有限会社ジーワークス

佐藤 潔

なんで迷惑メールはなくならないの？

自己紹介

● 有限会社ジーワークス

長野県白馬村

● 某 ISP 様でサーバ管理やユーザサポート業務

● スパム対策手法 taRgrey/Rgrey/Starpit

こんなことを話します

● 「コンピュータ」なのになぜ？？

● スパムがどうやって出されているか

　→　なぜスパマーを捕まえられないの？

● どんな対策手法があるのか

　→　なぜ完全にはフィルタできないの？

スパムの数

● 海外だと 90% 以上という報告が多い

● 日本だと 70% ～ 80% 程度という実感

● 年々増えている

● 5 年前のアメリカで 70% ～ 80%

スパムは bot から出されるのが主流

● bot 化してリモートコントロールされた PC から出す

● bot が直接送信先メールサーバへ SMTP 接続してくる

● スパムの大半は海外の動的 IP から

● 日本発のスパムは OP25B により激減

普通のメール送信の流れ

botのメール送信の流れ

日本語スパムはスパム 1.0

● 中国、フィリピン、タイ等の半固定的 IP から

● レンタルサーバか、事務所にサーバを何台も置いて

qmail や postfix から

● Windows PC を多数置いて専用のスパム送信ソフトから

メールアドレスからは特定出来ない

● 送信者のアドレスは偽装可能

● それどころか送信先のアドレスも偽装可能

　→　 To: フィールドは表示に使われているだけ

● 送信元の IP アドレスでのみ特定出来る

　→　ユーザの特定はその IP の接続プロバイダに

　　　 調査してもらう必要がある

なぜスパマーを捕まえられないの？

● 国内の法整備は整ってきた

しかし…

● bot や海外経由のため特定が難しい

● 広告主から特定は？

　→　広告主がスパムを送信しているとは断定できない

　　　 実際海外では分業化でスパム送信者≠広告主

スパム対策手法は大きく3種に分類

● メールの内容で判断

● SMTPセッション情報で判断

● スパム送信時の制限

メールの内容で判断

● 主に本文の内容を解析して判定

● 主な例：ベイジアンフィルタ

● キーワードとその「スパムらしさ」をメールから自動学習

　→「バイアグラ」が含まれているメールなら99%スパム

　　　「出会い」「お金」が含まれているメールなら95%スパム

● 他に…　コラボレーションフィルタなど

語句 バイアグラ 出会い お金

語句が含まれていてスパムだった確率

99% 90% 50%

SMTP セッション情報で判断

● SMTP セッション時の相手の「クセ」で判定

● 主な例： greylisting

● 一時拒否して再送してきたら受け取る

　→　スパムは到達性は求めないからわざわざ再送しない

● 他に…　tarpitting (返答の遅延)など

greylistingによるスパムフィルタ

スパム送信時の制限

● スパムを受け取らないのではなく、出させない対策

● 主な例： OP25B (Outbound Port 25 Blocking)

● 自ネットワークから外へ SMTP 接続をさせない

● 他に…　 throttling (送信数制限 )など

OP25Bでのスパム送信制限

なぜ完全にはフィルタできないの？

● SMTP が性善説で出来ている

● 検出率を上げようとするほど誤検出率も上がる

一番の問題は…

● スパムは人間が出しているということ

　→　新たなスパム対策手法が考え出されても

　　　 必ずなんらかの対抗手段を出してくる

まとめ

● スパム見てお金を払う人がいるから無くならない

● 利用者はスパムに騙されないネットリテラシーをつける

● 開発者はスパムを想定したシステム設計をする