はじめに
今年(2025年)もJPAAWG 8th General Meeting (2025年11月4日〜5日の2日間)が無事に終わりました。
昨年(2024年)の振り返り記事はこちら。
今年(2025年)のトピック
オンライン詐欺や不正行為に対する攻撃と防御の両面でAI技術が活用されていることでしょう。
業界全体としてDMARCの導入が浸透し、メール利用者の視認性を高めるBIMIの導入事例も多く共有されました。
DMARCとBIMIの普及率調査はこちら。
プログラムのメモ
Day1のセッション内容で気になったことのメモです。
Day1
Opening
第25回迷惑メール対策カンファレンスとJPAAWG General Meetingの開会挨拶で、主にJPAAWG(Japan Anti-Spam Anti-Abuse Working Group)の活動報告と会議の運営に関する情報提供を行いました。若手メールエンジニア向けのトレーニングの開催や、M3AAWG (The Messaging, Malware and Mobile Anti-Abuse Working Group)およびベトナムのNCA(National Cyber Security Association)とのMOU(覚書)締結といった国際的な協力活動について説明しました。また、会議参加者に対し、会場の案内、Wi-Fi情報、交流会(懇親会)の実施、そして行動規範(特に議論の健全性や写真撮影の原則禁止)など、会議を円滑に進めるための具体的な注意点を伝えました。最後に、スポンサーへの謝辞が述べられ、次のセッション(基調講演)への案内で締めくくられました。
若手メールエンジニア向けのトレーニングの記事はこちら。
Track A
A1-2-Keynote
M3AAWG Keynote #1
M3AAWG ボードディレクターからの最新情報
当初はTanya Plazaさんの単独セッションの予定でしたが、前半(Tanya Plazaさん)と後半(Steven Jones)に分かれての講演となりました。
Tanya Plaza
M3AAWG / Mailchimp
Steven Jones
LinkedIn
アジェンダ
オンライン上の不正行為のない世界を目指し、進化する脅威に対抗するためのM3AAWGの最新の取り組みについてお話ししますので、ぜひご参加ください。この基調講演では、デジタル空間を守り、業界連携を促進し、効果的な変革を実現するための革新的な戦略と実用的なソリューションをご紹介します。モバイル空間で発生する不正行為への対策を直接目的とした取り組みについてもご紹介します。これらの取り組みのゴールは、信頼の確保、不正行為の防止、そしてモバイルメッセージングエコシステム全体の一貫性の促進です。
また、後半ではオンライン詐欺や不正行為に対する攻撃と防御の両面でAI技術がどのように活用されているかについても概説し、M3AAWG 65の最新情報もお伝えします。
発表メモ
Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)が主催するイベントでの講演記録を抜粋。前半の講演ではオンラインでの不正行為防止を目的としたM3AAWGのモバイル戦略について概説し、特にモバイル通信、デバイス、アプリにおける脅威への対策と、業界内でのベストプラクティス開発と知識共有の重要性を強調。後半の講演では、AIが悪用されるサイバー犯罪の現状に焦点を当て、特に日本、シンガポール、韓国、オーストラリアの事例を紹介しながら、AIを対抗策として活用する防御戦略の必要性を論じています。両講演は、組織的な連携と技術的な対策を通じて、進化するオンラインおよびモバイルの脅威環境に対処するM3AAWGの取り組みを解説しました。
A1-3-Lunch
2025年版グローバル脅威の動向
現地のみのランチセッションでした。(アーカイブを残していません)
今野 俊一氏
フォーティーネット合同会社
アジェンダ
サイバー攻撃は規模と巧妙さの両面で劇的にエスカレートしており、これは単なる脅威の増加ではなく、攻撃戦術の劇的な拡大を意味しています。脅威アクターは、AI、自動化、および商品化されたツールやサービスを組織的に活用することで、防御側が持っていた従来の優位性を体系的に侵食し、攻撃のスピード、正確性、リーチを前例のないレベルで加速させています。こうした現状を、最新の2025年度グローバル脅威レポートに実際のインシデント事例を加えて解説していきます。
A1-4
IETF標準と電子メールセキュリティ
