OP25Bの普及でスパマーは民族大移動

インターネット協会が開催した「迷惑メール対策コンファレンス」の中で、OP25Bをはじめとする迷惑メール対策の効果が示された。

[ITmedia]

　「日本発のスパムは割合としては減少傾向にある。これはOutbound Port25 Blocking（OP25B）が普及した成果であると思う」――。

　インターネット協会は5月28日、第4回目となる「迷惑メール対策コンファレンス」を開催。この中で、迷惑メール対策を目的とした業界団体、JEAG（Japan Email Anti-Abuse Group）の赤桐壮人氏（日本オープンウェーブシステムズ）は、OP25Bをはじめとする対策がスパムを食い止める上で一定の成果を挙げたと述べた。

　OP25Bとは、文字通り、管理下のネットワークから25番ポートを介した外部向けのトラフィックを遮断する対策だ。

　かつてスパム送信の主な手段は、オープンリレーサーバを踏み台化するというものだった。だが、メールサーバ側での対策が進むにつれ、この方法は使えなくなる。それに伴いスパマー側は新たな手口を生み出した。ISPが提供する正規のメールサーバを経由せず、ダイナミックIPアドレスを用いて勝手にメールサーバを立て、あるいはボットを介してスパムメールを送信するという方法だ。特に国内では、携帯電話宛に大量にスパムメールを送信する手段として利用され、被害は深刻なものとなっていた。

　OP25Bはこの手口を封じ込める対策だ。スパムメールを受け取ってから処理するのではなく、発信源のほうで「出させない」ようにする。2005年から2006年にかけてこのOP25Bが国内で普及した結果、スパマーはまず、対策を実施したISPから未実施のISPへと移動。いくつかのISPを渡り歩いた末に最終的には海外に逃げ出し、日本国内から発信されるスパムメールは減少傾向を見せたという。

　事実、英Sophosがまとめているスパム発信国ランキングを見ると、2005年2月ごろまではワースト6位だったものが徐々に順位を下げ、2006年第3四半期にはランク外に抜け出している。また、スパム発信国の割合で見ても、2大発信国である米国・中国をのぞくと軒並み増加傾向にあるにもかかわらず、日本は頭打ちからやや減少傾向を見せている。

　「世界的にはスパムの総数は増加傾向にあるにもかかわらず、日本発の割合は減少傾向にある。これはOP25B普及の成果だろう。スパムの発信源は日本国内から海外のボットへと移行している。もしOP25Bの普及が遅れていれば、日本でもボットの被害はもっと深刻だったのではないかと想像できる」（赤桐氏）

　もっとも、OP25Bの導入がスムーズに進んだわけではなかった。メールサービスへの影響に加え、電気通信事業法の観点からの議論・整理も必要だったからだ。

　だが、総務省は2005年8月にOP25Bに対する見解を明らかにし、スパムおよびフィッシング対策として公認。またJEAGでも現場レベルでの課題を抽出し、それに基づいて実装のガイドラインを発表した。OP25B普及の背景として、こうした官民の協力も大きかったという。

　今後の課題は、OP25Bのさらなる普及に加え、それによって生じたスパマーの「民族大移動」への対処だ。

　「OP25Bを実施すると、スパマーは対策をしていないISPに移動する。引き受けたISPでは苦しくなってまたOP25Bを実施し、スパマーはまた別のISPに移る。結果として今、スパマーは海外に移動している」（赤桐氏）。JEAGでは、こうして海外からやってくるスパムを、国際的な連携を通じて食い止めていきたいという。

SPFのさらなる普及目指す

　JEAGがもう1つ、今後の課題として掲げているのが、送信ドメイン認証技術の1つである「SPF（Sender Policy Framework）」の普及だ。

　迷惑メールのほとんどは送信元を偽って送られてくる。したがって迷惑メール対策としては、送信者情報を詐称できない仕組みの導入が必要だ。その手段の1つが、送信時にサーバとユーザーの間で認証を行う「SMTP Auth」。もう1つが、受信側で送り手の身元を確認する送信ドメイン認証である。

　SPFは、送信メールサーバのIPアドレスと、DNSサーバに記述されたSPFレコードとを比較することにより身元の真偽を確認する仕組みだ。JEAGの本間輝彰氏（KDDI）は、WIDEプロジェクトによる調査結果を挙げ、「着実に国内のSPFの記述率は増えてきている」と述べた。

　この調査結果によると、2007年4月末の時点でSPFの記述率は約6.6％という。この数字が多いか少ないかは議論の分かれるところだが、実際にあるサービスでは、受け取っているメールの4割がSPFに対応していたという数字が出ている。

　とはいえ、まだSPFの認知度が低く、記述の仕方などがまだ広く理解されていないのも事実だと本間氏は述べた。特に、ISPやASPではSPFレコードの記述率が高い一方で、それ以外の業界では、まったく対応できていない分野があるという。

　スパムやアドレス詐称の実態を探ると、最近では大手ASPのフリーメールアドレスのドメインを詐称するだけでは飽きたらず、実在する一般企業のドメインをかたって迷惑メールを送信するケースもあるという。「スパム送信者にとっては（かたる先は）どこでもいい」（本間氏）。こうした状況を踏まえると、自社のドメインを保護するためにも、ASP／ISP以外の業界にもSPFを普及させる必要があると同氏は述べた。

　またSPFには、送信元の身元を確認するだけでなく、エラーメールの処理を効率化できるという別のメリットもある。あるドメインを詐称して大量のスパムメールを送り、そのバウンスメールで対象サーバの負荷を高めるという攻撃も存在するが、SPFの認証結果に基づいて配信不能レポート（NDR）を破棄することで、受け手も詐称された側も、本来不要なメールにわずらわされることがなくなるという（関連記事）。

　本間氏はこうしたメリットを踏まえ、「ぜひできるところからSPFをパブリッシュして、普及を推進してほしい」と述べ、JEAG側でも必要なドキュメントの整備を進めていきたいとした。またカンファレンスの中では、SPFの検証結果を受信側のフィルタリングに活用し、ドメインごとのきめ細かな処理を可能にする実装についての議論も行われた。

　またコンファレンスの最後には、経済産業省の石塚康志氏（商務流通グループ消費経済政策課）が、広告メールに対するオプトイン規制の適用について言及した。

　現行は広告メール規制についてオプトアウト方式を採用しているが、有効であるとは言い難い。というのも、「送信停止はこちら」と記されているアドレスに、これ以上広告メールを送らないよう伝えると、かえってそのメールアドレスが「アクティブ」であることが把握され、大量の迷惑メールが送られてくるというケースが珍しくないためだ。

　こうした実態を踏まえ経済産業省では、受信者が明示的に広告メールの受け取りを承諾しない限りメールを送信しないオプトイン規制への移行を検討していると石塚氏は述べた。ただこの場合、承諾の期限はいつまでか、また何をもって正当なパーミッションとするのかについて十分な議論が必要だという。