NIFTY Tech Day 2022 安心・安全な@niftyメールサービスの裏側

自己紹介 Copyright © NIFTY Corporation All Rights Reserved. 加藤健太
会員システムグループ第三開発チームメール運用サブチーム 2011年ニフティ株式会社に新卒入社鈴木雅也会員システムグループ第三開発チームメール開発サブチームここ暫くメール一筋スプラトゥーン3 ウデマエS+ 2018年ニフティ株式会社に中途入社 2

おわりに目次 Copyright © NIFTY Corporation All Rights Reserved. 安定したサービス提供に向けた取り組みにつ
いてはじめに @niftyメールの今後 @niftyメールの現状 SMTP受信セキュリティ対策 SMTP送信セキュリティ対策大規模ストレージの安定運用 3

メール利用の現状 Copyright © NIFTY Corporation All Rights Reserved. 電子メールは、ＳＮＳが広く普及した現在でも、インターネット利用の主要な目的の１つとなっています。
インターネットの利用目的・用途（出典）総務省「通信利用動向調査」 https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html 5

ニフティにおける現状 Copyright © NIFTY Corporation All Rights Reserved. メールアカウント数：約250万アカウント 1日あたりの流量：着信
2,000万通、送信 40万通ニフティにおいても同様で、多くのお客様に利用されています。ニフティの主力事業であるプロバイダーサービスを利用せず、メールサービスのみを利用されているお客様も多数いらっしゃいます。 6

メールサービスの歴史 Copyright © NIFTY Corporation All Rights Reserved. １９８７年　パソコン通信「NIFTY-Serve」開始 •
現在でも使用されている「nifty.com」ドメインに１９９９年　Infowebと統合し「@nifty」へ１９９４年　インターネット接続サービス開始 • 会員同士でやり取りできる電子メール機能を提供 • インターネットとのメールの送受信が可能に • 当時のメールアドレスは「niftyserve.or.jp」ドメインパソコン通信時代も含めると、３０年を超える歴史を持っています。 7

メールサービスの歴史 Copyright © NIFTY Corporation All Rights Reserved. 追加のメールアカウントセカンドメール、サンリオキャラクターアドレス
など迷惑メール対策機能迷惑メールフィルター、未登録アドレスブロックなどセキュリティ対策機能メールウイルスチェック、 @nifty セキュア・プライバシー for Mail（本年8月開始）などインターネットとのメール送受信が可能になって以降、様々なオプション機能を提供しています。 8

お客様メールシステムの構成 Copyright © NIFTY Corporation All Rights Reserved. 送信
[SMTP] 受信 [SMTP] メールボックスストレージメール情報メタ情報インターネット取得 [POP/IMAP] Web メール 9

Copyright ©NIFTY Corporation All Rights Reserved. 安定したサービス提供に向けた取り組みについて SMTP受信のセキュリティ対策について SMTP送信のセキュリティ対策について
大規模ストレージ安定運用の話

• フィッシングメールとは • 送信者を偽って電子メールを送信し、公式サイトに似せた偽サイトに誘導して、IDやパスワード等を盗み出す詐欺手口の一つ。近頃のフィッシングメールとの闘い Copyright © NIFTY Corporation
All Rights Reserved. 国内のフィッシング情報の届け出件数多くはSMSや電子メールによるもの（出典）フィッシング対策協議会「フィッシングレポート2022」 https://www.antiphishing.jp/report/phishing_report_2022.pdf 16

ニフティ社を騙ったニフティ会員宛のメールも増加近頃のフィッシングメールとの闘い Copyright © NIFTY Corporation All Rights Reserved. •
届いたフィッシングメールの傾向 • 複数の国内外IPからの送信/IPレピュテーションスコアは正常/徐々に送信/fromアドレスや文面等もコロコロ変わる/同一IPから正規メールも届く。。実際に届いたフィッシングメール ↓ 17

• ニフティで提供する迷惑メールフィルター • 2つのフィルターで成り立つ • ベンダー製品のフィルター • 高精度で高速にSPAMやPhishingを検知するアンチスパムエンジンを搭載 •
しかし、時々迷惑メール判定されない場合がある。 • ニフティ独自フィルター • ニフティオリジナルのフィルター • 上記すり抜けを補う役割迷惑メールフィルターの強化 Copyright © NIFTY Corporation All Rights Reserved. 18

迷惑メールフィルターの強化 Copyright © NIFTY Corporation All Rights Reserved. • ニフティ独自フィルター
• 迷惑メールの特徴を定義に追加することで、迷惑メール判定のスコアを調整可能な機能 • ハニーポット用アカウントや、Webメールの通報機能から得られたフィッシングの特徴を都度反映し、迷惑メール判定のスピードや精度向上に努めている • 送信ドメイン認証技術（SPF/DKIM/DMARC等）も駆使 19

迷惑メールフィルター未利用のお客様への対処 Copyright © NIFTY Corporation All Rights Reserved. • ニフティ社からの正規お知らせメールには、Webメール上
でニフティロゴを表示別途、メーラーでも判別可能にすべく今後BIMI導入も検討中 ※BIMIはこれから普及する見込み 20

