「『ガラパゴスなセキュリティ対策』を断ち切り、議論する場を提供」――JPAAWG 5th General Meeting主催者が語るメッセージングセキュリティの現状と課題:人と人との連携が必要だからこそ「集う」べし!
フィッシングやランサムウェアによる被害が相次ぐ中、2022年11月、セキュリティの最新技術情報や、日々セキュリティ課題に取り組む技術者同士の情報・意見交換の場を提供する「JPAAWG 5th General Meeting」が開催される。本稿では、「セキュリティをグローバルスケールで議論する」をスローガンに掲げるJPAAWG主宰者に、同イベントの趣旨、そして目指すべき安全なインターネットを作り出すためにいま必要なことを聞いた。
「電子メール」(以下、メール)に関わる知識をアップデートしているだろうか? 2022年に入ってから「『Gmail』宛てに送信されたはずの転送メールがエラーで届かない」という問題が話題になった。これはGmail側の問題ではなく、送信元のドメイン設定において「SPFレコード」が正しく設定されていない場合に起こる事象であり、各種プロバイダーがサポートに追われ、ドキュメントも多数公開された。
「送信ドメイン認証技術」はSPF(Sender Policy Framework)だけでなく、DKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication Reporting and Conformance)、昨今ではBIMI(Brand Indicators for Message Identification)も話題になりつつある。メールに携わる担当者やセキュリティ技術者はともかく、これらの技術にピンと来ない人もいるのではないだろうか。
メールを、ひいてはインターネットにおける「メッセージング」のセキュリティを考え、議論することがインターネット全体の安全性を高めることにつながる――その重要なイベントである「JPAAWG 5th General Meeting」が、2022年11月に開催される。
今回は同イベントを主催する業界団体の「JPAAWG(Japan Anti-Abuse Working Group、ジェーピーアーグ)」会長の櫻庭秀次氏、同事務局長の末政延浩氏、運営委員の平野善隆氏に、本イベントの趣旨と目指すべき安全なインターネットを作り出すために、いま必要なことを聞いた。
増え続けるサイバー攻撃、進化する技術――それでもメール運用は変わっていない?
チャットツールやコラボレーションツールが普及した今日でも、メールは欠かせないコミュニケーションの手段だ。そしてフィッシング詐欺やランサムウェアなどによる個人、企業の被害事例を見ても分かるように、昨今のサイバー攻撃は「メール」を起点とした攻撃が行われることが多い。
先述したようにSPF/DKIM/DMARCをはじめ、メールを起点とした攻撃に対抗する仕組みは存在する。だが、既に稼働しているサーバやドメインに設定を追加する必要があるため、展開に時間がかかっているのが現状だ。
そして対策が必要なのはメールに限った話でもない。昨今ではSMSやチャットをはじめとするメッセージングサービスにおいても、なりすましが社会問題になりつつある。メールやSMSなどメッセージングの世界は送信元があり、中継地点があり、受信先がある。ネットワーク全体で見たときに、その中間を制御するシステムも存在しており、オーケストラのように各要素が連携して通信が成立している。
「1社だけでは対策できない以上、人と人とが集まり、対策を議論する必要がある。さまざまな要素のある攻撃、脅威に対し、通信事業者、企業のIT部門が集まり、情報を共有する場が求められている。これこそが、JPAAWGがイベントを開催する理由だ」(末政氏)
注目が集まる「BIMI」を導入するために必要な知識は
2022年5月に行われたTwoFiveの調査によると、日経225企業5390ドメインにおいて、全225社の内112社(49.8%)、5390ドメインの内656ドメイン(12.1%)がDMARCを導入していたと発表されている。2022年2月に行われた同様の調査と比べると、急速に新規導入が進められていることも分かる。
そして、NTTドコモやYahoo! Japanが相次いでメールに関するリリースを公開している。NTTドコモは2022年8月23日に「ドコモメールに送信ドメイン認証技術『DMARC』『DKIM』を導入」と発表、そしてYahoo! Japanは2022年9月にTech Blogに「Yahoo! JAPANがメールセキュリティ『BIMI』を導入するまでのお話」を相次いで公開した。
- ドコモメールに送信ドメイン認証技術『DMARC』『DKIM』を導入(NTT ドコモニュースリリース)
- Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話(Yahoo! JAPAN Tech Blog)
BIMIとは、なりすまし対策として送信元認証に成功した「正規のメール」に対し、送信元企業のロゴなど特定の画像を表示する仕組みだ。これが正しく活用されていれば、いま問題になっているなりすましやフィッシングなどの脅威から利用者を守れる上に、プロモーション的な効果も期待できる。