Steven Jones
LinkedIn
アジェンダ
IETF DMARCワーキンググループは作業完了に近づいており、DKIMワーキンググループは、DKIM replay attack などの新たな脅威に対処するための新しいプロトコルの開発に向けて再始動しました。本セッションでは、これらのプロトコルと関連する電子メール標準の最近の動向について解説します。
発表メモ
IETFのDMARCおよびDKIM 2という2つの重要なメール認証標準に関する最新情報が提供されました。 まず、DMARCプロトコルの改訂が進行中であり、仕様、集計レポート、障害レポートの3つの文書で構成されていることを説明しました。障害レポート文書が未承認であるため、標準化プロセスに課題が生じており、その解決が必要であると述べています。次に、議論はDKIM 2プロジェクトに移り、これは進化するDKIMリプレイ攻撃に対抗するための新しいプロトコルとして導入されます。これらの攻撃は、攻撃者が正当なインフラを利用して署名付きメッセージを悪用し、評判の低下や詐欺を引き起こすものです。DKIM 2の主な目的には、リプレイ攻撃の排除、バウンスメッセージによるバックスキャターの防止、およびメッセージ変更を検証可能にする変更代数の実装が含まれます。このプロトコルは、各ホップで検証可能な署名と暗号アルゴリズムの柔軟性を特徴とし、従来のDKIMとは独立して共存するように設計されています。
A1-5
M3AAWG Keynote #2(日本語同時通訳付き)
Gmail 送信者ガイドライン – 2025年アップデート
Emil Gustafsson
Google
Julien Duplant
Google
アジェンダ
Gmailが新しい送信者ガイドラインを発表してから2年が経ちました。この基調講演では、Gmailチームが、これらの要件が現代のメール配信にとってなぜ重要なのかを振り返り、導入後のプログラムの進捗状況に関するデータを紹介します。また、DKIM2やBIMIといった標準規格が、送信者に標準規格の遵守を超えたさらなるメリットをもたらす方法についても解説します。
発表メモ
Google Gmailチームの担当者らが、日本のメール送信者向けガイドラインの更新と関連トピックについて議論したセッションの記録です。彼らは、2023年のガイドライン更新の大きな影響に触れつつ、Gmailセキュリティチームの目標がユーザーに安全でスパムのない受信トレイを提供することであると強調しています。ディスカッションでは、認証(SPF、DKIM、DMARC)や簡単な配信停止の重要性が主な焦点であり、特に日本の送信者における特定の分野でのコンプライアンス状況(公共部門の遵守率の高さと教育・中小企業での低さ)が言及されました。さらに、BIMI(ブランドロゴ表示)やTLS 1.3の使用、そして将来的なDKIM 2への移行といった今後のガイドラインに組み込まれる可能性のある技術的な強化についても話されています。質疑応答では、DMARCの段階的な施行や、ARFレポート(迷惑メール報告)の共有ポリシーの変更の可能性、そしてPostmaster Toolsへのエスカレーションフォームの移行といった、送信者からの具体的な懸念事項や改善提案について回答されました。
A1-6
メールサービスの運用・開発こぼれ話。権威の盲信には気をつけよう。
今村 侑輔氏
株式会社インターネットイニシアティブ
山下 隼平氏
株式会社インターネットイニシアティブ
清水 泰雅氏
株式会社インターネットイニシアティブ
アジェンダ
メールサービスの運用者が語る、スパマーとの戦いで効果のあった対策手法の紹介と、開発者が語る送信ドメイン認証技術の実装で経験したRFCの解釈における注意点の紹介、また某有名企業との間に起きたARC実装に関する戦いの記録をお話します。
発表メモ
主にメールサービスの運用・開発における課題と対策について概説しています。セッション前半では、迷惑メール対策として逆引きレコードのないMTAからのメール拒否の有効性や、フィッシングメール被害増加への対応としてDMARC(送信ドメイン認証)とBIMIの普及の重要性が論じられています。後半では、送信ドメイン認証技術であるARC(Authenticated Received Chain)の実装における具体的な技術的な苦労や、RFCの解釈違いによる不具合の事例が詳細に語られており、特に他社サービスとの相互運用性に関する問題解決のプロセスが紹介されています。全体を通して、進化するインターネットの脅威に対し、技術的な標準規格への正確な準拠と継続的な改善が必要であることが強調されています。
