前回の記事で説明した通りコミュニケーションツール、特にメールを悪用したサイバー攻撃は増加の一途をたどっている。実在する組織や人物を装って個人情報を盗み取る偽サイトに誘導するフィッシング詐欺に始まり、Emotet のようなメール経由で広がるマルウェア、やりとりを重ねて信頼させた上で多額の金銭をだまし取るビジネスメール詐欺(BEC)など、いずれも手口は巧妙化する一方だ。
もちろん、メールを支える通信事業者や IT管理者は、キーワードやレピュテーションに基づくフィルタリング、送信元の身元を確認してなりすましメールを見破るための送信ドメイン認証などさまざまな対策手法を検討し、実装してきた。しかし、前回の記事で紹介したとおり、残念ながらフィッシングメールは増加の一途をたどっている一方で、守る側のリソースには限りがある。この不利な状況の中でもどうすれば状況を改善できるかを議論する場が、JPAAWG(Japan Anti-Abuse Working Group、ジェーピーアーグ)が開催する General Meeting だ。
過去の2回はコロナ禍の影響でオンライン開催だったが、2022 年 11 月 7 日、8 日に開催される「JPAAWG 5th General Meeting」は 3 年ぶりにオフライン会場を設け、ハイブリッド形式での開催となる。しかも、IT関連のカンファレンスが多く開催される東京ではなく、出島メッセ長崎が会場だ。
TwoFive の末政 延浩 氏は、「リモート参加の場合、どこで開催されてもあまり違いはありません。いろいろな人が参加でき、かつあまり集まる機会のない地方の方がオンサイト参加できる機会を増やしたいと考え、長崎という場所を選びました」と説明した。全国でも珍しい情報セキュリティ学科があり、JPAAWG のリサーチパートナーである加藤 雅彦 教授も在籍する長崎県立大学が近く、セキュリティに興味を持つ学生が参加しやすい場所を設けるという意図もある。
●出島からグローバル標準を知り、脱ガラパゴスを
長崎と言えば思い浮かぶのが「出島」だ。鎖国を続けていた江戸時代の日本の中で唯一世界に開かれた窓となり、最先端の書物や情報がもたらされた。その名を冠した会場で行われる JPAAWG も、日本特有のガラパゴスな取り組みではなく、グローバルな標準に基づいたセキュリティ対策の方向性を知る機会になるだろう。
一例が、送信ドメイン認証技術の「DMARC」や、ブランドロゴを表示させてメール送信者の身元を直感的に把握しやすくする「BIMI」の採用だ。「昨年以降、Emotet が急増したこともあり、企業や通信事業者のメールセキュリティに対するアウェアネスが高まり、DMARC や BIMI の対応が進んでいます」(末政氏)
日本でも 2022 年に入って DMARC の普及率が高まりつつあるが、それでもグローバルに比べるとまだまだだ。中でも政府系のドメインでは、対応水準は低い状態にある。そこで JPAAWG 5th General Meeting では、国内でも有数の大規模なサービスを提供している NTTドコモやヤフージャパンにおける DMARC/BIMI対応の取り組みを紹介する。まだ未対応の組織・企業にとっては、不安を解消し、対応を進めるヒントが得られるだろう。
もう 1 つ、日本特有のガラパゴスなセキュリティ対策と言えば、パスワード付きZIPファイルを添付する、通称「PPAP」だろう。送信者・受信者ともに手間がかかる一方で、セキュリティ的にはあまり効果がなく、海外でもほとんど使われていないことから、廃止を表明する組織・企業が増えている。問題はその代替策だ。
JPAAWG 5th General Meeting では、PPAP の代替となり得る、STARTTLS や DANE(DNS-based Authentication of Named Entities)といった配送経路の暗号化技術を紹介し、根本的にデータを保護できるメール通信はどうあるべきかを議論するセッションも設けられる。
長年市場動向を見てきたクオリティアの平野 善隆 氏によると、残念ながら「日本の市場では、ちょっと変わったものの方が受けがいい」という。しかし本来ならば、技術的に適切であり、かつリーズナブルで普及しやすい技術、グローバルなスタンダードに即した技術こそ採用されるべきだ。JPAAWG 5th General Meeting はその方向性を見出すこともできるだろう。
