2009年7月23日

サービス紹介

Inside Yahoo!メール 第1話「迷惑メールとBotnet」

  • このエントリーをはてなブックマークに追加

こんにちは、ソーシャルネット開発部の島貫和也です。Yahoo!メールの配送システムおよび迷惑メール対策を担当しています。

Yahoo!メールはプロバイダ(Yahoo! BB)のメールサービスでもありますが、フリーメールとしての側面もあるため、非常にさまざまな方に多様な形態で利用されています。このようなサービスでは、迷惑メールなどの不正利用を前提とした対策が必要不可欠といえます。

本連載では、今まであまり触れられてこなかったYahoo!メールの迷惑メール対策と、電子メールに関連する情報を数回に分けてご紹介したいと思います。

ご注意

  • 出典元の説明のため、いくつか外部リンクがあります。リンク先については保証しておりませんのでご了承ください。
  • この記事の性質上、迷惑メールの性質や送信手法について触れている箇所がありますが、電子メールやコンピュータの不正利用を助長する意図のものではありません。読み物としてお楽しみください。

電子メールの9割が迷惑メール!?

Yahoo!メールが迷惑メール対策に力を入れなければならない理由としては、電子メールの普及によりメールそのものの流量が増大していること、そしてその中に紛れ込む迷惑メールの検出が困難になっていることが挙げられます。

Yahoo!メールが取り扱うメールの量は、ここ数年で数倍になっていますが、それに伴い迷惑メールも増加の一途を辿っています。MessageLabs (Symantec)の調査によると、電子メールのうち約9割が迷惑メールであるというレポートも出ているほどです。さらに、迷惑メールのうち83.2%が Botnet から送信されたものであるとも報告されています(Botnet については後述)。

そもそもなぜ迷惑メールがなくならないのでしょうか。


迷惑メール送信は「儲かるビジネス」

昨年、迷惑メールの収益性に関する非常に興味深い論文がカリフォルニア大学サンディエゴ校の研究チームより発表されました。(Spamalytics: An Empirical Analysis of Spam Marketing Conversion)[PDF]

この研究では、偽の迷惑メールを実際に送信し、そこに記した架空の商品(機能強化薬品)がどれだけ売れるかを実験しています。(ユーザーが商品を購入しても課金されることはなかったそうですが、実際にメールを大量に送信していることは問題があったかもしれません)

この調査の結果、今までよく分からなかった迷惑メールのコンバージョンが明らかになりました。メールをおよそ3億4千万通送信した結果、実に28人ものユーザーが実際に商品を購入したのです。

商品の価格は100ドル程度に設定されていたため、この実験での売り上げに相当する金額はそれほど大きくなかったでしょう。しかし、安価で大量に迷惑メールを送信する手段さえ確保すれば、いくらでも利益を上げられるということになります。利益が得られれば、迷惑メール送信者は迷惑メールをさらに送信するための投資として使うことも可能でしょう。

メールを受信する側(Yahoo!メールなど)では、日々増加する迷惑メールを処理するために追加の設備増強が必要になり、本来の利益を圧迫します。そうすると、迷惑メール対策に費用を回すことは難しくなります。迷惑メールが安価に送信できて利益につながる限り、この悪循環を断ち切ることはできないでしょう。


迷惑メールは Botnet から送信されている

前述の MessageLabs の調査では迷惑メールのうち「8割近くが Botnet から発信されている」とされていました。
迷惑メール送信に利用される Botnet とは何でしょうか? 簡単に解説をしたいと思います。

Botnet とは、コンピュータ(PC)を外部から操作できるようにされてしまったマシン(Bot, Zombie とも呼ばれる)で構成されるネットワークのことです。システムの脆弱性などを突いてローカルPCに侵入、感染する点ではコンピュータウイルスにも似ていますが、Botnet は他のコンピュータへの攻撃活動を複数の Bot が組織的に行う点が異なります。数年前から問題になっていますが、コンピュータウイルスほど認知度が高くありません。

Botnet には以下のような機能が複数備わっているとされています:

  • DDoS 攻撃機能
    特定のウェブサイトを攻撃しサービスを使用不能にする
  • Spam・Spim送信機能
    迷惑メール(Spam)や迷惑メッセージ(Spim)を送信し、有害サイトへ誘導する
  • 情報収集機能
    キーボードの入力を盗聴しパスワードやクレジットカード番号を盗む
  • 広告参照機能
    特定の広告へアクセスし、多量のPVが発生したかに見せかけ不正な利益を得る
  • 感染機能
    パケットキャプチャなどで脆弱性のありそうなサーバー、PCを探索し、感染を試みる
  • Proxy機能
    HTTPパケットを中継することで、フィッシングサイトがあるサーバーを隠す
  • アップデータ
    自分自身をアップデートする。
  • 自己防衛機能
    ポリモーフィック(自身を変化させたり暗号化する)

Botnet は Herder と呼ばれる管理者がおり、Botnet の感染拡大、維持管理、攻撃指示を行い、不正に利益を得ているとされています。この点でも従来の有害プログラムとは一線を画しています。


Botnet は迷惑メール送信に最適なプラットフォーム

Botnet から迷惑メールを発信することによって、実際の送信者が隠れてしまいます。このため、メール送信者の追跡が困難になるので、迷惑メールを低リスクで送信できることになります。