A1-7
(前半)
DNSを通じた不正防止:Quad9の観測から見る日本での活動概要
(後半)
Check quotas like Google
John Todd
Quad9
Emil Gustafsson
Google
アジェンダ
(前半)
Quad9は、世界250以上の都市でDNSリカーシブリゾルバを運用しており、悪意のあるサイトへのアクセスを防ぐ保護機能を組み込んでいます。CTOのジョン・トッド氏は、DNSを犯罪対策のツールとして活用するQuad9の脅威防止モデルについて簡単に紹介し、最近の日本での活動に関する具体的な統計データや事例を紹介します。
(後半)
Google が世界規模で割り当てチェックをどのように実施しているかを簡単に概説し、これが送信者が送信を調整する方法にどのような影響を与えるかを簡単に説明します。
発表メモ
前半はDNSセキュリティサービスを提供する非営利団体Quad9に関するもので、後半はGoogleのGmailにおける大規模なクォータシステムの設計と運用に関するものでした。Quad9のプレゼンテーションでは、同社のサービスがユーザーのセキュリティ、プライバシー、整合性をどのように保護しているか、特に日本における悪意のあるドメインのブロック統計に焦点を当てて説明されています。Googleのプレゼンテーションでは、メールの送信量を管理するためのトークンベースのクォータシステムの技術的な詳細が紹介されており、送信者がシステムのスロットリングを回避するためのベストプラクティスが解説されています。全体として、インターネットセキュリティと大規模なシステム運用のメカニズムに関する洞察を提供しています。
A1-8
TwoFive から提供する幕の内弁当セッション
加瀬 正樹氏
株式会社TwoFive
佐々木 智彦氏
株式会社TwoFive
社領 康樹氏
株式会社TwoFive
高崎 俊太郎氏
株式会社TwoFive
林 正人氏
デジサート・ジャパン合同会社
アジェンダ
ご飯とさまざまな仕分けされた副菜が入った伝統的な日本のお弁当を「幕の内弁当」と言います。今も昔もいろいろなおかずを食べたいという需要は少なくありません。このセッションでは、TwoFive のエンジニアがいくつかのトピックについて5〜10分程度にまとめてお話しします(LT)。我々の知見や皆さんの取り組みのきっかけになればと思っております。
発表メモ
最初のセクションでは、BIMI(Brand Indicators for Message Identification)に関連するAVPタグやSタグの挙動について、GmailとFastmailでの検証結果が報告されており、それらのタグが期待通りに機能していない可能性が高いことが示唆されています。続く発表では、デジサートジャパンからBIMIの採用状況が世界と日本でどのように拡大しているか、特に金融機関での導入増加やVMC/CMC証明書の動向について統計データが提示されています。また、電子証明書の期間短縮とそれに伴うDNS管理の重要性についても言及されています。さらに、Toho 5の別の発表では、フィッシングメールのメールヘッダーを約4万通調査した結果、送信元IPアドレスの国別分布、使用されるドメインの種類、そしてDMARC認証の傾向などが分析されています。最後の発表では、オープンソースのスパムフィルターRspamdが紹介され、その高機能性、パフォーマンス、Web管理画面の利便性などが解説されました。
Track B
B1-2-Keynote
A1-2-Keynoteの日本語同時通訳です。
M3AAWG Keynote #1(日本語同時通訳)
M3AAWG ボードディレクターからの最新情報
Tanya Plaza
M3AAWG / Mailchimp
Steven Jones
LinkedIn
B1-4
Lightning Talks
まさんき氏
個人(メール・DNSサポート)
藤田 紀行氏
株式会社WOW WORLD
Dean Coclin氏
DigiCert, Inc.
廣川 優氏
GMOペパボ株式会社
児珠 大輔氏
サイバーソリューションズ株式会社
高橋 淳一氏
ユミルリンク株式会社
アジェンダ
好評をいただいているライトニングトークを今年も開催します。新しい視点からの意見・考察など、どんな発言が飛び出しますでしょうか。今回も一般参加者の参加もあります。現地のみのセッションですが、ぜひ会場に足を運んでください!
