版数:2003.08.05-2版 1.タイトル   spamメール対策の現状と課題 2.ロガー   西永雄二 (兜x士通北海道システムズ)   高木宏悦 (NTTコミュニケーションズ梶j 3.発表者   中村素典 京都大学(パネルチェア)    山井成良 岡山大学   安東孝二 東京大学   北野利治 ディープソフト 4.時間  2003/7/25  発表:9:30〜10:20 質疑応答:10:20〜10:45 5.発表の焦点・論点・課題 ■中村氏(京都大学) "SPAM"(大文字)は缶詰であり、メールのスパムは"spam"(小文字) メールで届く迷惑なspamが昨今問題となっている 97年ごろから話題となり始めたが、徐々に問題点も変わってきた。 ○メリット ・宣伝コストが安い。 ・楽。 ・匿名性。 等の理由からさらに増える一方である。 最近、一年で二倍強増えていることが観測されている。 種類は、financial、adult等色々有り。 ○SPAMはナゼ嫌われているか CPUやNWのリソースの問題よりも、 メールの読み込み振り分け削除の時間の浪費の方が問題 ・重要なメールを見落とす ・成りすまし問題、踏み台なども 中村氏の場合。。実際に届くメールについて 全体で約2000/1日。この中から、重要なメールを探すのは大変。 ○会場の皆様へアンケートをとってみましょう ・メール数が数百程度/1日な人  −1000/1日を越えることもある人 ・一般ユーザとしてspamに困っている人  −何らかの対策をしている ・システム管理者としてspamに困っている  −何らかの対策をしている ・対策をしたことが逆に問題になったこともある人。。 ○スパム対策 3rd party relayの防止  ウィルスチェックカとの併用時に注意 DNSによる発信アドレス確認  不安定な相手だと受け取れないことも ブラックリストサービス 個人では大変なので。。 ・重要なメールが届かない ・品質問題 ・巻添え、訴訟問題。  等の色んな問題があり、さらに。。   というのが昨今の状況である ○発表の論点 ・spamの発信者詐称に起因するDoS対策(山井成良 岡山大学) ・大学のサービスという観点から(安東孝二 東京大学) ・スパム対策ソフトを販売されておりそういった観点から(北野利治 ディープソフト) 6.発表の流れ ■パネル発表:北野氏(ディープソフト) ディープソフト社は韓国製ソフトの取り扱い・日本向け販売を行なっている会社。 韓国でのspam対策の状況を報告する。 韓国でのspamメールとして海苔屋さんからのメールが有名。 ○質疑 安藤氏:spamメールを送って効果があるのかな? 北野氏:韓国の特殊な事情が背景にある。 安藤氏:韓国の人口は? 北野氏:北野氏:日本の半分くらいだが、インターネットユーザは日本より多いと発表されている。 韓国でのメールトラフィック量の70%がspamであるとの統計がある。(MSP調査) 韓国では、ISPはメールアドレスを配らない。 MSPの収益モデルはWebメールの広告収入である。 MSPは広告収入を得るためにメールアドレスを無料で配る。 韓国には、spam遮断ツールとspam発送ツールを販売している マッチポンプな会社もある。 (韓国でのあるサーバのSPAMBlock統計画面を示し)このサーバのメール流量は180万/日であり、 そのうち120万通弱の役65%がspamである。メール流量は20通/秒以上でこのうち12〜13通がspam ということになる。 メールサーバはspamによるDOS攻撃状態である。 spam対策ソフトには2つの方式がある。 ・ゲートウエイタイプ:一箇所でspamを遮断する ・メールストアタイプ:個人単位できめ細かく設定可能 ディープソフト社製spam対策ソフトは両方式を採用している。 (ゲートウエイタイプ+メールストアタイプ) そのため、ゲートウエイで一括処理し、且つ、個人フィルタで細かく設定可能。 沢山の踏み台からいっせいにspamが届く場合、 メールのボディが同じかどうかをチェックし、spamとして判断している。 また、ボディに画像が一つ、のようなURL誘導型が最近は多くなっている。 