セキュリティというとまず攻撃手法や脆弱性の話題が思い浮かぶ。だが、つながる先のネットワーク側でも、何らかの対策が必要だ。事後の対策だけでなく、予防的な対策を通じて、安心してネットワークを利用できる世界を実現していくための議論の場がないだろうか。2019年11月に開催される「JPAAWG 2nd General Meeting」がその場だといえるだろう。メッセージングセキュリティについて幅広い話題を扱う予定だ。
スパムメールはもちろん、フィッシングメールや添付ファイルを介したランサムウェアなど、「メッセージング」を取り巻く課題は枚挙にいとまがない。もちろん、Outbound Port 25 Blocking(OP25B)や送信ドメイン認証技術の採用など、メールを安心して、安全に使えるようにするさまざまな取り組みは進んできた。
けれどインターネットは「つながっている」世界であり、1社だけ、あるいは日本国内のローカルな取り組みだけでは根本的な問題は解決しない――。このような問題意識を背景に、2019年5月、正式に立ち上がった業界団体が、「JPAAWG(Japan Anti-Abuse Working Group)」だ。2004年、北米やヨーロッパを中心に30カ国以上のネットワーク事業者、インターネットサービスプロバイダー(ISP)などが参加し、メッセージングを中心に、広くインターネットのセキュリティについて議論してきた「M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)」の日本リージョンという位置付けだ。
振り返ってみると、インターネットの黎明(れいめい)期からスパムメール/迷惑メールは大きな問題だった。複数のネットワーク事業者やセキュリティ企業が協調して対策が進んではいるものの、セキュリティの世界は「いたちごっこ」が常。いったんは小康状態になっても、攻撃側は対策を踏まえた新たな手口を用いてくる。
事実、JPAAWG事務局長の末政延浩氏(TwoFive)によると、「なぜか、2019年夏ごろからまた迷惑メールが増加傾向にある。関連して、フィッシングメールや受信者を脅迫するセクストーションスパムも増えている」という。
こうした状況への対策として、エンドポイントやセキュリティ機器の導入以外に、ネットワーク側で何ができるのだろうか。可能であれば受け取った後の事後対策だけでなく、プリベンティブ(予防的)に手を打ち、「きれい」なネットワークを実現していくために、何ができるだろうか――JPAAWGではそんな問題意識に基づいて、2019年11月14日、15日の2日間に渡って「JPAAWG 2nd General Meeting」を開催する。
JPAAWG会長を務める櫻庭秀次氏(インターネットイニシアティブ)は「メッセージングのセキュリティというと『もう終わったのではないか』という感があるが、そんなことはない。むしろ今のうちに本腰を入れて対策しなければいけない」と述べている。そこで2nd General Meetingでは、広く現在のインターネットセキュリティが抱える現状と課題、対策に向けた取り組みを話し合う予定だ。
今、日本で深刻化している問題の一つが「フィッシングメール」だ。特に2018年夏以降、携帯キャリアや宅配事業者を装ってフィッシングサイトに誘導し、アカウント情報を盗み取る動きが活発化している。ニュースに触れた人も多いことだろう。
櫻庭氏は「仮想通貨の普及に伴い、身元を隠して金銭を受け取りやすくなり、攻撃者にとってリターンが大きくなってきたことも要因」と指摘する。
さて、この種のなりすましは、ターゲットとなる一般利用者にとって問題なのはもちろんだが、名前やブランドをかたられる企業や組織にとっても厄介な問題だ。勝手に自分たちの名前を名乗られ、似たようなドメインを取得されて本物そっくりのメールを送られてしまう行為を防ぐ術はなかなかない。
かといって放置していてはブランドの価値を損なう上、ユーザーが被害を受ける恐れがあり、利用者保護の観点からも何らかの手を打たなければならない。
一つの手は、「SPF」や「DKIM」「DMARC」といった送信ドメイン認証技術を活用し、なりすましを見破る術をユーザーに提供することだ。
櫻庭氏は「『こんなフィッシングメールが流行っているので、注意してください』とTwitterなどを使って注意を喚起するのも対策の一つだが、あくまで後手に回っている。送信ドメイン認証のように、それ以前に技術的に実現できる対策もある」と述べ、理解と実装を呼び掛けた。
国内における送信ドメイン認証技術の普及率はじわじわと高まってはいるものの、グローバルと比較するとまだまだ低い水準だ。SPFの導入率は6割を超えてきたが、DKIMやDMARCとなるとまだ少ない。
名前が示す通り、送信ドメイン認証技術はドメインやDNSの仕組みと密接に関連している。だが、そのセキュリティを高める「DNSSEC」についても、日本での普及率は非常に低く、ほとんどのドメインでDNSSECが設定されていない状況だ。
