「お支払い情報の再確認が必要です」「アカウント異常のお知らせです」—— 誰もが知る大手オンラインショップや金融機関を騙って受信者をだまそうとする、こんな迷惑メールが後を絶たない。残念ながらその文面にだまされ、クレジットカード番号をはじめとする個人情報を詐取されたり、マルウェアをインストールされてしまうケースも多発している。
こうしたなりすましメール、迷惑メールに対抗し、メッセージングツールを中心としたサイバー攻撃を防ぐため、通信事業者やセキュリティ担当者、あるいは企業の担当者やユーザーなど、それぞれの立場から何ができるだろうか。そんな問題意識を共有する人たちが年に一度集まり議論する場が、JPAAWG (ジェイピーアーグ:Japan Anti-Abuse Working Group)が開催する「General Meeting」だ。
2023年は11月6日、7日の二日間にわたって、「JPAAWG 6th General Meeting」が石川県金沢市のオフライン会場とオンラインのハイブリッド形式で開催される。
開催を前に、会長の櫻庭 秀次 氏(株式会社インターネットイニシアティブ)をはじめ、平塚 伸世 氏(JPCERTコーディネーションセンター)、加瀬 正樹 氏(株式会社TwoFive)、北崎恵凡氏(ソフトバンク株式会社)といったJPAAWGの主要メンバーに見どころを尋ねた。
●いたちごっこを続けながら高止まり傾向の迷惑メールやなりすましメール
インターネットが普及し、メールが日常のツールとして活用されるのと同じくらい昔から、迷惑メールや詐欺メール、フィッシングメールはユーザーを悩ませ続けてきた。事業者や業界団体による注意喚起はもちろん、送信ドメイン認証や DMARC といった技術的対策に加え、法的整備も進んできたものの、20年以上経った今も、状況はなかなか好転していない。
「特に最近は、フィッシングの数が尋常ではないレベルに増加しています。中身や送り方も巧妙化しており、一般の人には見分けが付かないものが多く、だまされてしまうケースも多々発生していると思います(櫻庭氏)」
平塚氏によれば、2023年6月のフィッシングメールの届け出件数は過去最多に上った。その後、警察庁などの協力により海外でフィッシング実行犯が逮捕されたり、各事業者のさまざまな努力によって減少は見られるものの、「一時的なものに過ぎない可能性はある」という。
また、最近特に目立っているのがSMSを用いたフィッシング、いわゆる「スミッシング」だ。Eメールのフィッシングに比べるとまだ認知度が低く、しかも「SMSに表示される電話番号や送信者は信頼できる」といったイメージが強いことから、だまされてしまう人は少なくない。
北崎氏は「攻撃者は対策の手薄なところ、弱いところを使う傾向があり、当初はフィルタリングのなかったSMSに悪意ある人たちが集まっていました。しかし、SMSのフィルタの機能が向上している今、再び Eメールに戻ろうとする傾向も見えています」と指摘し、複合的に、複数の対策を並行して進めていく必要があるとした。
残念ながら、この種のいたちごっこはあちこちで起こっている。海外からのSMS発信が大半を占めているからといって送信元を制限すると、今度は国内で使われているモバイル端末にマルウェアやボットを感染させ、そこから迷惑SMSを送信する、といった具合だ。
櫻庭氏は「サイバー攻撃のファーストリーチとして、いろいろなメディアのメッセージングが悪用され続けています。古いメディアが引き続きさまざまな形で悪用される一方で、新たなメッセージング手段が普及してくるとそれも悪用される、ということが繰り返されていくでしょう」と述べている。
●さまざまな関係者が集まり、解決策を模索するハブとして機能するM3AAWGとJPAAWG
では、こうした状況にどう対処すればいいのか。メッセージングには送り手と受け手がいる以上、どこか一社だけが対策すれば悪用を防げるものではない。業界は古くからこうした認識に立ち、通信事業者やISP、Webブラウザの開発者ら幅広いステークホルダーが集い、議論しながら対策を進めてきた。
海外でこうした活動の軸となってきたのが2004年に設立されたM3AAWG(マーグ:Messaging, Malware and Mobile Anti-Abuse Working Group)で、送信ドメイン認証をはじめとする対策技術の策定やベストプラクティスの整備などを進めてきた。
JPAAWGはM3AAWGの活動とリンクする形で、国内での対策検討や普及啓発に取り組む組織として2019年に発足した。メールやメッセージングはもちろんだが、DNSや暗号技術など関連する基礎技術も含め、さまざまなトピックに関してメーリングリストやSlackを通して議論を行っている。また2018年から、「迷惑メール対策カンファレンス」の流れを汲む形で年次カンファレンスであるGeneral Meetingを開催している。
JPAAWG 1st General Meeting
https://meetings.jpaawg.org/1st2018/sessions/
JPAAWG 2nd General Meeting
https://meetings.jpaawg.org/2nd2019/program/
JPAAWG 3rd General Meeting
https://meetings.jpaawg.org/3rd2020/program/
JPAAWG 4th General Meeting
https://meetings.jpaawg.org/4th2021/program/
JPAAWG 5th General Meeting
https://meetings.jpaawg.org/5th2022/program/
※ 各ページでは講演資料PDFファイルを公開中
