Google Cloud spammerの状況 (JANOG57 Mail BoF)

Transcript

1. Google Cloud spammer の状況 KEYTEC 野々垣裕司 KEYTEC 1 JANOG57

2. 自己紹介 • KEYTEC合同会社 野々垣 裕司 (ののがき ひろし) • 仕事でインターネットに携わって30年 •

   IPv6に携わって26年 KEYTEC 2 JANOG57

3. Google Cloudとは Googleが提供しているクラウドサービス 他社 • Amazon Web Services(AWS) • Microsoft

   Azure KEYTEC JANOG57 3

4. spam IPアドレス空間 2025年 05/23 34.0.0.0-34.191.255.255 08/12 追加 35.192.0.0/12, 162.216.148.0/22 08/15

   追加 35.152.0.0-35.247.255.255 08/30 追加 104.196.0.0/14 09/29 追加 104.154.0.0/15 10/14 追加 136.32.0.0-136.127.255.255 KEYTEC JANOG57 4

5. IPアドレス空間 2026年2月11日 現在 34.0.0.0-34.191.255.255 35.152.0.0-35.247.255.255 162.216.148.0/22 104.196.0.0/14 104.154.0.0/15 136.32.0.0-136.127.255.255 KEYTEC

   JANOG57 5

6. Google Cloudからのspam IPアドレス数 KEYTEC JANOG57 6 0 1000 2000 3000

   4000 5000 6000 IPアドレス数 2025年9月15日まで

7. Google Cloudからのspam IPアドレス数 KEYTEC JANOG57 7 0 5000 10000 15000

   20000 25000 30000 IPアドレス数 2025年12月6日まで

8. Google Cloudからのspam IPアドレス数 KEYTEC JANOG57 8 0 5000 10000 15000

   20000 25000 30000 35000 40000 45000 IPアドレス数 2026年2月11日まで

9. Google Cloudからのspam IPアドレス数 • 8/12は500ぐらいだった。 • その後毎日100から300ずつ増えている。 • 現在も衰える事は無い。 •

   日本のVPSでも同様な事はあったが、対策はかなり効いている模様。 • 真面目にちゃんと利用しているIPアドレスが少なすぎる。 • 次々とIPアドレスが汚染されていって、メールレピュテーションは非常に悪 化している。 KEYTEC JANOG57 9

10. Google Cloud spamなぜ増える • どんな契約者なのか確認していない。 • .cn国及びドメイン名は契約不可なのにDNSを別にするなどしている。 • 契約者は日本だけではなく、世界中からになる。 •

    Gmailメール送信者ガイドラインは厳しくなっている。その反面Google Cloudはspam発信やり放題。 • Googleへのメール送信は厳しい。Googleからのメール送信は緩い。 • Google Cloudは、迷惑メールの送信者契約で、Googleは大儲けしている!? KEYTEC JANOG57 10

11. spamメール その1 送信者メールアドレス: [email protected] mail01.example.com 34.146.9.98 mail02.example.com 34.146.9.167 mail03.example.com 34.146.10.210

    mail04.example.com 34.146.11.126 mail05.example.com 34.146.11.163 mail06.example.com 34.146.9.47 mail07.example.com 34.146.10.230 mail08.example.com 35.187.197.151 mail09.example.com 35.187.198.240 mail10.example.com 34.146.9.73 | mail39.example.com 34.146.11.181 mail40.example.com 34.146.11.16 こんな調子で毎日3～10ドメイン増えている。現在1552あります。 KEYTEC JANOG57 11

12. spamメール その2 From: Amazon <[email protected]> From: =?utf-8?Q?Amazon?= From: A_m_a_z_o n

    <[email protected]> From: =?utf-8?Q?A_m_a_z_o_n?= From: JCＢ <[email protected]> From: JCB <[email protected]> From: =?shift_jis?B?SkODoA==?= From: 三井住友カード From: =?gbk?B?yP2+rteh09Glq6lgpck=?= From: みずほ証券 From: =?utf-8?Q?=E3=81=BF=E3=81=9A=E3=81=BB=E8=A8=BC=E5=88=B8?= KEYTEC JANOG57 12

13. spamメール その3 Reply-To: "no-reply" <[email protected]> List-Unsubscribe: <https://127.0.0.1/[email protected]> List-Unsubscribe: <<https://example.com/u/[%unsubscribe_id%]> From:

    E T C 利用照会サービス <[email protected]> From: =?utf-8?B?RSBUIEMg5Yip55So54Wn5Lya44K144O844OT44K5?= List-Id: example <ＥＴＣ List-Id: example =?utf-8?Q?=3C=EF=BC=A5=EF=BC=B4=EF=BC=A3?= KEYTEC JANOG57 13

14. いたちごっこ放棄している? Google • 技術面にていくらspammerを排除しても、管理や人的な面がいい加減では 排除できない • Googleといえども、メールトラフィックの受信と送信では別会社 • 数か月も増え続けるのを放置しているのはおかしいよね •

    Google Cloudからのspam IPアドレスの確率は99.99% • Googleが厳しくなれば、ジプシーのごとくまたどこからか現れる • 因みにウチで管理している全DNSBL IPアドレスは30万レコードあります KEYTEC JANOG57 14

15. どうしましょうかね? KEYTEC JANOG57 15