(本記事は、当時の内容となっています。したがって、その内容は古いものであるということをご了承ください。)
KDDI株式会社
プラットホーム開発部 FMCプラットホーム開発部 開発4G
本間 輝彰
2006年01月
1. ケータイメールの発展と迷惑メールの出現
1.1 ケータイメールの発展
1.2 迷惑メールの出現
2. 電番アドレスの攻撃からなりすまし送信へ
2.1 電番アドレスへの攻撃
2.2 なりすまし送信の出現
3. 携帯発迷惑メールについて
3.1 携帯発迷惑メール
3.2 携帯発迷惑Cメール
4. 現状の迷惑メールの問題と今後期待すべき対策について
4.1 現状の迷惑メールの送信方法について
(a) 「渡り」送信
(b) 「IP循環」送信
(c) 「拠点移動」送信
4.2 今後期待すべき対策
(a) Outbound Port25 Blocking(OP25B)
(b) 送信ドメイン認証
(c) メルマガやコンテンツプロバイダのメール送信に関する協力
5. まとめ
1. ケータイメールの発展と迷惑メールの出現
1.1 ケータイメールの発展
日本の携帯電話市場は、端末販売の自由化、新規事業者の参入、価格の低下等の背景より1990年代後半から急激に加入者が増加し、2005年12月末現在、約9,018万(※社団法人電気通信事業者協会(TCA)調べ)の加入者となっています。
また、1999年から開始した携帯電話のインターネットサービスは、急激に加入者を増加させ、2005年12月末現在、約7,825万の加入者となっています(※社団法人電気通信事業者協会(TCA)調べ)。この数は、日本の人口にして約6割近くが携帯電話インターネットサービスに加入していることになります。
au(KDDI株式会社)では、1996年にCメールと呼ばれるショートメッセージサービスを開始し、1998年にはこのCメールの利便性向上のために「Eメールお知らせ機能」というインターネットから携帯宛にCメールを送れるサービスを開始しました。また、1999年にはEZwebサービスの開始に併せてEメールサービスを開始しています。
携帯インターネットやケータイメールの普及は、日本においてインターネットを非常に身近なものにしています。その結果、メールは電話と同等にごく一般的なコミュニケーション手段として定着し、携帯電話の所有者の約87%(※株式会社ビデオリサーチ「ケータイ 2005 Edition」より)が1週間に1回以上メールを利用しているという報告もあがっています。この数字から、携帯電話のインターネットサービスに加入しているほとんどの人がメールを使っていると言えるといっていいでしょう。
ケータイメールは、そのモビリティ性から音声と同様のリアルタイム性を維持することによって、いつでも、どこでも、だれとでも、すぐに連絡ができるコミュニケーション手段となり、より人々の生活に密着したコミュニケーションツールとして定着してきました。
1.2 迷惑メールの出現
このようにケータイメールが発展したことにより、日本人の大多数の人々がメールを使える環境を手にしたと言えます。この事は、また逆に負の面を生むことになりました。
迷惑メール送信者というのは、それまでも存在していましたが、市場性から社会問題になるほどのものではありませんでした。しかしながら、いつでもどこでもメールを受け取れるケータイメールが普及したことにより、迷惑メール送信者にとっても宣伝効果の高いターゲットを得ることができ、2001年頃から携帯宛の迷惑メールが急激に増加することになります。
また、インターネットの世界も、ISDNからxDSL、FTTHとアクセス回線の高速化と低価格化が進み、送信する手段としても効率のよい環境が普及したことも迷惑メールの増加に拍車をかけてしまったと言えると思われます。また、送信方法も、動的IPからISPのメールサーバを介さず直接送信してくる手法がその大半を占めるようになっています。動的IPからの送信は、迷惑メールに利用されてしまった送信側ISPで検知する事は困難であり、その対処をより困難にしております。
2. 電番アドレスの攻撃からなりすまし送信へ
2.1 電番アドレスへの攻撃
ケータイメールはショートメッセージの延長であったために、メールアドレスの初期アドレスとして電話番号を採用しているケースが多く見受けられました。電話番号によるメールアドレス(電番アドレス)は、ユニーク性を保つのに便利である反面、電話番号さえわかればだれでもその相手にメールを送ることができます。
