なんで迷惑メールはなくならないの？

Transcript

1. 有限会社ジーワークス 佐藤 潔 なんで迷惑メールはなくならないの？

2. 自己紹介 • 有限会社ジーワークス 長野県白馬村 • 某 ISP 様でサーバ管理やユーザサポート業務 • スパム対策手法

   taRgrey/Rgrey/Starpit

3. こんなことを話します • 「コンピュータ」なのになぜ？？ • スパムがどうやって出されているか 　→　なぜスパマーを捕まえられないの？ • どんな対策手法があるのか 　→　なぜ完全にはフィルタできないの？

4. スパムの数 • 海外だと 90% 以上という報告が多い • 日本だと 70% ～ 80%

   程度という実感 • 年々増えている • 5 年前のアメリカで 70% ～ 80%

5. スパムは bot から出されるのが主流 • bot 化してリモートコントロールされた PC から出す • bot

   が直接送信先メールサーバへ SMTP 接続してくる • スパムの大半は海外の動的 IP から • 日本発のスパムは OP25B により激減

6. 普通のメール送信の流れ

7. bot のメール送信の流れ

8. 日本語スパムはスパム 1.0 • 中国、フィリピン、タイ等の半固定的 IP から • レンタルサーバか、事務所にサーバを何台も置いて qmail や

   postfix から • Windows PC を多数置いて専用のスパム送信ソフトから

9. メールアドレスからは特定出来ない • 送信者のアドレスは偽装可能 • それどころか送信先のアドレスも偽装可能 　→　 To: フィールドは表示に使われているだけ • 送信元の

   IP アドレスでのみ特定出来る 　→　ユーザの特定はその IP の接続プロバイダに 　　　 調査してもらう必要がある

10. なぜスパマーを捕まえられないの？ • 国内の法整備は整ってきた しかし… • bot や海外経由のため特定が難しい • 広告主から特定は？ 　→　広告主がスパムを送信しているとは断定できない

    　　　 実際海外では分業化でスパム送信者≠広告主

11. スパム対策手法は大きく3種に分類 • メールの内容で判断 • SMTPセッション情報で判断 • スパム送信時の制限

12. メールの内容で判断 • 主に本文の内容を解析して判定 • 主な例：ベイジアンフィルタ • キーワードとその「スパムらしさ」をメールから自動学習 　→「バイアグラ」が含まれているメールなら99%スパム 　　　「出会い」「お金」が含まれているメールなら95%スパム •

    他に…　コラボレーションフィルタなど 語句 バイアグラ 出会い お金 語句が含まれていて スパムだった確率 99% 90% 50%

13. SMTP セッション情報で判断 • SMTP セッション時の相手の「クセ」で判定 • 主な例： greylisting • 一時拒否して再送してきたら受け取る

    　→　スパムは到達性は求めないからわざわざ再送しない • 他に…　tarpitting (返答の遅延)など

14. greylisting によるスパムフィルタ

15. スパム送信時の制限 • スパムを受け取らないのではなく、出させない対策 • 主な例： OP25B (Outbound Port 25 Blocking)

    • 自ネットワークから外へ SMTP 接続をさせない • 他に…　 throttling ( 送信数制限 ) など

16. OP25B でのスパム送信制限

17. なぜ完全にはフィルタできないの？ • SMTP が性善説で出来ている • 検出率を上げようとするほど誤検出率も上がる 一番の問題は… • スパムは人間が出しているということ 　→　新たなスパム対策手法が考え出されても

    　　　 必ずなんらかの対抗手段を出してくる

18. まとめ • スパム見てお金を払う人がいるから無くならない • 利用者はスパムに騙されないネットリテラシーをつける • 開発者はスパムを想定したシステム設計をする