 通 1か 月 の 売 上 高 1 億 2000 万 円 判 決 懲 役 8 月 執 行 猶 予 4 年 2 懲 役 6 月 執 行 猶 予 5 年, 懲 役 6か 月 執 行 猶 予 3 年 罰 金 はなし!!

今 後 の 課 題

Spam 対 策 の 課 題 (1) 次 々に 出 現 する 新 たな 手 口 フィルタリング 対 策 画 像 サイズ/ 色 / 位 置 / 傾 きなどの 変 更 PDF/Word/Excel 等 のファイル 添 付 単 純 なパターンマッチングの 回 避 暗 号 化 されているものも 存 在 SPF 対 策 ドメインの 新 規 取 得 +SPFレコードの 設 定 無 料 電 子 メールアカウントの 悪 用 CAPTCHA 破 りが 横 行 機 械 解 読 エログリッドコンピューティング

Spam 対 策 の 課 題 (2) 次 々に 出 現 する 新 たな 手 口 ( 続 き) フィッシング(phishing)の 巧 妙 化 スピア フィッシング(spear phishing) 文 面 を 相 手 に 特 化 ファーミング(pharming) DNSのキャッシュを 汚 染 LMHOSTSや/etc/hostsの 内 容 を 書 換 え 有 名 なサイト( 銀 行 など)にアクセスしたときに 偽 サイトに 誘 導 メール 以 外 のspam コメントspam/トラックバックspam Spim (Spam over Instant Messenger) Spit (Spam over IP Telephony)

Spam 対 策 の 課 題 (3) 社 会 的 なイベントの 悪 用 大 地 震 への 便 乗 (ハイチ チリ) UNICEFを 騙 った 募 金 活 動 映 像 を 見 るとマルウエアに 感 染 自 動 車 の 大 規 模 リコールへの 便 乗 リコール 情 報 へのアクセスでマルウエアに 感 染 サッカーワールドカップへの 便 乗 前 回 大 会 (2006 年 )の9 倍 以 上 いたちごっこはまだまだ 続 く...