はじめに
JPAAWG 7th General Meetingで要望があった若手メールエンジニアを対象としたトレーニングイベントを2月27日に現地とオンライン(Zoom, YouTubeLive)で開催しました。
初級者向けから中級者以上向けまで幅広いセッションを用意し、技術者同士の交流や知識の共有を深める場となることを目的として設計しました。
イベント終了後に参加者同士の交流を深めるため懇親会も開催しました。
タイムテーブル
開催日: 2025年2月27日 (木)
開場: 14:00〜
開始: 14:30〜
終了: 18:30
セッションA (初級者向け部屋)
| 時間 | セッションタイトル | 講師 |
|---|---|---|
| 14:30-14:40 | イントロ | 株式会社TwoFive 末政さん |
| 14:40-15:10 | A-1:IT初心者向けメールセキュリティ | ソフトバンク株式会社 熊沢さん |
| 15:20-15:50 | A-2:メールの受信側の防御方法 | KDDI株式会社 中島さん |
| 16:00-16:30 | A-3:まだ間に合う?今日から始める送信ドメイン認証 | 株式会社NTTドコモ 正見さん |
| 16:45-17:30 | A-4:技術者が知るべき!メール送信のベストプラクティス | エンバーポイント株式会社 田澤さん |
| 17:45-18:30 | A-5:メールのやりとりを見てみよう | 株式会社オプテージ 森崎さん |
セッションB (中級者以上部屋)
| 時間 | セッションタイトル | 講師 |
|---|---|---|
| 14:30-14:45 | イントロ | 一般社団法人メッセージング研究所 櫻庭さん |
| 14:45-15:30 | B-1:MIMEと文字コードの闇 | Vade Japan株式会社 平野さん |
| 15:45-16:30 | B-2:メールの不正利用手法と脆弱性の解説 | 一般社団法人メッセージング研究所 櫻庭さん |
| 16:45-17:30 | B-3:フィッシングサイトのURL拾えるようにしナイト 第1部 | にゃん☆たくさん、KesagataMeさん |
| 17:45-18:30 | B-4:フィッシングサイトのURL拾えるようにしナイト 第2部 | にゃん☆たくさん、KesagataMeさん |
概要
動画アーカイブを元にNotebookLMで作成しました。
手っ取り早く内容を把握したいよ、という方向けです。
セッションA
電子メールのセキュリティと迷惑メール対策をテーマにした複数の専門家によるセッションの記録で構成されています。講演では、受信者がフィッシングやスパムへの対処法として、不審なメールへの返信やURLクリックを避けるといった具体的な注意点が共有されました。また、KDDIなどの通信事業者が直面するメール受信設備への攻撃(DHA攻撃やメールボムなど)の仕組みとその防御策が技術的な側面から詳細に説明されています。特に、巧妙化するなりすましを防ぐため、送信ドメイン認証(DMARC/DKIM/SPF)が必須の対策として全ての送信者に強く推奨されています。さらに、大量メール配信者がメールを正規のものとして認識させ、到達率を高めるために守るべきベストプラクティス(同意取得の徹底やIPウォームアップ)についても解説がなされました。最後に、メール送信の根幹であるSMTPなどのプロトコルの基礎を確認し、従来のメールシステムが抱える認証や暗号化のセキュリティ上の課題と、それに対応するための技術的進化が示されています。
音声解説
セッションB
