ネットの不正利用対策を議論する「JPAAWG」に現在のセキュリティ上の問題について聞いてみた

日本国内のインターネットのセキュリティ向上のため、不正を防ぐ技術の標準化と共有、普及と技術者の交流に努めている団体が「JPAAWG(ジェイピーアーグ:Japan Anti-Abuse Working Group)」です。
この団体には、日本の有力なインターネットサービスプロバイダー(ISP)や通信事業者、クラウド事業者、セキュリティ事業者などが多数参加しています。

JPAAWGは毎年「General Meeting」というユニークなイベントを実施。2022年は「JPAAWG 5th General Meeting」と題して、11月7日から8日の2日間にわたって出島メッセ長崎(長崎県長崎市)とオンラインのハイブリッドで開催されます。そこで今回はJPAAWG会長の櫻庭 秀次氏と事務局長の末政 延浩氏にそもそもJPAAWGがどのような団体かといったことから、第5回となる「General Meeting」の概要をお伺いしました。

【JPAAWG 5th General Meeting】

2022年11月7日(月)〜8日(火)
出島メッセ長崎とオンラインでのハイブリッド開催
お申込みはこちら

【JPAAWG5th 概要ページ】
詳細はこちら

プロフィール

櫻庭 秀次(さくらば しゅうじ)
JPAAWG(Japan Anti-Abuse Working Group)会長
株式会社インターネットイニシアティブ
コミュニケーションシステムに関する研究開発に従事。
特に快適なメッセージング環境実現のため、社外関連組織と協調した各種活動を行う。M3AAWGの設立時からのメンバー。
迷惑メール対策推進協議会座長代理、幹事会構成員、技術WG主査。
一般財団法人インターネット協会客員研究員、迷惑メール対策委員会 委員長

 

末政 延浩(すえまさ のぶひろ)
JPAAWG(Japan Anti-Abuse Working Group)事務局長
株式会社TwoFive代表取締役
大学で通信工学を学び、1980年代に某通信会社の研究所で開発に従事し、
UNIX 4.2BSD の sendmailを使い電子メールと出会う。
2000年よりSendmail日本法人で、技術責任者を務め、2008年に代表取締役に就任。その後、2014年に株式会社TwoFiveを創設。

 

「JPAAWG」とはインターネットの不正利用対策を議論するワーキンググループ

――はじめに、JPAAWGがどんな経緯で設立された団体か、どのような活動をされているのか教えてください。
櫻庭 秀次氏(以下、櫻庭) : 「JPAAWG(ジェイピーアーグ)」はインターネット上の様々な脅威を網羅してターゲットにした、インターネットの不正利用対策を議論するワーキンググループ*です。

JPAAWGの発端となったのは「MAAWG(マーグ)」というグローバル組織の存在です。
MAAWGは「Messaging Anti-Abuse Working Group」の略で、JPAAWGで行っている活動をグローバルで実施しているワーキンググループです。
2004年から活動していたMAAWGは、2012年からメッセージング以外にも対象を広げ、マルウェア(Malware)やモバイル(Mobile)を加えて「M3AAWG」となっています。

JPAAWGは、インターネットサービスプロバイダー(ISP)や通信事業者、クラウド事業者が加わって設立されたのは2019年ですが、その前年から毎年「General Meeting」を開催しています。M3AAWGは、JPAAWGをM3AAWGの日本リージョンとして位置づけており、こういった活動をバックアップしてくれています。

M3AAWGの後押しを受けながら、主に技術的な面にフォーカスしながら、インターネットセキュリティに関する日本固有の問題も取り上げ、グローバルの問題と一緒に議論し、様々な対策を検討しているワーキンググループがJPAAWGです。

末政 延浩氏(以下、末政) : 基本的にM3AAWGもJPAAWGもワーキンググループです。実際に通信事業者や、大規模なメールサービスを提供している企業・団体のオペレーターが集まって議論しながら、実際の問題に対応していくことが活動の根本にあります。