• 大量送信とは？ • 大量のメール（通常では考えられない通数のメール）が、お客様端末からの接続により、@niftyメールシステムから送信されること。大きな問題の1つ：大量送信問題 Copyright © NIFTY Corporation
All Rights Reserved. • 特徴 • 第三者にSMTP認証のID・PWを悪用されて、不正に送信されている（過去実績ベース）。 • メールソフトからの送信、Webメールからの送信、両方で発生 • 内部宛（ニフティ宛）だけではなく、外部宛へも多く送信される。 23

• @niftyメール設備の負荷が急増する正規のお客様のメール送信に支障がでる放置するとどうなるのか？ Copyright © NIFTY Corporation All Rights
Reserved. • 世の中的に、@niftyメール送信サーバのIPレピュテーションスコアが悪くなる。もしスパムメールの送信元と判断されたブラックリストデータベース※に載ってしまうと。。正規のお客様が送信したメールが、リストを参照した企業や学校宛に届かなくなる ※Barracuda/spamhaus/sorbs/spamcop/uceprotect/spamrats/etc… 24

• 流量制御 • 単位時間あたりの送信通数等が一定数を超えると自動で送信制御 • 一時的に送信可能通数等を極端に制御（一定時間経過後自動解除） • 繰り返される場合等、悪質なケースは送信不可措置へ
• OSSのMTA＋ニフティ独自制御システム • その他の対策も講じているが、正直、いたちごっこ。。主な対策例 Copyright © NIFTY Corporation All Rights Reserved. 25

Copyright © NIFTY Corporation All Rights Reserved. • ストレージ容量：約3PB •
サーバ台数：約70台 ✔ HDD本数：約800本ストレージの規模感 Scality RING で巨大なストレージプールを構築 28

Copyright © NIFTY Corporation All Rights Reserved. • Scality Inc.
(以下、Scality社) が開発したSDS (Software Defined Storage)。 • 汎用x86サーバを用いて、ペタバイト規模にスケール可能なストレージクラスタを構築可能。 • 旧来のNFS/SMBのようなファイルストレージとしてのインターフェースや、Amazon S3互換のオブジェクトストレージとしてのインターフェースも提供。 Scality RINGとは（出典）Scality RING https://www.scality.com/ja/ring/ 特徴を抜粋 29

Copyright © NIFTY Corporation All Rights Reserved. Scality RINGとは（出典）クラウド
Watch「NVCが扱う大容量ストレージ構築ソフト「Scality RING」がニフティに採用」 https://cloud.watch.impress.co.jp/docs/news/513448.html 30

REST Copyright © NIFTY Corporation All Rights Reserved. Scality RINGのアーキテクチャ概要
Storage Layer Connector Layer Client Application 31

Copyright © NIFTY Corporation All Rights Reserved. Scality RINGのアーキテクチャ概要 160bit
のキーの両端を時計回りにつないで論理的に円環状の空間を実現。 32

• bizstorenode (以下、 node) というプロセスが複数存在。 Copyright © NIFTY Corporation
All Rights Reserved. Scality RINGのアーキテクチャ概要 bizstorenode bizstorenode ・・・ bizstorenode bizstorenode ・・・ bizstorenode bizstorenode ・・・ 0EEEEE…00 EEEEEE…00 633333…00 1CCCCC…00 AAAAAA…00 D55555…00 • 各 node に 160bit のキーが割り当てられている。 33

Copyright © NIFTY Corporation All Rights Reserved. Scality RINGのアーキテクチャ概要円環状のキースペースに沿って論理的に配置。
(この例では 3台×6node＝18node) 34

Copyright © NIFTY Corporation All Rights Reserved. Scality RINGのアーキテクチャ概要 1つ手前の
node にアサインされているキー + 1 〜自身に割り当てられているキーまでが担当範囲。【担当範囲】 0EEEEE…01 〜 1CCCCC…00 35

Copyright © NIFTY Corporation All Rights Reserved. Scality RINGのアーキテクチャ概要自動的にリバランシングが行われる。
• nodeのキーの担当範囲の更新 • オブジェクトの移動例えば、「060000…00」というキーのオブジェクトが存在した場合、担当 nodeが青→黄色に変わる。実データも黄色のnode を持つサーバのHDDに移動する。 40

Copyright © NIFTY Corporation All Rights Reserved. 運用上苦労するポイントはないの？ • HWのライフサイクルに合わせたリプレースが必
要。 ◦ 弊社では初期導入以来、RINGの容量拡張のため比較的短いスパンでHWを追加してきた。 ◦ ライフサイクルの異なるHWが同一RING上に共存。 ◦ HWのリプレース対応は、調達のリードタイムも然り、 1年近くの期間を要する。 44

今後について Copyright © NIFTY Corporation All Rights Reserved. ニフティでは現在、メールサービスのリニューアルを計画しています。
@niftyメールリニューアルのお知らせ https://mail.nifty.com/cs/mail-info/detail/220616000098/1.htm メール配送システムのエリア冗長　自然災害を考慮した基盤強化独自システムの刷新　メンテナンス性の向上 48

NIFTY Tech Day 2022 安心・安全な@niftyメールサービスの裏側

NIFTY Tech Day 2022 安心・安全な@niftyメールサービスの裏側

Video

Resources

NIFTY Tech Day 2022

More Decks by ニフティ株式会社

Other Decks in Technology

Featured

Transcript