発表メモ
メールの認証、セキュリティ、および配信に関するさまざまな課題と取り組みについて、複数のライトニングトークが行われました。最初の発表者は、メール相談の事例から見えたユーザーの意識と技術の変化、特にSPF、DKIM、DMARCといったメール認証設定の重要性の高まりを概説しました。続いて、BIMI(Brand Indicators for Message Identification)の表示対応状況が、特定のクライアント(特にiOS標準メール)とGmailの組み合わせでうまくいかないという調査結果が共有され、業界全体の課題として議論されました。さらに、デジサートが、サーバー証明書の有効期間が段階的に短縮されるという業界の大きな変更点と、それに伴う証明書管理の自動化の必要性を強調しました。後半では、GMOペパボがアビューズ報告の処理を自動化し、DMARCの普及やFromヘッダーの変更によって生じた問題への対策を紹介し、サイバーソリューションズは、自社サービスを騙る迷惑メールによる事業者の苦悩と、認証済みアドレスのみを名乗れるようにする対策について説明しました。最後に、ユミルリンクが、キャリアメールブロックの事象を経験し、メールフィルターがセキュリティ上の脅威拡大を食い止める「正義」の役割を果たすという視点を発表しました。
B1-5
A1-5の日本語同時通訳です。
M3AAWG Keynote #2(日本語同時通訳)
Gmail 送信者ガイドライン – 2025年アップデート
Emil Gustafsson
Google
Julien Duplant
Google
B1-6
私たちの失敗から学ぶ、なりすましメール対策の挑戦記
桑原 隆造氏
ビッグローブ株式会社
加藤理人氏
ビッグローブ株式会社
山本 航氏
ニフティ株式会社
アジェンダ
本セッションでは、DMARCによるなりすましメール対策と、それに伴うBIMI(Brand Indicators for Message Identification)導入の道のりで直面した予期せぬ困難についてお話しします。
DMARCポリシー強化やBIMI対応を進める事業者の方々にとって、参考になりましたら幸甚でございます。
発表メモ
なりすましメール対策としてBIMI(Brand Indicators for Message Identification)およびDMARC(Domain-based Message Authentication, Reporting, and Conformance)を導入した際の課題と教訓を共有しました。BIGLOBEでは、600を超えるサブドメインのDMARCポリシー強化の困難さ、商標登録やVMC(Verified Mark Certificate)申請における予期せぬ制約、およびDMARCレポート解析の手間が主要な論点となりました。一方、NIFTYは親ドメインのポリシー変更を避けるために既存の別ドメインを利用した対応、SPFレコードの整理、そして迷惑メールフィルター強化の告知が顧客に誤解を与えたという反省点が語られました。両社とも、BIMI/DMARCの導入は技術的な側面だけでなく、社内調整や顧客コミュニケーションが重要であり、継続的な監視が必要であるという教訓で締めくくられました。
Track C
C1-4
送信ドメイン認証運用お困りごと相談会
伊藤 隼人氏
株式会社TwoFive
今村 侑輔氏
株式会社インターネットイニシアティブ
アジェンダ
DMARC ポリシーの厳格化が叫ばれている昨今、メールを受信する/送信するどちらの立場からも送信ドメイン認証にまつわる “これってどうすればいいの?” といったRFC に明記のないお困りごとが多々あると思います
本セッションでは、いくつかの例を上げながら参加されているみなさんでどう対処すればいいか、ベストプラクティスを考える/意見を述べ合う場を設けたいと思います
日々のシステム運用の参考にするでも、ご自身の意見を述べていただくでも、参加の仕方は自由ですのでぜひ足をお運びください
発表メモ
送信ドメイン認証、特にSPF、DKIM、DMARC、およびARCの技術と、それに関連する運用上の課題について議論されました。まず、なりすましメールを防ぐためのこれらの認証プロトコルの基本的な仕組みを解説し、特にメール転送や改変によって認証が失敗するという一般的な問題点を挙げます。さらに、DKIM署名の複数存在やDMARC検証の多重実施といった具体的な課題、およびSPFのIP範囲が広すぎる問題やARC署名の信頼性に関する議論が参加者から提起され、解決策や今後の方向性について意見交換が行われていました。最終的に、参加者のDMARCポリシー設定状況が確認され、今後の議論の継続が提案されました。
C1-6
サブドメインテイクオーバー事例紹介と対策について
髙田 美紀 氏
日本DNSオペレーターズグループ / NTTドコモビジネス株式会社
アジェンダ
使い終わったドメイン名を安易に手放すことによるリスクは認知されるようになってきていますが、実は「手放していないドメイン名も悪用されるリスクがある」ことはご存知ですか?