一方的な情報発信をするのではなく、実際に起きているフィッシング*といったインターネット上の問題に関する情報を共有し、脅威に対応しているワーキンググループです。

櫻庭 : M3AAWGにもJPAAWGにもネットワーク事業者とメール配信事業者を含めて様々な事業者が加わっていますが、メッセージの送信側、受信者側の双方の立場で議論できるのが特長です。スパムが大量に出るなど、様々な現象があると送信側はこれがなかなか分からないので、受信側から伝える仕組みをM3AAWGでは用意しています。JPAAWGは団体規模がそれに比べるとスモールなので、直接コミュニケーションを取っていますが、送り手と受け手が連携する活動をしています。

*ワーキンググループ:特定の問題の調査や計画の推進のため設けられた部会のこと
*フィッシング:実在する企業のWebサイトを偽装し、クレジット番号やパスワードなどを入力させる詐欺のこと

――インターネットの不正利用はグローバルに行われることが多いので、各地の団体が連携して対応することもあるのでしょうか?

櫻庭 : インターネットは元々グローバルなものです。そして、M3AAWGがメッセージング、主にメールにフォーカスしていた時代から日本向けのスパムやフィッシングは様々な国から送信されてきていました。そういう意味では常にグローバルで連携していたのは事実だと思います。
例えば、BOTが盛んになってきた2000年代以降、世界中からBOT経由でスパムが送られていることは、M3AAWG全体で共通認識としてあり、それぞれの地域と連携して対策しています。

当時、日本では「OP25B(Outbound Port 25 Blocking)*」をいち早く導入できたので、いわゆる動的IP*による直接スパム送信はほぼありませんでした。この成果をM3AAWGで発表しています。この対策はM3AAWGが提唱したものですが、日本がその効果を説明して全体にフィードバックした事例になります。

*OP25B(Outbound Port 25 Blocking):外部ネットワークへのメール送信の通信を遮断することにより、 スパムメールやウィルスメールの送信を抑制しようとする技術
*動的IP:接続のたびにIPアドレスが変化する割り当て方法

――すこし話が変わりますが、問題が発生している地域に行って直接対応するケースはありますか?

櫻庭 : 2000年代の中頃、スパムは海外からの報告がほとんどでした。そのころは発信している地域のISPに直接、交渉することもありました。総務省の依頼もあって、ブラジルに行き現地のISPをCERT.br*に集めてもらい、OP25Bの効果などを説明して導入を依頼したことがあります。中国や韓国にも行って話し合いをしたこともありました。このような形で、情報共有と我々が持っているデータとを合わせることで問題提起をして各地域で活動してきた歴史を持っています。

*CERT.br:Brazilian National Computer Emergency Response Team, maintained by NIC.brの略

「JPAAWG」が認識する現在のネットワークセキュリティ上の問題とは?

――今、JPAAWGが、ネットワークセキュリティ上の問題として特に重要だと認識しているものは何でしょうか?

櫻庭 : 今、深刻だと考えているのはフィッシングの問題です。とくに金融系ですね。オンラインサービスなどで、ブランド名やドメインが詐称されている現状があります。本物だと騙されてしまった人が個人情報やパスワードといった重要な個人情報を入力させられて被害が発生しており、なんとか解決しなければならないと思っています。フィッシングは非常に巧妙になってきており、ひところの対策方法は通用しません。現状、受け側が無防備な状況なので、いろいろな施策を考えていく必要があると思っています。

もちろん、技術的な対策もいくつかありますから、政府側との連携も含め、ちゃんと偽物が分かる技術や仕組みの普及を目標にして力を入れているところです。

――具体例にどのような対策をされているのでしょうか?

