＠IT メールソリューションセミナー2009イベントレポート

技術と法律で迷惑メールを包囲せよ

宮田　健
＠IT編集部
2009/4/3

　大阪での開催に続き、東京でも3回目となる＠IT主催のメールソリューションセミナーが2009年3月4日に開催された。セミナーは基調講演に「セキュリティ対策の『ある視点』」を執筆するNTTデータ・セキュリティの辻伸弘氏が、そして特別講演には情報通信総合研究所の松前恵環（さとわ）氏が登壇、メールセキュリティを攻撃者の技術面と法律面から解説した。その様子をレポートしよう。

　メールの脅威を“攻撃側の視点”で見ると

　辻氏による基調講演は「ボクならこう攻める」と題し、まずは辻氏の自己紹介からスタートした。辻氏はペネトレーションテストを行うことを職務としており、システムに脆弱性があるかどうかを実際に攻撃をすることで調査する。それだけでなく、個人的にハニーポットを運営し、最新の検体を観察するなど、趣味としてもさまざまな攻撃手法を研究しているという。辻氏は「SQLインジェクションは非常に注目され、対策論も盛り上がっているが、メールによる脅威はなかなか注目されていない」と述べる。そこで今回の基調講演は「ポート25、110からの脅威を攻撃視点の立場から」解説した。

　今回の内容は大阪で行われた同タイトルの講演をアップデートしたもの。スパムやウイルス、フィッシングメールの手法を実例を交えて紹介し、攻撃者がどのように「URLのクリック」を狙うのか、また防ぐ側の手法としてホワイト／ブラックリストやベイジアンフィルタなどの効能を紹介、さらにそれらの防ぐための手法がいかにして攻撃者に回避されてきたのかを生々しく解説した。

【関連記事】 ＠ITセミナー、再び大阪へ！ 生粋のハッカーに学ぶ、メールの攻め方守り方 http://www.atmarkit.co.jp/fsecurity/special/137mailosaka/mailosaka01.html   Page1 メールを突破口にする攻撃者たちとの攻防戦 本当は恐ろしいオープンリダイレクタ脆弱性   Page2 見れば分かる――つまり、見ないと分からない 攻撃側が有利、だからこそ彼らの手法を知るべし 人＋技術の力で「めっちゃ気をつける」 生粋のハッカーに学ぶ、メールの攻め方守り方 - ＠IT via kwout

　稚拙だからこそ、だまされる

　基調講演の冒頭で、辻氏はとある“フィードバック”を紹介した。2008年12月に開催された大阪での基調講演も好評で、そのレポートを＠ITでも掲載した。辻氏はこの記事が掲示板「2ちゃんねる」に転載されているのを見つけ、レポートに対し「読んでみたら内容が稚拙すぎてワロタ」というコメントがついていたそうだ。

　辻氏はこれについて、「講演で触れたオープンリダイレクタ脆弱性を利用した手法や、スパムメールの手口は理解していても、人はだまされてしまうもの」だとし、実際にその手法が自分に向けられたとき、分かっていても冷静な判断ができない可能性があると述べた。辻氏は「いくら稚拙でも、だまされる人がいる限り攻撃はなくならない。だからこそ、人の力と技術の力を合わせた“欺く技”を私たちもつけるべき」という言葉で総括した。

1/3

Index
メールソリューションセミナー2009イベントレポート 技術と法律で迷惑メールを包囲せよ
	Page1 メールの脅威を“攻撃側の視点”で見ると 稚拙だからこそ、だまされる
	Page2 迷惑メールは法律で規制できるのか いったい何が「迷惑」？ 迷惑メール規制の背景にある難しさ
	Page3 迷惑メール規制の過去・現在 「同意」の取り方、注目すべきは省令・ガイドライン すぐそこにある未来の脅威を法律でどう規制するか

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）