イベントレポート

JPAAWG 2nd General Meeting

「OCNメール」の迷惑メールとの“付き合い方”、レピュテーション低下で某事業者からIPアドレスもドメインも拒否扱いになった経験からの対策

NTTコミュニケーションズ株式会社の山田慎悟氏(アプリケーション&コンテンツサービス部)

 国内ISPを発信源とする迷惑メールが増えてきており、各事業者は対応に追われているが、電気通信事業法の「通信の秘密」を考慮しながら法令を遵守したうえでサービスを維持するためのシステム開発・運用を行う必要がある。11月14日に行われた「JPAAWG 2nd General Meeting」の一部セッションにて、NTTコミュニケーションズ株式会社の山田慎悟氏(アプリケーション&コンテンツサービス部)は、「OCNメール」におけるメール送信不正利用に対する取り組みについて説明した。

 迷惑メールは、外(インターネット)から内(OCN)に来る受信方向のものと、内(OCN)から外(インターネット)へ出る送信方向のものに分類される。受信方向のものについては、ユーザーの意思でオプションのコンテンツフィルターを適用するなど、被害を回避するための余地があるが、送信方向のものについては、運用的に第三者の迷惑メール被害者からの申告に基づいてアカウント閉鎖を行うため、リアクティブな対応になってしまうという。

 送信方向の迷惑メールについてユーザーが受ける間接的被害については、事業者のレピュテーションの低下および設備リソース不足などのサービス品質低下により、ユーザーにとってメールサービスが使いにくくなる問題がある。

 一方、事業者側では設備リソースの増強や、レピュテーション低下に対しての回復対応が必要になるなどの直接的被害が生じる。また、メールが受信拒否されることによりユーザーが“お怒りモード”になること、世界中に迷惑メールを拡散する「悪の事業者の仲間入り」になってしまう間接的被害があるとした。

迷惑メールの送信を止めるための取り組み、単位時間移動量によるSMTP認証アカウントの自動停止に至るまで

 送信方向の迷惑メール被害として、攻撃が盛んに行われた2018年末に同社設備のレピュテーションが低下し、とある事業者からIPアドレスやドメインが拒否扱いになった事例を紹介した。

とある事業者への配信エラー率(2018年10月から2019年3月)

 この状況を改善するためにOCNメールとしては迷惑メールの送信を止めたいが、「可能な限り既存の整理学の中で適法性を担保したいため、新しい法解釈や法律の整備などは避け、サービス仕様を変更することなくユーザーの負荷を少なくすること」を考慮し、対策システムの立案、総務省への相談、対策システムの実装・運用を行った。

 具体的には、単位時間移動量によるSMTP認証アカウントの自動停止を行った。これは決められた時間のうち、Xカ国以上のIPアドレスからSMTP認証要求が発信された場合、認証を停止するというものだ。

 発信元IPアドレスが物理的におかしな時間軸で(例:一瞬で1万キロメートル移動など)別の国や地域に移動していると統計的に判断できたSMTP認証アカウントについては、ボットネットなどによる不正利用と見なす。

 SMTP認証アカウントの自動停止について、1日あたり10カ国を条件として適用したケースでは、ある程度配信エラーを回避でき、サービスの品質を戻すことができた。

 適法性については、「『電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン』に書かれている整理学の中でできるのではないかという解釈を総務省にいただき、実施した」と説明する。

 この仕組みを拡大することを検討しているが、不審な動きをしているものの不正利用と断定できないものもあり得るため、「ほかにもボットネットや不正利用を捕まえられる尺度がないか模索する必要がある」とする。

2019年1月1日の統計情報。一番左の1IDの送信元は50カ国からだった

 さらに、山田氏は迷惑メール対策の“個人的”重要なポイントとして、複数の尺度の違う網目で敵を捉える必要があると述べる。

 例えば、流量制限(同時並行数、単位時間でのQuota)、単位時間移動量による認証停止など複数の網を用意することだという。しかし、「正常な利用のユーザーに迷惑がかかるので、どこまでなら一般的な利用が可能かを見極めるのが大変なポイントになる」。

 そのほか、不十分な宛先管理やパスワードの使い回しの危険性について利用者へ注意喚起を行うことなど、事細かに状況を見て適切な対応を行っていくことが重要だとした。また、多数の事業者間で情報交換することで「メール業界全体として不正利用を撲滅する活動ができれば」と述べた。