櫻庭 : フィッシングに対しては、2006年ぐらいから、送信者を認証する技術「SPF(Sender Policy Framework)*」からはじまり、「DMARC*」となって、技術としてはほぼ標準化しています。
しかし、日本ではDMARCの普及率がまだまだ低い状況です。私の感覚で言えば、フィッシングを受信者1人1人が見破るのは無理な話だと思います。手口が巧妙化していますので、メール事業者が怪しいものを排除するフェーズに入らざるを得ないと感じているところです。日本でもDMARCを普及させたいですね。

*SPF(Sender Policy Framework):電子メールの送信元ドメインが詐称されていないかを検査するための仕組みのこと
*DMARC:電子メールにおける送信ドメイン認証技術のこと

インターネットをもっとクリーンで安心安全で使いやすいインフラにしたい

――JPAAWGが目指している「世界観」を教えてください。

櫻庭 : 私たちは、インターネットをもっとクリーンで安心安全で使いやすいインフラにしたいという想いを持ち、長いこと活動してきました。通信インフラであるインターネットサービスを止めるわけにはいきません。ただし攻撃は防ぎ続ける必要がありますから、今後もずっと対策していくことが大切だと思っています。

以前と比べると迷惑メールの数は減少していますが、危険度や脅威は格段に上がってきました。さきほどのフィッシングもそうですし、ランサムウェア*、二重恐喝脅迫型ランサムウェア*など、悪質な手口がどんどん出てきており、DDoS攻撃*をはじめ、様々な攻撃も発生しています。

実際、M3AAWGでも情報共有があり、スパムハウス(Spamhaus)*など、ブラックリスト*を運営している地点が一時期、狙われてDDoS攻撃を受けたことがあります。攻撃や脅威に対して、1つの技術で対策できるわけではありませんので、いろいろな知見を集め、協力できる環境を各事業者が作っていかないと、予測できない事態に対応するのは難しいと考えています。

ですから、まず、ネットワークを作って日々、注意喚起も含めて情報共有をして、脅威がひどくならない状況を作っていくことが大事なのです。

*ランサムウェア:マルウェアの一種である
*二重恐喝脅迫型ランサムウェア:二段階の恐喝を行うことで従来のランサムウェアよりも多額の金銭を奪い取ることを目的としたランサムウェア
*DDoS攻撃:対象のウェブサイトやサーバーに対して複数のコンピューターから大量に行うこと
*スパムハウス(Spamhaus):スパムメールを撲滅するために活動している団体
*ブラックリスト:ここではスパムに関連するすべてのIPアドレスを記録したリストのこと

――そのために、今後はどのような活動をされていきますか?

JPAAWGのメンバー(左から株式会社インターネットイニシアティブ櫻庭秀次氏、ソフトバンク株式会社北崎恵凡氏、株式会社TwoFive末政延浩氏、株式会社クオリティア平野善隆氏)

櫻庭 : JPAAWGでは、毎年、General Meetingを開催していて、今年でようやく5回目を迎えます。今年はオンライン開催を継続しつつ、一部で対面での会合を復活させます。皆さんが直接会って話ができる場を作りたいと考えました。きちんと安心安全にGeneral Meetingを開催することを直近の目標にしています。

それ以降は、日本以外のアジアリージョンは今後の経済成長を含めて、他の地域に比べても経済規模だけでなく、規模が非常に大きくなっていくと予測していますので、M3AAWGと話し合いながら、アジア地域にアプローチして活動の輪を広げていきたいと考えています。

それもあって「APNIC(Asia-Pacific Network Information Centre)」のミーティングにも出席して、M3AAWGやJPAAWGの活動を紹介しました。直接、話をしないと伝わらない部分もあるので、コロナが落ち着いたら、アジア地域に向けた動きを活発化させたいですね。グローバル視点で見た時、アジアが出遅れている状況は避けたいと思っています。

また、先ほど話したフィッシングの問題は大きいので、これからきっちり対策していきたいです。政府なども最近、DMARCの普及などを考えてくださるようになってきましたので、協力していきます。

末政 : アメリカやヨーロッパのオペレーターの方々と話していると、日本の状況が分かっていないと思いますが、彼らにとってみれば分かる必要がないこともあります。日本は日本で経済圏があり、ネットワークのインフラが整っていて、様々なインターネットの標準規格に沿いながら拡大して運用してきましたが、それでも国ごとに違いがあるからです。例えば、通信の秘密やプライバシーに関する法律が異なっていたりします。