また、迷惑メールフィルタをかいくぐる手法としても Botnet は有効だと考えられます。代表的な迷惑メールフィルタのひとつに、発信元のIPアドレスを利用したフィルタがあります。例えば特定のIPアドレスから大量に迷惑メールを送るより、送信元のIPアドレスを分散させてメールを送信することができれば、迷惑メール検知を困難にさせることができる可能性もあります。Botnet から迷惑メールを送信すれば複数のPCから送信されることになりますから、実際には送信元IPアドレスが広い範囲で分散され、フィルターにかかりにくくなることもあり得るのではないでしょうか。

しかも Botnet は他人のネットワークを間借りしているため、通常のサーバーのような維持管理費用がほとんど掛かりません。安価に迷惑メールを発信できるという点でも Botnet は有効と考えられます。

Botnet 自体が迷惑メール送信に最適なプラットフォームになってしまっているともいえるのです。

このように、迷惑メールと Botnet の問題は非常に深刻です。しかし、有効な対策がまったくないわけではありません。
次は日本の通信事業者が行った、ある施策について紹介します。


迷惑メール発信を水際で防ぐ「OP25B」とは?

迷惑メール発信の抜け穴と考えられていたもののひとつに「ISPの動的IPアドレスからの直接送信」がありますが、OP25B はISPがインターネットへ出て行く通信の接続制限を行うことで、迷惑メール発信を水際で防ぐ施策です。

通常、メールを送信する際は、ISPから与えられた「投稿サーバー」(SMTPサーバー:ポート25)をPCのメーラーに設定して利用することが一般的です。この方法では、メールはISPのサーバーを通って目的のメールサーバーへ送信されるため、送信時にユーザー認証をしたり送信数制限をしたりという送信迷惑メール対策が可能になります。ISPは異常な利用を行ったユーザーについて警告をしたり、解約することもできるでしょう。

一方、自宅のADSL回線などから宛先側のメールサーバー(ポート25)に直接SMTP接続し、メールを送信する方法もあります。これを「動的IPからの直接送信」と呼ばせていただきます。たとえば、メール宛先が alice@example.com だとすると、example.com のMXレコードを引き、そのMTAサーバーである mta.example.com に自宅から直接接続してメールを送信する行為に当たります。この場合、メールの送信はメールサーバー間の配送と同義となり、送信に認証は不要となります。

このように、動的IPからの直接送信を利用すれば、いくらでもメールが送信できることになります。Botnet もこの抜け穴を利用してメールを大量送信していると考えられます。この問題を解決するために、OP25Bが考案されました。

OP25B とは Outbound Port 25 Blocking の略で、ISPが用意した投稿サーバー以外では外部へのポート25に対するTCP接続をブロックするという施策です。この通信を遮断すれば、動的IPからの直接送信を抑制できます。ISP自体の設定はルーターの設定変更で可能なため、迷惑メール対策としては対応費用が比較的安価で済むというのも利点です。

副作用としては、自宅からISP以外の投稿サーバーを利用した場合も、メールの送信が出来なくなってしまうという問題があります。つまり、契約しているISPが OP25B を開始したことによって、自宅からYahoo!メールの投稿SMTPサーバーにも接続できなくなります。ただ、多くのメールサービスでは、OP25B の開始にあわせて「Submissionポート」と呼ばれる ポート587 を開放したSMTP認証必須の投稿SMTPサーバーを用意しています。これにより、メーラの設定を変更すれば、メールが送信できない問題を回避できます。

上記の通り OP25B はユーザーのメーラ設定の変更を強いることになる可能性があり、リテラシーが低いユーザーに混乱を生じさせかねません。そのため、ISP各社は慎重に対応作業を進め、その結果2007年には日本の主なISPはほぼ対応を完了しています。

OP25B の普及により、日本のISP発の通信については、メールサーバー間の配送とメール投稿の明確に分けることができるようになりました。この施策により、Botnet 発信の迷惑メールもブロックできることが期待できます。

事実、総務省が発表した資料[PDF] や海外のセキュリティベンダーが発表している資料でも、日本発の迷惑メールは減少していることが明らかになっています。


迷惑メール発信は海外へ

OP25Bの実施に伴い、国内からの迷惑メール発信は少なくなったといわれていますが、迷惑メール発信源である Botnet は世界中に広がっています。

Yahoo!メールには、利用者の方が迷惑メールを報告できる機能(迷惑メール報告機能)が備わっています。この機能を利用して、お客さまから報告された迷惑メールを発信国別に集計してみました。その結果が以下のグラフです。

これは 2009年7月上旬に迷惑メールとして報告されたメールの発信国ですが、そのほとんどが海外のサーバーから発信されたものとなっています。迷惑メール報告数をベースにしているため実際のメール通数とは多少傾向が異なりますが、迷惑メールは主に海外から発信されていると言っても過言ではない状況です。

OP25B で国内からの迷惑メール発信が減っても、依然として海外から大量の迷惑メールが送られ続ける現状があるのです。


まとめ

依然として Botnet から大量に配信される迷惑メールですが、受信側で行うことのできる対策にはどのようなものがあるのでしょうか?
次回は、Yahoo!メールで実施している Botnet の分析と対策について、その取り組みについて紹介させていただこうと思います。
どうぞご期待ください。

(2009/9/7追記)
>>第2話へ

Yahoo! JAPANでは情報技術を駆使して人々や社会の課題を一緒に解決していける方を募集しています。詳しくは採用情報をご覧ください。

  • このエントリーをはてなブックマークに追加