迷惑メール送信者はこの点に着目し、アドレス収集の労力を必要とせず、電話番号をランダムに変化させてメールを送信することで大量かつ効率的な迷惑メール送信を行ってきました。携帯各社では、この対策として、ユーザに対するメールアドレス変更の推奨や、初期アドレスをランダムな英数字へ変更する事で対応しています。
auでは、初期アドレスに電番アドレスを採用していなかったため、Eメールにおいては電番アドレス攻撃を受けてもユーザに迷惑メールは届きませんが、前述で紹介した「Eメールお知らせ機能」はEメールから電話番号でCメール宛に送信することが可能であったことから格好のターゲットになりました。C メールはショートメッセージサービスという特性上、電話番号でのやりとりが必須のサービスであるため、メールサービスと同様にアドレス変更を行うという対策ができませんでした。したがって、やむなく2001年12月に「Eメールお知らせ機能」のサービスを廃止しています。
2.2 なりすまし送信の出現
電番アドレスによる迷惑メール送信が各社の対策で一段落すると、迷惑メール送信者は送信先メールアドレスを人名など存在しそうなアドレスや数字を組み合わせて大量なアドレスリストを作成して送信してくるという方法(いわゆる辞書攻撃のような方法)がとられるようになりました。このメールの対策として、メール指定拒否・指定受信のフィルタ機能を導入して対処を行いました。ただし、この方法で防ぐには限界があり、本送信方法はいまだ抜本的に解決されていない課題となっています。
迷惑メール送信者は、メールフィルタ機能により効率的にメールが送信できなくなってくると、より精度の高いアドレスリストの収集を試みるようになりました。また、メール送信時にはFromアドレスを携帯のドメインになりすまして送信をするという方法をとってメール受信者がフィルタ機能を利用しにくくなるような対応を行ってきました。事業者は、この対策としてなりすましフィルタを導入して、インターネットから携帯宛ドメインを使って送ってくるメールをフィルタリングする機能を提供し対抗しました。auでも、2002年7月になりすまし規制機能をリリースして対策を行っています。
3. 携帯発迷惑メールについて
3.1 携帯発迷惑メール
なりすましフィルタ等の各種迷惑メール対策の効果により、一時的に迷惑メールは沈静傾向にありましたが、2003年春頃からPCなどで携帯電話をコントロールして、携帯電話から直接迷惑メールを送る方法がとられるようになりました。実際に、このような装置はインターネット上で販売されていることも確認されています。携帯から直接メールを送ることで、なりすまし規制が無効化され、受信拒否機能についても、定期的にアドレスを変更するために効果はなく、一時的に相当数の迷惑メールがユーザに届くこととなりました。
この方法が存在することは気がついていましたが、メール送信の度にパケット通信費用が発生するこの方法は使うことはないだろうとのことで、特に対策を講じていなかったためにその盲点を突かれたことになります。逆に言えば、通信費用を発生してでも迷惑メールを送信してくるということは、このビジネスが成り立っていることが証明されたと言えると考えています。
携帯発迷惑メールの送信事業者としては、はじめにauを使って送るケースがその大半を占めました。理由は、auでは同報送信する際に640byte までの文字数を宛先として入力することが可能であったため、1回の送信で20~30のアドレスに対して送信することができたからだと言えます。携帯という非効率な環境でも、携帯電話1台で日々3万通以上送信することが可能であり、迷惑メール送信者は100台以上の携帯電話機を確保して迷惑メールを送信するということを行っていました。
auではこの対策として、運用対策と技術対策の両面で対応を行いました。運用対策としては携帯発の迷惑メールに対する申告窓口を設け、迷惑メール送信者に対し迅速な利用停止措置を行うことで、auから送信される迷惑メールの抑止に努めました。利用停止になると、迷惑メール送信者側は名義貸しという方法で携帯電話の確保を行ってきました。この対応策として、名義貸しすることの危険性について啓発活動を行いました。
また、技術対策として、サービスの低下につながる対策ではありましたが、同報送信を他携帯電話事業者と同等の5通までに制限する変更を2003年9月に行い、さらに、1日当たりに送信できる宛先数を1,000件までに制限する対策を2004年8月に実施しております。これらの対策によって、迷惑メールを大量に送ることができなくなり、au携帯発の迷惑メール数は激減し、現在ではほとんど見受けられない状況になっています。