「今議論されている次世代のセキュリティ技術の多くがDNSSECを前提にしており、このままではそうした新たな技術を導入しようとしても、日本ではスピーディにならない恐れがある。実は、スウェーデンなどでは、国として普及率を高めようとしており、インセンティブを活用してDNSSECの普及率を非常に高い割合にまで押し上げている。JPAAWG 2nd General Meetingではこうした取り組みも議題に挙がっている。導入できない理由はいろいろあると思うが、少なくとも『やるべきこと』を理解してほしい」(櫻庭氏)
アカウント窃取やなりすましに関して、企業の視点でもう1つ課題となっているのが「Abuse対応」だ。
スパムメールを受け取ったユーザーや、アカウントをハイジャックされてしまったユーザー、フィッシングサイトに関する苦情受け付け窓口での対応である。ISPやWebサービス事業者は問い合わせが届いた後、内容を確認し、もしフィッシングサイトなどがあればIPアドレスを調べて所有者を確認し、事業者経由で連絡してシャットダウンを依頼して……、という作業を担うことになる。国境をまたいで行う場合も少なくなく、非常に負担の大きな作業だ。
「今はこれを、担当者個人の裁量と努力で行っている企業が多い。たとえ『abuse@xxxxxx.co.jp』といった連絡用メールアドレスを用意していても、形骸化していたり、あちこちの部署のたらい回しになったりするケースもある。海外では、今、こうしたAbuseデスクの処理を規格化、標準化して対応する動きがあり、これもJPAAWG 2nd General Meetingのセッションで紹介する」(末政氏)
JPAAWG 2nd General Meetingはこのように、マルウェア対策や脆弱(ぜいじゃく)性対策といった観点とはまた違う側面から、技術面で、さらに組織やビジネスプロセス面で、日本ではまだあまり知られていないさまざまな取り組みを実践している例を、担当者からじかに聞けるチャンスになるだろう。
「セキュリティの話というと、エンドポイントの対策や個々の攻撃手法にばかりに目が行きがちだ。もちろんこうした観点も重要だが、つながる世界においてネットワーク側でどのように対応すべきかを議論し、方向性を決めていく場にしたい」(末政氏)
JPAAWG 2nd General Meetingでは他にも、メールやメッセージング、ネットワークを軸に、BEC(ビジネスメール詐欺)対策やDDoS対策、DNSハイジャック対策、アカウント保護、海外から見た日本の対策状況を解説するセッションなど多様なプログラムを用意した。現在、ネットワークが直面しているさまざまな問題解決を支援するプログラムだ。さくらインターネットのようにホスティング事業者の観点からのセキュリティ対策を紹介するプログラムの他、JPCERT/CCの専門家を招いたインシデントレスポンス入門もある。
加えて、手を動かしながら理解を深めるプログラムも用意する。「例えば『自分たちでフィッシングメールを送ってみよう』というプログラムでは、攻撃者がどのようにだましてくるかを体感できる。相手の手口を知ることで、あらためて防御について考える機会にしてほしい」(末政氏)
さらに「当たり前のように使っているが、メールやDNSは実は結構複雑な技術だ。そこを理解していなければ、DKIMやDNS over HTTPといった新しい技術も理解できない。今さら聞けないこうした技術について解説するセッションも設ける」(櫻庭氏)。特に、インターネットがあって当たり前、つながって当たり前という若い世代のエンジニアに、ブラックボックスではない裏の仕組みをぜひ知ってほしいと語った。
一方向の「講義」ではなく、議論し、互いに情報を共有する双方向のコミュニティーであることも、M3WAAGから続くコミュニティーの特徴だ。M3WAAGには技術面はもちろん、法律や文化についても互いの意見を聞き、理解し合う風土があるという。こうしたコミュニティーの性格を体現する場として「ラウンドテーブル」も開催する。幾つかのテーマを用意し、興味を持った参加者同士で議論する予定だ。「日本発で、課題に対する新しい対策が生まれる場になっていけば」と櫻庭氏は述べている。
さまざまな攻撃にさらされる通信インフラを担う通信事業者やISP。サイバー攻撃者のターゲットとなり、なりすましアクセスや偽造サイト、フィッシングサイトといった不正行為に悩まされているホスティング事業やサーバレンタル事業者。ECサイトをはじめさまざまな企業のマーケティングを支援し、大量のメール配信を担うSender。そして、こうした仕組みを利用して企業活動を展開し、防災メールなどの形で生活を支えている企業や自治体――メールやインターネットはそのどれにとっても重要なツールだ。
ただ、多くの課題を抱えながらも意外にヨコのつながりがなく、往々にして「隣は何をしているか」を知らないという。櫻庭氏や末政氏は、JPAAWG 2nd General Meetingのような場を活用して「どのような方法で対策しているのか」という知見を共有し、明日からの対策に生かしてほしいという。
「ネットワークは今やインフラであり、メールのセキュリティを取り巻く諸問題について1人で悩んでいてもどうしようもない。同じ職種の人たちと健全に議論してほしい」(櫻庭氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:JPAAWG
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年11月5日