海外のオペレーターは自国内の価値観のモノサシで物事を図る人が多く、M3AAWGに出ると「なんで、日本はTLS*対応をしないのだ」とよく聞かれます。実際、日本にはメール通信暗号化のTLS対応がすすんでいない通信事業者が多いですが、通信の盗聴されることについての危機感が違うといった事情があります。また、日本ではメールは電話と同じ通信インフラですので、まずメールが届く事がなにより重要であるという考え方から、例えば、アメリカで行っているようなアグレッシブなフィルタリングなどがすぐ導入できないことが多いようです。

*TLS:インターネットなどのIPネットワークでデータを暗号化して送受信するプロトコルのこと

日本と他の国々や他の文化圏との違いはお互い大きいと思います。インターネットはグローバルに社会を繋げるネットワークですので、お互いの文化や社会の違いについて情報共有し、相互理解を深めていくのがM3AAWGとJPAAWGの連携のミッションです。グローバルで取り組んでいる新しい技術を日本にローカライズして情報共有し、世界と足並みを揃えて活動できるようにするだけでなく、日本の状況を世界と共有し連携を深めていきたいと思っています。

今後はフィッシング対策やメールのセキュリティ水準を高めるための送信ドメイン認証技術の普及であったり、「MTA-STS(SMTP MTA Strict Transport Security)*」というメールの通信路の暗号化技術を広めたりしたいですね。実際に、セキュリティ水準を高める技術をどうやって導入したらいいかというところから、しっかり情報共有して、多くの方々に取り組んでいただけるよう引き続き活動していきたいです。

*MTA-STS(SMTP MTA Strict Transport Security):暗号化されたSMTP接続で電子メールを安全に送信するためのセキュリティ規格のこと

ハイブリッド開催される「JPAAWG 5th General Meeting」について

――今年、11月7日~8日に「JPAAWG 5th General Meeting」が出島メッセ長崎とオンラインでハイブリッド開催されますが、どのようなイベントか概要を教えてください。

櫻庭 : 過去に4回、JPAAWGのGeneral Meetingを開催しました。第1回は1日開催でしたが、第2回以降は2日間で開催しています。M3AAWGは3日間かけて開催していますが、日本ではぎゅっと圧縮して、まる2日間、様々なセッションを設けて多くスピーカーにお話していただく形式にしています。

M3AAWGでも以前からやっていますが、General Meetingでは「オープンラウンドテーブル」という企画を3年程前から実施しています。モデレーターを置いて、セッションごとの特定のテーマに対して参加者が集まって議論、意見交換、情報交換を行うセッションです。
「オープンラウンドテーブル」は一方的にスピーカーが話して、最後にQ&Aに答えるといった一般的な形式ではなく、最初からディスカッション形式を取っているのが特徴です。様々な意見が出てきて、参加者が持つ多種多様な知識、抱えている問題点・課題感の差が共有されます。
意見を交換することで、参加者の認識の底上げになるのと同時に、そこから新たな視点で問題提起につながることが起こりうるセッションです。モデレーターが議論をとりまとめて、あとから発表します。このような場がとても大事です。

「オープンラウンドテーブル」は2日目の午前に開催を予定しています。
他のテーマが気になり、参加できなかったセッションの情報のフィードバックが得られ、皆に伝えることを目指しています。そこから新しい種が生まれて、次の課題を検討する好循環を目指しているからです。正直、問題は発生しない方が良いわけですが、そうも言っていられませんので、問題対策の好循環を生み出そうとしています。

また、General Meetingには、毎回、M3AAWGからゲストスピーカーとしてグローバルな識者を呼び、初日にお話をいただいています。今回は、直接来ていただくか、ビデオになるか調整中です。

2021年は「BIMI(ビミ Brand Indicators for Message Identification)*」という新しい技術に関連したセッションが多かったですね。今年も多いと思います。また、先日DMARCの導入を発表したドコモ、BIMIに取り組んでいるYahoo! Japanといった事業者が現在の取り組みについて発表する予定になっています。他にも警察庁や総務省にもお話をしていただく予定になっています。

幅広い分野の様々な役割を持った人たちから、多種多様なお話を聞き、議論・共有をして、広く伝える場として、今回もGeneral Meetingを企画し、準備を進めているところです。

*BIMI(Brand Indicators for Message Identification):正しいメールに企業ブランドやサービスにロゴアイコンを表示する仕組み

――かなり密度の高い2日間ですね。

櫻庭 : 今回、オンラインを併用したハイブリッド開催です。「出島メッセ長崎」という都心からは離れた場所をあえて選択しましたが、そこにたくさんの人々に集まっていただいて、JPAAWGをよく知らない方々、東京にはなかなか行けないという方に認識してもらい、集まっていただけたらばうれしいです。

――General Meetingには、誰でも参加できるのでしょうか?

