2010/6/26に長野で開催された、第４回NSEG勉強会の10分LTで発表した資料です。 Ustreamで動画配信したのでアーカイブを見ることができます。 Ust: http://www.ustream.tv/recorded/7916421 内容は、迷惑メールがどうやって出されていて、どんな対策手法があるかという、迷惑メールについての概要です。

1. なんで迷惑メールはなくならないの？
有限会社ジーワークス
佐藤 潔

2. 自己紹介
● 有限会社ジーワークス
長野県白馬村
● 某 ISP 様でサーバ管理やユーザサポート業務
● スパム対策手法 taRgrey/Rgrey/Starpit

3. こんなことを話します
● 「コンピュータ」なのになぜ？？
● スパムがどうやって出されているか
→ なぜスパマーを捕まえられないの？
● どんな対策手法があるのか
→ なぜ完全にはフィルタできないの？

4. スパムの数
● 海外だと 90% 以上という報告が多い
● 日本だと 70% ～ 80% 程度という実感
● 年々増えている
● 5 年前のアメリカで 70% ～ 80%

5. スパムは bot から出されるのが主流
● bot 化してリモートコントロールされた PC から出す
● bot が直接送信先メールサーバへ SMTP 接続してくる
● スパムの大半は海外の動的 IP から
● 日本発のスパムは OP25B により激減

6. 普通のメール送信の流れ

7. bot のメール送信の流れ

8. 日本語スパムはスパム 1.0
● 中国、フィリピン、タイ等の半固定的 IP から
● レンタルサーバか、事務所にサーバを何台も置いて
qmail や postfix から
● Windows PC を多数置いて専用のスパム送信ソフトから

9. メールアドレスからは特定出来ない
● 送信者のアドレスは偽装可能
● それどころか送信先のアドレスも偽装可能
→ To: フィールドは表示に使われているだけ
● 送信元の IP アドレスでのみ特定出来る
→ ユーザの特定はその IP の接続プロバイダに
調査してもらう必要がある

10. なぜスパマーを捕まえられないの？
● 国内の法整備は整ってきた
しかし…
● bot や海外経由のため特定が難しい
● 広告主から特定は？
→ 広告主がスパムを送信しているとは断定できない
実際海外では分業化でスパム送信者≠広告主

11. スパム対策手法は大きく3種に分類
● メールの内容で判断
● SMTPセッション情報で判断
● スパム送信時の制限

12. メールの内容で判断
● 主に本文の内容を解析して判定
● 主な例：ベイジアンフィルタ
● キーワードとその「スパムらしさ」をメールから自動学習
語句 バイアグラ 出会い お金
語句が含まれていて 99% 90% 50%
スパムだった確率
→「バイアグラ」が含まれているメールなら99%スパム
「出会い」「お金」が含まれているメールなら95%スパム
● 他に… コラボレーションフィルタなど

13. SMTP セッション情報で判断
● SMTP セッション時の相手の「クセ」で判定
● 主な例： greylisting
● 一時拒否して再送してきたら受け取る
→ スパムは到達性は求めないからわざわざ再送しない
● 他に… tarpitting (返答の遅延)など

14. greylisting によるスパムフィルタ

15. スパム送信時の制限
● スパムを受け取らないのではなく、出させない対策
● 主な例： OP25B (Outbound Port 25 Blocking)
● 自ネットワークから外へ SMTP 接続をさせない
● 他に… throttling ( 送信数制限 ) など

16. OP25B でのスパム送信制限

17. なぜ完全にはフィルタできないの？
● SMTP が性善説で出来ている
● 検出率を上げようとするほど誤検出率も上がる
一番の問題は…
● スパムは人間が出しているということ
→ 新たなスパム対策手法が考え出されても
必ずなんらかの対抗手段を出してくる

18. まとめ
● スパム見てお金を払う人がいるから無くならない
● 利用者はスパムに騙されないネットリテラシーをつける
● 開発者はスパムを想定したシステム設計をする