A9_Meeting for Japanese ISPs (Part 1)

Transcript

1. OCNメールにおける メール送信不正利用に対する取り組み 2019.11.14 NTTコミュニケーションズ株式会社 アプリケーション&コンテンツサービス部 山田 慎悟 <[email protected]>

2. 自己紹介 名前 山田 慎悟 所属 NTTコミュニケーションズ株式会社 迷惑メール対策推進協議会 技術WG 略歴 ・

   バックボーンネットワーク開発＠7年 光ファイバ、WDM、OXC、伝送装置、スイッチ、ルータ コアバックボーンNWの設計、開発、MPLS関係の新技術導入 ・ メールシステム開発＠9年 コンシューマ向けメールサービス ビジネス向けメールホスティングサービス、メールリレーサービス 各種オプション（ウィルスチェック、スパムフィルタ、etc） 主にシステム設計、開発 2

3. OCNのメールサービス OCNメール 700万を超えるOCN会員を対象に提供しているメールサービス。 いわゆるISP加入に伴う、払い出しメールアドレスを用いるメールサービス。 提供サービス 以下のサービスを提供している。 ・ WEBメール ・ SMTP/IMAP/POPによるMUAアクセス

   ・ オプションでのウィルスチェックやスパムフィルタ 特徴 ・ サービス開始から20年以上経過している ＝幅広い世代のみなさまにご愛顧いただいている ・ NTT品質を標ぼうするサービス ＝お客様第一 3

4. 念のためのおさらい 『通信の秘密』 超絶極端に言えば、お客様の通信について、何も見てはならない。 宛先IPアドレスであろうとメールヘッダであろうと、勝手に見るのは違法性がある。 『正当業務行為』 超絶極端に言えば、求められることのために仕方がなければやってもいい。 パケットを届けるためにIPを見る、スパムフィルタしてほしいヒトのために本文を見るなど。 事業者としての立ち位置 当然ながら法令を遵守したうえで、しかしながら、よりよいサービス維持のために、 時には改めて境界線を確認しつつ、システムを開発し、整え、運用していく。

   参考情報 – 電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン 第5版＠JAIPA https://www.jaipa.or.jp/other/intuse/guideline_v5.pdf – 迷惑メール対策技術導入を検討されている事業者の方へ＠総務省 http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/jigyosha.html 4

5. OCNメールと迷惑メール 迷惑メールとのお付き合い 常日頃から様々なメールを受信しており、多数の攻撃的トラヒックが存在。 設備リソースに多大な影響を与える「明示的な攻撃」と、 中身に悪意がある/不同意であるようなメールを送る「暗黙的な攻撃」があり、 おおよそどちらの攻撃も、抜けると「迷惑メール」という形でお客様に見える。 迷惑メールへの対処 – 受信方向：外(Internet)→内(OCN) 運用的に大量接続など攻撃的SrcIPの拒否や流量制限などを実施。

   お客様の設定/オプション加入でコンテンツフィルタを適用。すり抜けはご申告ください… →お客様が被害を感じる際、その意思で被害を回避できる余地が存在 – 送信方向：内(OCN)→外(Internet) 運用的に第三者の迷惑メール被害者からいただいた申告に基づきアカウント閉塞。 一般のご利用に不便とならない範囲での流量制限。 →おおよそお客様自身に直接の被害はない →ドメイン/IPはお客様全体で共用しているので、間接的にはお客様へも被害がある 5

6. 送信方向の迷惑メール お客様が受ける被害 – 直接的被害 のっとりや詐称の場合、バウンスメールでメールBOXを埋められる – 間接的被害 事業者のサービス品質低下により、メールサービスが使いにくくなる ・ 設備リソース不足：メールの送信がつながりにくい

   ・ レピュテーション低下：送信メールがひたすら受信拒否で帰ってくる 事業者が受ける被害 – 直接的被害 ・ とにかく設備リソースを持っていかれるため増強が必要に ・ 送信設備のレピュテーション低下に対して回復対応が必要に – 間接的被害 ・ 正当なご利用のお客様のメールが受信拒否され、お怒りモード ・ 世界にスパムをばらまく悪の事業者の仲間入り 6

