メールや SMS といったメッセージング手段を介したサイバー攻撃やフィッシング、マルウェアなど、インターネットやモバイル環境を狙う脅威や不正利用(Abuse)は増加の一途をたどっている。JPAAWG(Japan Anti-Abuse Working Group)は、グローバルな組織である M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)と連携しながら、こうした脅威からユーザーを、また企業やブランドを守るために何ができるのかを、運用の現実に即しながら議論し、対策を提示してきた。
中でも重要な活動が、年に一回行っている General Meeting だ。「迷惑メール対策カンファレンス」との併催の形で 2023 年 11 月 6 日、7 日にわたって金沢で開催された「JPAAWG 6th General Meeting」には、通信事業者やメッセージサービスを提供する企業はもちろん、セキュリティ企業、あるいは総務省・警察省などの担当者らが集まり、最新状況を交換し合った。JPAAWG会長の櫻庭 秀次 氏によると参加登録は 600 名近くに上り、特に現地参加は前年(長崎開催)の倍に増えたという。
今回は Google と Yahoo! という二大メールサービスプロバイダーが打ち出した「No Auth, No Entry」というポリシーの受け止め方に始まり、最新の脅威動向や DMARC をはじめとする対策のアプローチ、各事業者が進める取り組みなどについて、幅広い議論が交わされた。
●オペレーショナルな視点から Abuse対策を検討
「世界中のオペレーターが今 M3AAWG で議論しているネットワークセキュリティ重要課題」と題するオープニングキーノートは、M3AAWGチェアが予定されていたが、急遽来日できなくなったため、DMARC.org の Steven Jones 氏がピンチヒッターで壇上に立った。Jones 氏は長年 M3AAWG に参加しており、現在も送信ドメイン認証の新しい課題に取り組むイニシアティブに関わっている。
Jones 氏は、M3AAWG は、メールをはじめとするコミュニケーションチャネルを悪用した詐欺やなりすましといったさまざまな不正行為を指す「Abuse」対策を目的に、グローバルに活動していると M3AAWG の意義から説明。その特徴は「オペレーショングループである」点だ。
「たとえば IETF はプロトコルやルールによってインターネットの挙動を規定していますが、M3AAWG はオペレーショナルな視点に基づき、顧客やコミュニティのニーズに対応しながらどのようなアプローチを取るかを模索し、ナレッジを蓄積してきました」(Jones 氏)
また Abuse対策は、一つの技術だけにフォーカスしていては効果が得られにくく、必然的に複数の技術にまたがって検討することになる。「フィッシングや SMS の不正がアカウントの乗っ取りにつながり、乗っ取られたアカウントがサイバー攻撃に用いられます。あるチャネルでの悪用が、別のチャネルでの侵害につながるため、あらゆる技術を見ていくことが必要になります」と Jones 氏は述べ、顧客を、そしてコミュニティ全体を守っていくため、M3AAWG ではさまざまな技術にフォーカスしていると説明した。
元々は金融業界出身である Jones 氏のように、さまざまな業界、さまざまな企業から参加する多くのボランティアの貢献に支えられた組織であることも特徴だ。それゆえに幅広い業界とつながりを持つこともでき、新たなアイデアを得ながら社会貢献に取り組んでいる。
●メール送信事業者に大きな影響を与えそうな「No Auth, No Entry」
M3AAWG の活動の重要な割合を占めているのが、技術的な検討だ。多様な背景を持つメンバーが参加することで、「技術的にも広範な領域にフォーカスし、まだ問題が顕在化していない領域に関しても追いかけています」(Jones 氏)
コミュニケーションチャネルの保護はもちろん、データおよび ID の保護、そして近年注目されているサプライチェーンなどの領域が対象だ。また、Abuse対応窓口からポリシー、各種セキュリティ対策など幅広いテーマに関する SIG(Special Interest Group)が設置され、議論、検討を行っている。
一例が、暗号化技術の TLS のバージョンに関する検討だ。IETF では TLS の新バージョンを策定し、古いバージョンからの移行を推奨しているが、M3AAWG や JPAAWG ではさらに踏み込み、TLS をどのように設定し、アップデートしていくべきかといった具体的な部分についても議論している。「実際にどのような脆弱性が悪用され、どんな影響を受けているケースがあるかを示し、待つことなく今すぐ、古い脆弱な技術から新しい技術へアップデートしてほしい、と伝えています」(Jones 氏)
続けて、M3AAWG の Data and Identity Protection委員会の共同チェアを務める Anders Berggren 氏が、この先数ヶ月、多くのメールサービスプロバイダーや事業者に大きな影響を及ぼすであろう「No Auth, No Entry」を巡る動きについて紹介した。