そのため、メールに含まれるURLを追跡し、ページ内に好ましくない言葉が含まれるような場合には、 そのメールはspamとみなし遮断する。 ○質問タイム 質問者:JPHONE 関矢さん 関矢氏:spam設備投資に数十億かかっている。(現状)     DSLユーザさんが1分間隔でメールを取り直すのも問題。     韓国ではどうか? 北野氏:同じメールアドレスはシャットアウトするような仕組みがある。 関矢氏:メール数に応じた対処をしている? 北野氏:きめ細かく(180万通くらい)設定している。 関矢氏:spam対策ソフトは、実際にはどれくらいまで耐えられる? 北野氏:現状でもCPU65%程度である。 質問者:国立情報研究所 松方さん 松方氏:spam対策としてもメールの閲覧には日本国内的には抵抗感が強い。韓国ではどうか? 北野氏:通信のプライバシーから、メールの内容への閲覧に対し抵抗はある。     でも、守るべきものは守る必要がある、という考えもある。 質問者:水越さん 水越氏:ホワイトリストはユーザ単位? 北野氏:はい、そうなります。 水越氏:MSP同士のメールはツーツー(相互通信可能)ですか? 北野氏:そのような仕組みはない。一般のメールと同じにフィルタにかけられる。 ■パネル発表:安東氏(東京大学) 大学でのサービスをするという観点から。 ○背景  自分のメールの中から大切なメールを探すのは非常に大変である。  どれが大事なものか分からない。。  特に英語圏からのメールはspamかどうかよく分からず、困っている。  spamに負けた。⇒spam対策ソフトを買った。  皆さんも困っていますよね? ○大学でのメールサーバ運用するにあたり  大学でメールをやると学生、先生を両方使うがISPほどシビアではない。  一番多いのはopen relay。  最近はウィルスで勝手に送りつけるものがあり、この場合  DHCPでアドレスをもらう場合には相手の特定が最も困難である。  また、意図的に送りつける人もいる。 ○それらの対策としては  open relayについて「管理者への通知」  ウィルスについては「外部からの連絡による対処」  意図的なものについては「倫理委員会で。」  10〜30%がspamと推測できるが、判断は難しい。  MLでspamが増幅  英語、韓国語、中国語、日本語   日本語は少なくなっている。 ○現在は  国立大学なので、各自で対策が出来ない人(弱者)は大変。 ○今後は  adminの視点では、コスト意識からあまりしたくない。  ユーザの視点では、各自でやれば良いが、出来ない人がいる。  また、ユーザはadminのことはどうでもいいと思っている。  ・ツールやシステムの提供が急務  ・特に大学は、責任問題について非常にあいまい。法的な問題が多い。   −アメリカ:P2P放置:訴えられた。  ・特に日本では、すぐに届いて当たり前。遅延など。   −メールサーバが停止し、学生にメールサーバ遅延証明を書いた。  ・メールサイズ等の業界(学部)によって異なる。   −MAX10MBという制限にひっかかる人もいる:医学部は添付が多い。ぐろい画像。    増やしたほうが良いかな。。。でもSPAMも考えないとな。  ・メーリングリストに対する要求は日本が最も多い。   日本人はMLが大好き。   グループウエアの代わりに使っている。 ■パネル発表:山井成良(岡山大学) 発信者が詐称されるとエラーメールが大量に帰ってくる。 ・頻度小だが ・被害は甚大 ・岡山大学と書かれたビラの配布を禁止できるのかと同じ問題。(難しい) 詐称アドレスが自組織である場合、エラーメールを大量に受信する。 事実上のDOS攻撃である。 実際にISPで発生し、被害にあっている。 エラーメールの配送には幾つかの経路がある。 ・open relayなMTAから詐称fromアドレスへ返信されるもの。 ・組織内中継用MTAから詐称fromアドレスへ返信されるもの。 対策としてセカンダリMTAを導入する。 前者の配送経路については、ルータでプライマリMTAへの配送をフィルタリングする。 後者の配送経路については、MXを動的に変更し、MXのキャッシュの有無を利用して プライマリMTAとセカンダリMTAに振り分けている。 