7. 送信方向の迷惑メール被害事例 大きな被害を受けた2018年末 非常に攻撃が盛んになり、弊社設備のレピュテーションが低下。 結果として、某事業者様から、IPアドレスもドメインも拒否扱いに。 被害の様子：某事業者様への配信エラー率(ドメイン毎) 7 サ ブ ド メ

   イ ン 一 覧 2019/03 2018/10 X<1 1<X<25 25<X<50 50<X

8. 被害への対応 達成したいこと 1) スパムメール送信を止めたい 2) 可能な限り既存の整理学の中で適法性を担保したい 3) 〇〇村のようにならないように必要であれば然るべきステップを踏みたい やりたくないこと イ)

   『通信の秘密』の侵害について新しい整理学は避けたい ロ) サービス仕様は変えたくない ハ) コストはかけたくない ニ) お客様の負荷はなるべく少なく やりました A) 対策システムの立案 B) 総務省様へご相談 C) 対策システムの実装と運用 8

9. 対策 単位時間移動量によるSMTP認証アカウントの自動停止 条件：単位時間当たりにXカ国以上のIPアドレスからSMTP認証要求を発信した 対象：SMTP認証アカウント 方法：ログから条件合致の対象を抽出、認証不可のフラグを立てる 意図 発信元IPアドレスが物理的におかしな時間軸で(例：一瞬で1万Km移動) 別の国 や地域に移動していると統計的に判断できたSMTP認証アカウントについて、botnet などによる不正利用と見做す。

   適法性 IPアドレスや認証IDについて『通信の秘密』の侵害(窃用)にあたりうるが、 安定的電気通信役務の提供を目的とし、侵害される通信の秘密も相当な限度で行 われるため、正当業務行為にあたり違法性が阻却されると考えられる。 ※ 「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」（第5版） 第5条 2「迷惑メール等」(4)SMTP認証の情報を悪用した迷惑メールへの対処）に倣う 9

10. 当時の状況 2019/01/01の統計情報 SMTP認証アカウントについて、その認証要求元IPアドレスの国数をカウントしランキン グ。トップ10,000アカウントの状況が下図。 10 送信元 国数 ID毎に送信元国の多さ順でソート

11. その後のOCNメール 自動停止適用効果 条件は以下の通りで適用を実施、ある程度、配信エラー率は回復できた 単位時間：1日 国数：10カ国 今後の自動停止 今回用意した仕組みをさらに広げていくことができないか検討したい 例 『認証の度に沖縄と北海道をいったりきたり』 『認証の度にイスラエルとロシアを行ったり来たり』

    →もしかするとアカウント共用かも… 『1時間以内にアジアからアメリカへ、でも1日単位ではそれっきりでまた後日来る』 →低頻度テレポーテーター 『1週間に1度しか来ないけど、毎週違う国から』 『1週間に1度しか来ないけど、毎週違うASから』 →物理的にはありえるけど… 11

12. これからの迷惑メール対策 No Silver Bullet 「これさえやっていれば大丈夫！」はありえない 個人的大事なポイント ・ 複数の尺度の違う網目で敵を捉える - 流量制限（同時並行数）

    - 流量制限（単位時間でのQuota） - 単位時間移動量による認証停止 というような違う切り口の「網」を複数用意し、敵の効率を下げる ・ お客様の啓発 - パスワードの使いまわし 使いまわしているから乗っ取られる、使いまわしたいから変更を促されても戻す - 宛先管理の不十分さ メーリングリスト的大量同報を宛先の確認を全然してくれていない サービスレピュテーションを棄損させない使い方に誘導する ・ よく観察する 上述いずれもよく状況を見ていないと次につながらない 12

13. 10月の統計情報：百分率 一か月間にメールの送信に用いられたSMTP認証アカウントの認証数 最近のご利用傾向：SMTP認証アカウントランキング 13 通数 比率 X>100 1.267% 100≧X>50 1.396%