これまで、なりすましメールを見破る Abuse対策としては IPアドレスベースの SPF が広く用いられ、DKIM や DMARC といったより強力なメカニズムはそこまで普及してこなかった。この結果、なりすまされた悪意あるメールの検知・ブロックが困難な側面があったという。
「しかし、2024 年 2 月に大きな変化が予定されています。二大メールボックスプロバイダーである Gmail と Yahoo! が、マーケティングやトランザクションなどの目的で大量にメールを送信する事業者に対し、SPF と DKIM、DMARC を義務化すると宣言しています」(Berggren 氏)
Jones 氏によると、No Auth, No Entry に関する議論は 2016 年ごろから始まっていた。ただ当時はまだ DMARC は新しい技術であり、メール送信に影響を与える可能性もあることから実装は見送られていたという。しかし、それから数年が経ち、なりすましメールを見破り、過検知・誤検知も減らすことができ、誰にとってもメリットになると判断したことが、両社のこうした宣言の背景にあるのではないかと同氏は見ているそうだ。
Berggren 氏はもう一つ注目すべきトレンドとして「サプライチェーン」を挙げた。M3AAWG と CAUSE(Coalition Against Unsolicited Commercial Email)、APWG(Anti-Phishing Working Group)が共同で行った調査では、マルウェアがばらまかれ、そのマルウェアに感染したデバイスからスパムメール、フィッシングメールが送信され、金銭的被害を及ぼす——といった形で、これらの要素がサイバー犯罪のサプライチェーンを構成し、より大きな被害を与えていると結論づけている。従って、マルウェアとスパム、フィッシングをつなぐリンクを破壊していく戦略が有効であることも示されたという。
●リソースが不十分な小規模企業・組織向けの支援策も
Jones 氏は、技術的な検討や調査に加え、ベストプラクティスをドキュメントとしてまとめ、公開することも M3AAWG の重要な活動であると説明した。
たとえば TLS必須化ひとつとっても、M3AAWG が公開しているドキュメントではどのような要件があるのかが細かく説明されているため、メリットとデメリットを踏まえ、自分たちが何をすべきかを把握できる。頻繁にアップデートされていることもポイントだ。
「こうしたホワイトペーパーやドキュメントを見ることで、企業や組織としてやるべきことや技術の方向性がわかります」(Jones 氏)。第三者がまとめた文書を活用することで、社内や顧客などへの説明、説得することもできるだろう。
より大きな枠組みにたち、戦略を定める際に参考となる文書もある。「ヨーロッパの GDPR をはじめとする法規制対応に関する情報やガイダンスも早期から提供してきました。日常業務の中では調査が難しい部分についても、M3AAWG の情報を確認することで、注意すべき事柄がわかります」(Jones 氏)
他にも、現実のさまざまな問題に即した活動を進めており、前述の No Auth, No Entryイニシアティブに関する情報についても Sender BCPグループでまとめていく方針だ。
また、Jones 氏が関わっている DKIM Enablementイニシアティブを例にとると、自力では対応が困難な小規模な企業・組織向けに、適切な DNSレコードを自動的に生成できるような仕組み作りにも取り組んでいるという。「DNSレコードの変更は、大手のオペレーターならば問題なくできるかもしれませんが、技術的なスキルを持つ経験者がいない小規模な組織には難しく、正しく設定したつもりでも、レコード中に文法エラーや不正な文字列が入り込むことが起こり得ます」(Jones 氏)。この結果、届くべきメールが届かない、といった不都合が発生しかねない。
かといって、第三者に完全に設定を委託するのも難しい。そこでこのグループでは、Webフォームなどを活用して DKIM設定に必要な DNSレコードを自動的に生成できるコンセプトを考案し、PoC を行っているという。
今後、ホスティング事業者などがこのコンセプトを基にして顧客向けにトライアルを実施できるまでに、さらに取り組みを進めていくという。
「これは一つの例ですが、このように、M3AAWG内のイニシアティブやコミッティでは、オペレーションと技術、両方にまたがった領域で取り組みを進めています」(Jones 氏)
最後に Jones 氏は、M3AAWG が APWG など幅広い組織と協力し、サイバー犯罪対策に向けた活動を展開していること、また中南米の LAC-AAWG(Latin American and Caribbean Anti-Abuse Working Group)やアフリカの AF-AAWG(African Anti-Abuse Working Group)など各地域の組織を支えながら活動していることなどをあらためて紹介した。そして、年に三回行われるミーティングの場では、参加者同士がダイレクトに、深く意見を交わすことができることを説明し、日本からも積極的に M3AAWG に参加してほしいとした。「より大きな、グローバルな組織に参加することで、さまざまな地域からの参加者ともネットワーキングでき、いっそう多くのメリットが得られると思います」(Jones 氏)