3.2 携帯発迷惑Cメール
携帯発の迷惑メールで各種対策を実施すると、同じ手法でCメールに送ってくるようになりました。先にも述べた通り、Cメールは電話番号での送信になるため、アドレス収集が不要のうえ、より確実に送信することが可能でした。しかも、迷惑メール内のURLにアクセスするとワンクリックで入会されられてしまう仕組み(いわゆるワンクリック詐欺)を確立し、意図に反して入会させられてしまった人にCメールや電話で入会金を請求するという、より悪質な手段を講じてきました。
auでは、このような迷惑Cメールに対し、au携帯発迷惑Eメールと同様に、運用対応としてユーザ申告等を継起に利用停止措置を実施し、送信数を制限する技術対策として、同報配信サービスの停止(2003年6月)、月間宛先数制限機能の導入(2004年11月)を行いました。さらに、2005年3月には「安心ブロック機能」という、電話番号やURL情報の入ったCメールをデフォルトで規制(希望者は解除可能)するフィルタ機能を提供しました。これらの対策によって、迷惑Cメールはほぼ撲滅できました。
4. 現状の迷惑メールの問題と今後期待すべき対策について
4.1 現状の迷惑メールの送信方法について
前述の通り、携帯発の迷惑メールは、技術・運用両面の対策によってほぼ撲滅することができました。
その結果、迷惑メール送信業者は再びインターネットに戻ってくることとなりました。また、ここ数年でインターネットの高速化・低価格化が進み、FTTHのような高速ネットワークを安価に確保できることから、短時間で大量に送信することが容易になっています。 特に、これらの回線を用いて動的IPから、「渡り」、「IP循環」、「拠点移動」送信という手法を組み合わせてメールを送信してくるようになっております。
(a) 「渡り」送信
NTT東西のフレッツ網を利用している場合に、あるISPから迷惑メールを送信し続けるとユーザ申告等を元に利用停止になるケースが一般的ですが、そうなった場合に、即座に他のISPに契約を行って間を開けずに送信を継続することができます(これを「渡り」と呼びます。※総務省「迷惑メールへの対応の在り方に関する研究会 最終報告書」(平成17年7月)より)。この送信方法は、日本ではアクセス回線事業者とISP事業者が異なるという点と、オンラインサインアップの利便性を悪用した送信方法と言えます。
(b) 「IP循環」送信
アクセス回線の多くは、アクセスルータの電源を入れる度、またはルータ等をリセットすることで、異なるIPアドレスが動的に割り当てられます。迷惑メール送信業者は、この特性を利用して送信元IPアドレスを短時間で変更し、かつISPのメールサーバを介さず直接送信する方法で、送信元・受信元のISPから迷惑メール送信行為を検知されにくくしています。
(c) 「拠点移動」送信
「渡り」送信、「IP循環」送信の組合せで迷惑メールを送信し続けた場合でも、ある程度時間が経つと、ユーザ申告等を元にISP側で利用停止等になって送信元を失うこととなります。そうなると、迷惑メール送信業者は、送信拠点を別の県に移動して、また同様の送信を繰り返す手法を取っています。
また、2004年夏頃からボット(「ゾンビ」ともいう)による迷惑メールも確認されています。というのは、ケータイメールの特異性から、通常は海外から送信されてくるメールは非常に少ないと考えています。ところが、ある国から一日に送信されてくるメールがそれまでの数十倍以上(多い場合は約800 倍)の数が送信されてくることが確認されています(参考情報:総務省「迷惑メールへの対応の在り方に関する研究会(平成16年度開催)」第2回会合における構成員からの発表:KDDI株式会社)より)。
まだ、これらの手法を用いたメールは少ないですが、現在主流となっている送信方法がふさがれた時点で、この方法による迷惑メールが増加するのではないかと危惧しています。
4.2 今後期待すべき対策
今後の迷惑メール対策として必要なことは、送受ともに協力した対策が必要と考えております。
KDDIでは、2005年3月に発足したJEAG(Japan Email Anti-Abuse Group)を通じて各社との連携を高め、その対策の推進を図っております。そのなかで、期待している方法として、迷惑メール送信そのものをできなくなる仕組みである「Outbound Port25 Blocking(以下、OP25B)」と、送信元を認証する事で送信元を特定可能とする技術である「送信ドメイン認証」に期待をしております。