BIMIを利用するためには、第三者機関による審査とともに、SPF/DKIM/DMARCを正しく設定する必要がある。だが、冒頭で紹介したGmailの一件のように、送信元ドメインのSPF/DKIMの情報が設定されておらず、受信側が認証できないケースもあるのが現状だ。
「これまで活用されてきたメーリングリストは最たる例で、DMARC対応機能はあるものの、古くから利用されアップデートされていないメーリングリストシステムの場合、再配送時にDMARCの認証に失敗し、届かないこともある」(櫻庭氏)
このような現状に対し、JPAAWGをはじめさまざまな識者は警鐘を鳴らしてきたが「なかなか伝わらなかったという反省が、JPAAWGのイベントにも反映されている」と櫻庭氏は述べる。メールはコミュニケーションのインフラとして歴史も長く、利用方法もさまざまだ。セキュリティ対策を強化した結果として、Gmailのように意図しない影響が顕在化するケースもある。
「JPAAWG 5th General Meetingは横のつながりを作ることができるイベントだ。通信事業者やセキュリティリサーチャーからも貴重な情報が共有される。稟議(りんぎ)書を書くためのネタ作りにもなり『ウチはどう対策しよう』という観点でも情報が得られるだろう」(末政氏)
日本特有のもの、グローバルであわせるべきもの
JPAAWGは、メッセージングを中心とし広くインターネットのセキュリティについて議論してきたグローバルな組織である「M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group、マーグ)」の日本リージョンという立ち位置だ。日本独自の課題を語るとともに、グローバルの視点からメッセージングを捉えるという両方の視点を持っている。
参考記事:インターネットを守るための技術、法律、そして世界――標準化団体JPAAWGに聞いた
日本独自の課題について櫻庭氏は、ガラパゴス化したセキュリティ対策がメジャーになることに危機感を持っているという。その代表例が、パスワード付きZIPをメールに添付し、パスワードを別メールで送る、いわゆる「PPAP」だ。
平野氏はその理由を、次のように補足する。
「2022年において、メール送信時の通信はほとんど暗号化されている。SSL/TLSを利用する『STARTTLS』は90%程度のメールサーバで使われている。PPAPを利用する企業は残り10%のためというより、STARTTLSが普及していることを知らないまま、PPAPに頼り続けてしまっているのではないかという印象を持つ。国際的には『MTA-STS』や『SMTP Require TLS』などの技術もある。暗号化を必須にした送受信ができる技術も既にあるが、活用は広まっていない」(平野氏)
その他にも、通信事業者が各種技術を実装する上で「『通信の秘密』を守らなければならない」という課題と向き合う必要もあり、JPAAWGは関連する議論をリードしてきたという。
それらの事情を踏まえ、櫻庭氏はメッセージングセキュリティを「グローバルスタンダードで議論すべき」と強調する。言うまでもなく、アップデートがないままメールを利用し、うまく動いていたとしても、どこかのタイミングで技術も知識もアップデートが必要になる。あらかじめ将来を見据え、ガラパゴス化しないよう、グローバルスタンダードを理解して必要なものを使えるよう、準備する――「そのための場を提供する、というのがJPAAWG活動のモチベーション。M3AAWGの議論を基にしつつ、誤った技術の使い方にならないよう、最初から理解しておくことが大切だ」と櫻庭氏は述べる。
JPAAWG 5th General Meetingは2022年11月7〜8日、オンラインでの開催とともに、長崎県の出島メッセ長崎でのハイブリッド開催を予定している。一方通行ではなく「双方向」で作り出す同イベントでは、モバイルメッセージングセキュリティの現状を大手通信事業者の3社の担当者が直接語るセッションや、フィッシング、スミッシングの現状を、SNSで活躍するスレットハンターが語るセッション、さらには冒頭で触れたNTTドコモ、Yahoo! Japanによる大規模環境におけるDMARC/BIMI対応の本音が聞けるセッションも予定している。メールに限らず、メッセージングに関する技術と本音が聞ける貴重な機会だ。
櫻庭氏は「オープンラウンドテーブルなど、議論の場として開催することを念頭に構成している。疑問点があればぜひスピーカーに質問し、問題提起の場に参加してほしい」と述べ、末政氏も「1人で考えていても解決できないことが多い。さまざまな業界、企業の人が集い、悩みを語り、問題を解決するためのディスカッションをする本イベントでぜひ、経験を積んでほしい」と述べる。
メール、メッセージングのセキュリティ対策、要素技術は決して過去のものではない。そして多くの企業で活用されているが故にアップデートが難しいエリアといえるだろう。難しいからこそ、グローバルの観点で正しく理解するためにも「集う」ことから始めてみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:一般社団法人メッセージング研究所
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年10月29日