さらに、2022 年 10 月に開催される M3AAWG の General Meeting の内容も踏まえ、メールセキュリティに関する最新技術やグローバルの最新動向も紹介される。M3AAWG や DMARC策定の中心メンバーも来日し、セッションを持つ予定となっている。
●受け取る側だけでなく、発信側の対策やノウハウ交換の場も用意
JPAAWG 5th General Meeting では他にも、日本の大手3キャリアの担当者が一堂に会し、モバイルメッセージングのセキュリティの現状や対策について語るほか、フィッシングやスミッシングメールを収集し、SNS を通して注意喚起に取り組んでいるスレットハンターの集いも予定されている。
ユニークなところでは、JPAAWG の特徴でもあるオープンラウンドテーブルがある。一方通行の話を聞くのではなく、参加者がそれぞれの立場から自由に意見を交わす場だ。複数のラウンドテーブルが行われる予定で、その中で、ややニッチな分野ではあるが、メール配信事業者が集う場も用意される計画だ。
「企業からの委託を受けてメールを大量に配信する事業者は、送信ドメイン技術と事業内容にはどうしてもずれる部分もあり、昔から非常に苦労してきました。スパマーと間違われることなく適切にメールを配信し、顧客と連携しながらサービスを提供していくかのノウハウを共有したり、議論してもらう予定です」(JPAAWG会長、櫻庭 秀次 氏)
さらに Vade Japan の関根 章弘 氏は「今、どこの会社もマーケティングや広告メールを送信しています。自分の会社のブランドを使ってメールを送っているのですから、送信事業者に丸投げするのではなく、きちんとしたメールを送って、自社のブランドを毀損しないようにすることが大事です。そのためには、送る側にも情報収集が必要です。マーケティングやセールスを担当している方々にもぜひ参加してほしいと思います」と、受け取る側以外にも幅広く参加してほしいとコメントした。
●一社だけでは解決できないセキュリティ問題、ともに議論し、前進を
メールという技術は数十年にわたって使われ続け、この基盤を安定的に動かしながらセキュリティを強化するために、さまざまな技術が登場してきた。
「OP25B に対応し、SPF をやったと思ったら DKIM や DMARC が出てきて、それをやったらまた BIMI が出てきて……という具合に次から次へと技術が出てくるため、『なんでこんなにやらないといけないの』と感じる部分はあるでしょう。それでも、安全にメールを使うためには継続的に取り組み続けるしかありません」(平野氏)
時には、技術的に正しい方向の対策であっても、これまでやってきた手順を変更したりする必要に迫られることもある。そうなると、個々の IT担当者、セキュリティ担当者が周囲に説明するのは非常に困難だ。「こうしたときに周囲を説得するためにいろいろな情報を共有し、リアルな声を集め、皆さんが前に進むための機会として、この場を活用してほしいと思います」(関根氏)
「中には一社で解決できる問題も多々ありますが、DDoS攻撃や BGPハイジャッキングのようにどうしても自社では解決し得ない問題が、ネットワークとメール通信の世界には存在しています。DMARC もその 1 つです。ネットワークのセキュリティを高めるために一緒に活動してもらえればと思います」(末政氏)
その意味で JPMAAG は、まさに「当事者」が集まる場であり、問題を直接相談したり、仕様やサービスを提供している側に意見を直接ぶつけることもできる。メールにフォーカスしたイベントが減ってきている中でも 5 回目を迎える JPAAWG の General Meeting は、グローバルで使われている正しい技術を採用し、少しずつでもインターネットのセキュリティを前進させていくための情報やノウハウを得る、またとない機会になるはずだ。
●JPAAWG 5th General Meeting は、20 以上のセッションで構成される。
プログラム詳細はこちら。
●JPAAWG は、電気通信事業者やセキュリティ関連事業者、関連する団体など、活動主旨に賛同する新しいメンバーの参加を歓迎する。詳細はこちら。