そして、会員宛にメールを送信するメルマガやコンテンツプロバイダも安定したメール流通環境の維持に対する積極的な協力が必要と考えております。
(a) Outbound Port25 Blocking(OP25B)
前述の通り、現在主流である動的IPから「渡り」、「IP循環」、「拠点移動」による迷惑メール送信方法は、送信側のみならず、受信側でもリアルタイムに特定することが困難になっております。そのために、これらを防ぐには、動的IPからISPのメールサーバを介さない直接送信を規制する仕組みが必要となり、その手法がOP25Bと言われております。
また、このOP25Bはボット発の迷惑メールも防ぐことが可能であり、その効果はさらにあるとも言われております。
そのOP25Bを、ぷららネットワークス社(以下、Plala)が2005年の1月に対Vodafone宛、2月にau宛、9月にはDoCoMo宛に対して実施しています。この対策をするまでは、Plalaからは相当数のメールが送信されてきていることを確認できておりましたが、その対策以後、Plala 発のau宛の迷惑メールは全く確認されておらず、その効果を物語っていると言えます。
auでは、この効果をさらに高めるために、JEAGを通じてOP25Bの導入促進を図ってきております。
その結果、携帯宛限定がほとんどですが、大手ISPがOP25Bを順次対策を実施してきたことから、インターネットからの迷惑メールの量が、一時の量からはかなり減少し、比較的安定した通数になってきております。今後も、OP25Bを採用するISPが増えてくることが想定され、近いうちに日本国内発の動的 IPからの迷惑メールは撲滅されるのではないかと期待しております。
(b) 送信ドメイン認証
OP25Bの導入が進むと、迷惑メール送信方法は、固定IP、国内ISPのメールサーバ経由、または海外ISPからの送信のいずれかに移ると推測しております。
このうち、ISPのメールサーバ経由は、ISP側で送信元を特定でき、JEAG OP25B サブWGでも推奨されている“Submission Port + SMTP AUTH”を用いた送信方法が普及してくることで、ほぼ抑止可能と判断しております。
それ以外の送信元に対する対策として、送信ドメイン認証について期待をしております。迷惑メールは、送信元を特定することが困難であり、結果として対策が遅れるということになりますが、もし、送信元をリアルタイムに特定可能となれば、今後の対策に生かせることができると考えており、その技術として送信ドメイン認証に期待をしております。
KDDIでは、2005年末までに、KDDIで管理するドメインのほとんどに対して、SPFレコードの記述を行っております。また、2006年度中には、auにおいて送信ドメイン認証を用いたメールフィルタサービスの導入を予定しております。
(c) メルマガやコンテンツプロバイダのメール送信に関する協力
会員宛にメールを配信するメルマガやコンテンツプロバイダ等も、それらのメールが迷惑メールと思われないよう、そして安定したメール送受信環境の維持のために、アドレス管理の徹底や大量なメール送信の抑制などに配慮していただくことが重要です。
KDDIでは、auのホームページに「EZwebにメール送信する際の注意事項」を掲載しておりますが、今後もメール送受信者双方の協力で、安定したメール送受信環境を維持して行きたいと考えております。
5. まとめ
ケータイメールは冒頭にも述べた通り、リアルタイムな送受信が必要であるため、迷惑メールを撲滅しインターネット上を流れるトラフィックの健全化を図り、よりスムーズなメール配送環境を確保することが重要と考えています。そのためにも、OP25Bや送信ドメイン認証という技術の導入を促進しております。また、次の技術としてレピュテーション(Reputation)などについても今後検討が必要と考えております。
これらの技術は、1社でできる技術ではなく、また、ISP/ASPだけで解決するものでもないと考えております。したがって、日本の社会全体で迷惑メール対策に取り組んで行く必要があると考えております。
また、日々変化する迷惑メール手口に対し、迷惑メール受信者が被害を受けないよう、ユーザへの継続的な周知活動も重要と考えています。