本手法の評価が困難。 実際にエラーメールを受取ってみないと評価できない。。。 ・多数の組織との連携が必須。 ■質疑応答 ○質問者:安藤さん 安藤氏:spamメールのURLを検出してブロックする実験中。     spamの中身も高度化/複雑化していて、その都度解決しながら作っている段階である。     言語に関わる問題があるかないか。 北野氏:ベイジアンフィルタは有効と考えている。言語によって分かち書きの問題などが大きい。     韓国語に関しては日本語より容易と思う。     今後(次期)の実装に向けて開発中。     URLから追跡するのは効果をあげている。 ○質問者:JPRS 飯田さん 飯田氏:MXの切替は? 山井氏:検出したときのアップデートしている。     プライマリを削除する方式。 飯田氏:自分のアドレスで自分にspamをもらうこともある。 ○質問者:IIJ 山本さん 山本氏:spamをもらわない方法はどうしたらよいか。     幾つかアドレスをもっている。     いくつかのメールアドレスのうちメインのメールアドレスにはほとんど来ない。     アーカイブを公開されるようなものにはメールアドレスを掲載しない。     つまり、メールアドレスを曝さない。曝す時には使い捨て。     個人用では、whois 等で公開されてしまい、spamが多い。     web,アーカイブ、ネットニュースにつかうアドレスを使い分ける。     アドレスをさらさないことが大事では。     ISPの管理もしている立場として、     ユーザが送らない/ユーザへ送らせたくない。     でも、spamを受け取りたい人がいるかもしれない。。。     入り口でブロックして本当に良いのか?     end-endで判断しないといけないのか。     スコアリングするとかを考えなきゃいけないのかな。     ユーザの発信メールをリアルタイムに検知して、     spamの発信を止めさせる方法はどうしたらよいか?     自ISPのユーザがspamなのかを判断しないといけない。     判断するのに良いアイデアはないか?     ISPへの要望はあるか? 安藤氏:アドレスアサインをやるのが最もよいが     それをやると、メールアドレスが知りたいという要望が多い。     spamには個人ベースで対策するのが最も良いと考える。     また、学生のアドレスが番号順となっているが、それをやめたい。     番号順にspamが送られてしまうので。。。     また、個人ごとにspamの定義が異なる。 北野氏:サーバに余力があればゲートウエイでヘッダにSPAMであるというマークを残すだけにして、     一生懸命配送するのも良いと思う。 ○質問者:北海道総合通信網 池野さん 質問者:戻りメールの被害が多い。     プライマリDNSをたくさんもっている。     対策が困難である。(意見のみ) ○質問者:Japanケーブルネット 山田 山田氏:一括で防げないものは個人ベースで対応している。     CATV向けに、名簿等でくるものには個人で対策するしかないと思う。     ウイルスものの場合でDNSが引けない場合、メールキューに溜まる。     spam対策として「一元さん方式」というものがある。qmail-jpで提案されていた。     ・1回目のsmtp接続ははじく。2回目は通す。     ・正常なMTAであれば再送するという仕組みを利用。 7.まとめ ・spamは今後も増える。 ・重要なメールを見落とすことが問題。 ・spam対策ソフトの導入が有効。 ・アドレス詐称に関してはMXを用いた対策方法もある。 ・大量のspamはDDOS攻撃に同じ。 (西永) 8.所感 一日に数百、数千のメールを受取る方がいらっしゃるのに驚いた。 また、私の場合、日本人以外の友人・お客様がほとんどいないため、 英語のタイトル=spamとして瞬時に処理可能だが、 海外からのメールを公私に受取っている方にとっては、重要なメール を見落とすという点で、あらためてspamが深刻な問題であると認識できた。 (西永)