こうした活動の中から、迷惑メールやフィッシングメール、特に実在する人物や組織をかたったなりすましメールへの対策として、SPFやDKIMなどの送信ドメイン認証技術やそれを応用したなりすまし対策技術であるDMARC、そして正規メールを見分けやすくするBIMIといった技術が提案され、実装されつつある。
だが櫻庭氏は「約20年にわたって対策に携わってきたにもかかわらず、迷惑メール、なりすましメールを止められていない実情には、申し訳ないという気持ちがあります」という。
過去には、総務省などを含めて取り組んだOP25Bのように成功した施策もあった。だが今の時点では、せっかくの対策技術がまだ普及しきっておらず、なりすましメールが高止まりという現状を招いている。そして何より「エンドユーザーに不審なメールを見分けてもらい、何か対処していただくのは無理と考えています(櫻庭氏)」という事実に立てば、メール利用者を守る施策がうまく機能しておらず、道具を使い切れていない現状を何とかしていく必要があると感じているという。
●DMARCを手を動かして学べるハンズオンセッションや議論の場を用意したJPAAWG 6th General Meeting
JPAAWG 6th General Meetingではそうした問題意識に立って、課題解決の糸口を探り、前進させるためさまざまなセッションが予定されている。新チェアのJanet Jones氏をはじめとするM3AAWGのメンバーらが来日する他、通信事業者、企業、そして官公庁などさまざまな立場からスピーカーを招いてセッションを行う予定だ。
たとえば携帯キャリア各社を招いたセッションでは、SMSフィッシングの最新傾向とともに、各社が導入を進めているフィルタの機能がどう向上しているかを紹介する予定だ。また、セキュリティベンダーとしてSMSフィッシングの動向を追跡している株式会社マクニカからも担当者が登壇し、JC3とともに、どのようなスミッシングが流通しているか、調査の成果を披露する。
さらに、最新版への改訂を踏まえたCRYPTRECなど暗号技術に関するセッションや、DNSの不正使用に関するセッションも用意されている。このように、メールやメッセージングを軸にしつつも、必ずしもそれにとどまらず幅広いレイヤのトピックが議題に上がる。
「ネットワーク技術だけでなく、その上で動作するプログラムの開発や運用も含め、インフラからアプリケーションに足るまで幅広い分野をカバーしているため、ぜひ興味の持てる部分を見つけ、楽しみを見出して欲しいと思っています(櫻庭氏)」
そして、こうしたセッションを受講者として聞いて知識を得るだけでなく、問題意識を共有し、その場で議論できる形式を目指してきたのもJPAAWG General Meetingの特徴だ。
それを具現化しているセッションが「オープンラウンドテーブル」で、参加者がそれぞれ自分が抱えている課題や悩みを率直に話し合い、共有する場となっている。たとえば、迷惑メールを何とか止めたい事業者やセキュリティベンダーといった受け手側と、顧客とのつながりを維持するために確実なメール配送を実現したい事業者など送り手側との間で行われるオープンラウンドテーブルは、それぞれの立場を理解するきっかけとなる。
「人材の流動性が低い日本では、各ドメインが抱える悩みを他社が理解しづらい部分が多々あります。ちょっと話をすれば解決できる問題でも、なかなかその場がありませんでした。General Meetingではそうした場を提供していきたいと思います」と櫻庭氏は述べ、エンジニアをエンカレッジしていきたいとした。
もう一つ、今回の目玉企画となりそうなのが、ハンズオンセッションだ。
「JPAAWGのワーキンググループの活動の一つとして、なりすましメール対策技術であるDMARCの体験セッションを行ってきました。今回のGeneral Meetingでも、実際に手を動かしながらDMARCがどのように動作しており、どのような運用が必要になるかといった事柄を体験できる場を設けます(加瀬氏)」
なお、平塚氏によると、フィッシングメールの動向調査を進める中で、DMARC対応の有無が、なりすましメールの量に有意な差を示し始めている。それも「これまでは送信側、なりすましされるブランド側がDMARCに対応するか、しないかによって差が出ていたのですが、最近は受信側のDMARC対応の有無が影響しています」(平塚氏)。DMARCに未対応でなりすましメールを素通しする企業や組織からの報告の割合が明らかに増えており、その事実を踏まえた上で業界全体での浸透を図っていくべきだという。
他に、メールに関連するRFCについてあらためて復習できるセッションも用意されている。「メールという技術には長い歴史があるため、若いエンジニアが新たに参入するハードルになっているかもしれません。知識を教授できる場を用意してそういった障壁をなくしていきたいと考えています(櫻庭氏)」
●現場で悩むエンジニアや学生もぜひ参加し、次の一歩のきっかけを
JPAAWG General Meetingのオフライン会場は2022年は長崎で行われ、今年は金沢での開催となる。
「首都圏で開催する方が都合がいい人も多いでしょうが、現場で苦心していたり、課題を抱えてもやもやしている全国各地のエンジニアやオペレーターが集まり、ともに議論し、一緒に問題を解決していきたいという思いがあります」(櫻庭氏)
また、さまざまな場所で開催することで、若手エンジニアや学生の参加を促す意図もある。プログラムの一つとして、若手エンジニアによるライトニングトークも予定されており、「インターネットセキュリティに興味を持つ次世代の人々にも、ぜひ参加してもらいたいと考えています」と櫻庭氏は述べている。
フェイスツーフェイスで議論できるコミュニティと関わりを持ち、悩んだとき、困った時に相談できる相手を持つことは、技術を悪用するダークサイドに落ちるのを防ぐ歯止めになるのはもちろん、グローバルの最新動向を知って最先端の研究に取り組むきっかけにもなるはずだ。臆することなく参加し、自由にディスカッションし、さまざまなものを持ち帰る場として、ぜひ参加してみてはいかがだろうか。