冒頭ではイベントの運営注意事項、行動規範、およびMAAWGにおけるグローバルな動向が共有されています。あるセッションでは、MIMEと日本語文字コードの歴史的な「闇」 に焦点を当て、7ビット制限下でのエンコーディングの変遷、Shift JISなどの運用上の問題、そしてホモグラフ攻撃のリスクを伴う現代のUTF-8正規化の複雑さを詳細に解説しています。別のセッションでは、近年発表されたメールセキュリティに関する主要な論文を概説し、悪意のあるメール送信手法に焦点を当てています。分析された脅威には、Microsoft 365とProofpointの連携を悪用してSPFやDKIMの検証を通過するEcho Spoofing、および広範囲なIPレンジを持つSPFレコードを利用するBreak SPFの可能性が含まれます。さらに、第三者のIPアドレスを意図的にブラックリストに登録させるHades AttackといったDNSBLの悪用事例も紹介され、メールシステムの適切な設定とコンプライアンスの重要性を強調しています。この議論全体を通して、メールシステムのアーキテクチャやセキュリティプロトコルには、設計と運用に起因する多くの注意点が存在することが示されています。
音声解説
セッション詳細
A-1: IT初心者向けメールセキュリティ
時間: 14:40-15:10
講師: ソフトバンク株式会社 熊沢さん
IT初心者向けに電子メールの基本的な動作、メールセキュリティに関して解説します。
メールセキュリティと一言でいいますが、迷惑メール受信/送信対策、認証制御、暗号化(over SSL/STARTTLS)など多岐にわたります。今回は迷惑メール受信対策について説明します。
A-2: メールの受信側の防御方法
時間: 15:20-15:50
講師: KDDI株式会社 中島さん
メールの受信設備は外部からの様々な攻撃に常にさらされています。
このセッションでは、メール設備がどのような攻撃の脅威を受けているか、そしてどのような防御をしているか、簡単にご説明します。
A-3: まだ間に合う?今日から始める送信ドメイン認証
時間: 16:00-16:30
講師: 株式会社NTTドコモ 正見さん
昨今普及が急速に進んでいる送信ドメイン認証の概要、対応内容、そして導入必要性、メリットデメリットを紹介します。
A-4: 技術者が知るべき!メール送信のベストプラクティス
時間: 16:45-17:30
講師: エンバーポイント株式会社 田澤さん
M3AAWGが公開する大量メール送信者向けのベストプラクティスを基に、安定したメール送信を実現するための具体的な方法(IPレピュテーションの維持、国内ISPやキャリアの注意事項 等)を紹介します。
A-5: メールのやりとりを見てみよう
時間: 17:45-18:30
講師: 株式会社オプテージ 森崎さん
みなさんも日頃からOutlookなどのメールアプリで何気なくメールのやり取りをしているかと思います。本セッションでは、メール送受信の裏側を覗き見します。メールアプリとメールサーバ、またメールサーバ間でどのような通信が行われてメールを配送しているのか、その具体的なやりとりを実際にメールを送信して通信を覗き見しつつ解説します。 SMTP/POP/IMAPなどの基本的なプロトコル、暗号化、複数宛先送信時のやり取りなどをツールを使ってリアルタイムで見ていく予定です。
B-1: MIMEと文字コードの闇
時間: 14:45-15:30
講師: Vade Japan株式会社 平野さん
UTF-8, Shift-JIS, ISO-2022-JP, Base64...様々な文字コードや規格が入り乱れるメールの世界。そこには文字化けやドメイン詐称など、闇が潜みます。古の技術が紡ぐ複雑な文字コード問題を暴き出し、正規化の闇や巧妙なホモグラフ攻撃の実態を解説します。
B-2: メールの不正利用手法と脆弱性の解説
時間: 15:45-16:30
講師: 一般社団法人メッセージング研究所 櫻庭さん
メールシステムの利用形態が多様化しており,それと関連して送信ドメイン認証技術が正しく機能することが難しくなっている部分もあります.こうした現状を背景に,最近指摘されている課題の解説を行い,今後の対策などについて議論できればと思っています。
B-3, B-4: フィッシングサイトのURL拾えるようにしナイト
時間: 16:45-17:30,17:45-18:30
講師: にゃん☆たくさん、KesagataMeさん
フィッシングサイトが発生したときのURL探索方法・継続的監視について"初心者向け”にフィッシングハンターがレクチャーを行います。(日々対応しているプロフェッショナルの方向けではありません)
動画アーカイブ
残念ながら現在は公開していませんが、今後も継続して若手メールエンジニア向けのイベントを開催していければと思います。