その一例が「サブドメインテイクオーバー」と呼ばれる行為です。
2024年末には、中央省庁などで過去に使われていたWebサイトでのサブドメインテイクオーバーが発見されたという報道が相次ぎ、デジタル庁がドメイン管理ガイドラインを改定する事態に発展しました。
本講演では、サブドメインテイクオーバーが発生する仕組みを攻撃者の視点に立って解説し、組織としてどのような対策ができるか考えます。
ドメイン名の管理者、インシデントハンドリング担当者のみなさんの参考になれば幸いです。
発表メモ
サブドメインテイクオーバーのリスクとその対策に焦点を当てた講演でした。使われなくなったドメイン名のDNSレコード、特にCネームやNSレコードが放置されること(ダングリングレコード)を悪用し、第三者が不正なコンテンツをホストできる仕組みが詳細に解説されました。また、外部サービス利用時の注意点や、GitHub Pagesなどの具体的なサービスにおけるテイクオーバー事例を紹介し、現状回復の徹底や社内での啓発活動が重要であると強調されました。
C1-7
マニアックセッション〜次世代のメールプロトコルの斜め読み
平野 善隆氏
Hornetsecurity株式会社
アジェンダ
そろそろ固まりそうなDMARC2からDKIM2や宇宙でのメール通信など、RFCになりそうなものからならなさそうなものまで、メールに関するドラフトを斜め読みして紹介しようと思います。
発表メモ
次世代のメールプロトコルに関する詳細な技術解説と最新のドラフト状況を紹介するセッションでした。特に、DMARCの新しい仕様(DMARC BIS)に焦点を当て、曖昧さの解消や新たなタグ(NP, PSD, T)の導入による機能強化が説明されています。また、DKIMの次世代バージョン(DKIM 2)についても触れられており、リプレイ攻撃対策や新しいヘッダーフィールド、署名方法の変更点が詳述されています。さらに、SMTPのTLS SRVレコード利用やクライアントIDの導入、そして宇宙空間でのメール利用といった多岐にわたるメール関連のRFCおよびドラフトの概要が簡潔に紹介されました。
C1-8
PQC移行:いまできること・できないこと
須賀 祐治氏
株式会社インターネットイニシアティブ ネットワークサービス事業本部/セキュリティ本部/セキュリティ情報統括室
アジェンダ
金融を含む多くの組織でPQC(Post-Quantum Cryptography;耐量子計算機暗号)への移行が課題になっています.本セッションは,社内ネットワークや各種システム設計を担うエンジニアを聴講対象者として想定し,NISTやIETFでの標準化動向と主要ガイドラインのいくつかを俯瞰します.そのうえで,いま着手できることと,まだ待つべきこと,そして到底できそうにないことを整理し,初動の優先順位の判断材料を提供します.
参考:耐量子計算機暗号の動向2020
https://www.iij.ad.jp/dev/report/iir/049/02.html
発表メモ
ポスト量子暗号 (PQC)への移行と、それに伴う課題や日本の取り組みに焦点を当てた講演内容でした。量子コンピューターの登場による暗号技術への脅威を説明し、PQCへの移行が避けられないことを説明しています。特に、移行の動機付けやスケジュール管理の重要性が強調され、金融庁やNISCといった国家レベルでの検討状況や、暗号の安全性を評価するCRYPTRECの役割についても詳しく解説されています。また、暗号インベントリの作成やトップダウンでの取り組みといった、移行を成功させるための具体的なアクションプランが提示されました。
Track D
(すみません、予備的な会場だったためアーカイブを残していません)
D1-7
国連サイバー犯罪防止条約(ハノイ条約)の概要
ケニー・グエン氏
株式会社TwoFive
VU NGOC SON
National Cybersecurity Association
アジェンダ
ベトナムからセキュリティ関連の監督官庁からゲストを招聘し、10月に制定された国連サイバー犯罪防止条約(ハノイ条約)について概要を解説します。
メッセージングセキュリティのいま
Track A(一部のオンラインセッション、スポンサーセッション、ランチセッション)を除き、現地のみのセッション(Track B, C, D)が最大4セッションで同時に進行しました。
どれを聴講するか、かなり迷った時間帯もあったと思います。
また、会場が建屋内で縦に離れていたこともあり、エレベーターでの移動が少し不便だったかもしれません。
(Track A: 2F, Track B: 11F, Track C / D: 9F)
ランチやセッション間の休憩時間で登壇者と直接会話したり、ひさびさに会った人と情報交換や雑談する時間も貴重で、楽しんでいただけていたら幸いです。
次回はDay2の記事を書きます!