    50≧X>25 3.306% 25≧X>20 1.678% 20≧X>15 2.701% 15≧X>10 5.018% 10≧X>5 12.019% 5≧X>0 72.616% 通数 実数 X>10000 21 10000≧X>5000 68 5000≧X>1000 1528 1000≧X>500 914 500≧X>400 205 400≧X>300 386 300≧X>200 751 200≧X>150 811 150≧X>125 743 125≧X>100 1207

14. 最近のご利用傾向：送信元国ランキング 14 10月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC

15. 最近のご利用傾向：送信元国ランキング 15 10月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC（除日本）

16. 最近のご利用傾向：送信元国ランキング 16 10月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC（除Over10,000回）

17. 最近のご利用傾向：送信元国ランキング 17 10月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC（除Over1,000回）

18. 10月の統計情報：ランキング（四捨五入） 一か月間にメールの送信に用いられたIPアドレスのCC（除Over1,000回） 最近のご利用傾向：送信元国ランキング 18 フィンランド 900 ラオス 900 セルビア 900

    チュニジア 900 エクアドル 800 ミャンマー 800 モンゴル 800 ブルガリア 700 チリ 700 ドミニカ共和国 700 ギリシャ 700 ナイジェリア 700 ネパール 700 ポルトガル 700 スロベニア 700 グルジア 600 ボリビア 500 ハンガリー 500 アンティグァ・バーブーダ 400 オーストラリア 400 ボスニア・ヘルツェゴビナ 400 エチオピア 400 グアテマラ 400 イラク 400 モルドバ 400 ニューカレドニア 400 ノルウェー 400 カタール 400 バーレーン 300 ベリーズ 300 スイス 300 クロアチア 300 アイルランド 300 イラン 300 ヨルダン 300 スリランカ 300 マダガスカル 300 オマーン 300 アルメニア 200 アンゴラ 200 オーストリア 200 ベルギー 200 コスタリカ 200 デンマーク 200 ホンジュラス 200 キルギスタン 200 クウェート 200 レバノン 200 リトアニア 200 ラトビア 200 マケドニア 200 マカオ 200 ニカラグア 200 ニュージーランド 200 パレスチナ 200 スーダン 200 スロバキア 200 エルサルバドル 200 シリア 200 タンザニア 200 ウルグアイ 200 ウズベキスタン 200 ザンビア 200 ジンバブエ 200 コンゴ民主共和国 100 コートジボアール 100 ジャマイカ 100 リビア 100 モンテネグロ 100 モルディブ 100 ニジェール 100 トリニダード・トバゴ 100 ウガンダ 100 イエメン 100 パラグアイ 90 スリナム 90 タジキスタン 90 キプロス 80 マラウイ 80 カメルーン 70 トーゴ 70 ギニア 60 モーリシャス 60 ルワンダ 60 セネガル 60 エストニア 50 グアドループ 50 ブルネイ 40 ブータン 40 ガボン 40 ガンビア 40 アイスランド 40 モザンビーク 40 ボツワナ 30 ガイアナ 30 モーリタニア 30 マルタ 30 プエルトリコ 30 ソマリア 30 コソボ 30 コンゴ 5 セントルシア 5 パラオ 5 サントメ・プリンシペ 5 アンギラ 4 キューバ 4 グリーンランド 4 リベリア 4 東ティモール 4 アンドラ 3 コモロ 3 英領バージン諸島 2 バーミューダ 1 ジブチ 1 フランス領ギニア 1 ガ−ンジィ島 1 赤道ギニア 1 ルクセンブルク 1 マルチニーク島 1 ソロモン諸島 1 チャド 1 マヨット島 1

19. 最近のご利用傾向：送信元国ランキング 19 9月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC（除日本）

20. 最近のご利用傾向：送信元国ランキング 20 8月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC（除日本）

21. 最近のご利用傾向：送信元国ランキング 21 7月の統計情報：ツリーマップ 一か月間にメールの送信に用いられたIPアドレスのCC（除日本）