櫻庭 : 事前にオンラインで登録していただければ誰でも参加できます。第1回目からずっと参加者無料のイベントです。発表者が許可していれば資料など後日参照できるようにしており、録画ビデオも一定期間、共有する方針で運営しています。

末政 : General Meetingは、前回、前々回は完全リモート開催でした。以前は東京で開催してオンサイトで人を集めていましたが、リモート開催の経験も豊富になったので、第5回はハイブリッド開催として、東京ではなく、場所を移すことにしました。

ネットワークに関して興味を持っている方は日本中にいらっしゃるので、東京でのイベントに参加できないような方々にオンサイトで実際にお会いして話ができる可能性を考え、長崎で開催する判断をしました。

――最後に読者にメッセージをお願いします。

櫻庭 : エンジニアをはじめ、インターネットを支えている人たちにとって、様々な対策や技術、知識を共有していくとことは非常に大事なことだと考えています。その意味で、Qiitaは非常に貢献されている媒体だと思います。そして、直接、話をする場もとても大事です。私自身、ずっとM3AAWGに参加してそう感じてきました。

直接、話をすると、短時間で多くの人々の様々な考えを聞いたり、いろいろな取り組みを知ることができます。内容によっては、文書を読むよりも効果があることだと思っています。ですから、JPAAWGの活動を広め、General Meetingをきちんと開催して、人々が集まる場を提供していきたいと思っています。

それもあり、General Meetingは、できるだけ多くの方が参加できるよう無料としています。スポンサーのおかげですが、継続していきたいと思いますので、ぜひ参加していただいて、一方的に聞くだけではなくて、先ほどのオープンラウンドテーブルなどに加わって一緒に議論をしてもらえたらと思います。率直な意見や疑問などを投げかけていただけたらうれしいです。

末政 : 私たちとしては、やはり実際にバリバリ現場で活躍している、好奇心旺盛で新しい技術をどんどん探していきたいと思っているエンジニアの方々に、今まで電子メールやネットワークのセキュリティをやってきたJPAAWGやGeneral Meetingに参加していただきたいです。そこから新たな交流が生まれて、ネットワークのセキュリティを考える人々の輪が広がっていってほしいと考えています。

編集後記

JPAAWG(ジェイピーアーグ)の活動が開始されて数年とのことですが、MAAWGがスタートした2004年当初から、日本からも参加し、活動されている方々がおられることを考えると、ずっと日本のインターネットセキュリティの屋台骨を支えてこられたのだと分かります。
事前に資料を拝見して、勝手に固そうなイメージを持っていたのですが、実際に取材させていただくと皆さんからとても朗らかで柔らかい印象を受けました。それは、様々な活動を通じて多くの人々に会い、多くの問題を解決されてきたから身につけられるエキスパートの空気感だったのかもしれません。
そんな空気感を含め、インターネットセキュリティの最前線に触れたいと考えている方は、参加無料とのことですので、ぜひ「JPAAWG General Meeting」に参加してみてください。

取材/文:神田 富士晴

【JPAAWG 5th General Meeting】

2022年11月7日(月)〜8日(火)
出島メッセ長崎とオンラインでのハイブリッド開催
お申込みはこちら

【JPAAWG5th 概要ページ】
詳細はこちら

  1. ソリューションやノウハウを再利用してDXを加速させる!日立のLumada Solution Hubがめざす世界観とは
  2. Qiita Organizationの利用が、なぜ自社のブランディングや人材採用に繋がるのか? 株式会社ゆめみに聞いた