ダウンロード [PDF:712KB]

解 決 の カ ギ は 、 i i j . n e w s と I I J ネ ット ワ ー ク ソ リ ュ ー シ ョ ン 。
CLOSE UP
フィッシングからファーミングへ ∼なりすまし Web サイトとインターネット ID 盗用の巧妙化∼
(MX Logic 社 CTO Scott Chasin)
SOLUTIONS
ユーザ導入事例 財団法人 日本道路交通情報センター
特別連載
spam からメールを守れ(ユーザ編)+(管理者編)
SHORT ESSAY
タテ カン
iij.news
mayjune
2005
70
S H O RT E S S AY
トヨタ自動車にIIJネットライトニングサービスを提供
CONTENTS
タテ カン
SHORT ESSAY・・・・・・・・・・・・・・・・・・・・ p2
都心にいても、新緑が芽吹いて、樹木がなにげない花を咲かせて、光に揺れている。新春
タテカン
トヨタ自動車に
IIJネットライトニングサービスを提供
■IIJネットライトニングの特徴
ネットライトニングサービスの提供を開始いたしました。
1.海外からのWeb アクセスを飛躍的に高速化
や夏休みは、なんとなく落ち着かないが、5月の連休は、爽やかな風に身を任せているだ
け で、心 身ともに や すらぐの は 、不 思 議 なもの だ 。若 い 頃 は 、旅 行 の 計 画 をた て たり、
TOPICS ・・・・・・・・・・・・・・・・・・・・・・・・・ p3
IIJは、トヨタ自動車株式会社(以下、トヨタ)にWebアクセスを高速化するIIJ
かえって疲れたものだが、散歩、読書、昼寝で充分という年齢になると、改めて、この季節に
海外から日本国内のサーバにアクセスする場合、長距離区間で発生するネッ
I I J ネットライトニング は 、米 国 N e t l i 社 の ア プリケ ーション デリバリネット
ワ ーク( A D N )に よって、S C M( S u p p l y C h a i n M a n a g e m e n t )や C R M
(Customer Relationship Management)といったWebアプリケーション
長い休暇があることに感謝したくなる。
システムへの海外からのアクセスを飛躍的に高速化するサービスです。海外
トワークの遅延は避けられず、Webページを表示するのに10秒以上かかっ
てしまうことも珍しくありません。IIJネットライトニングは、このアクセス時間
を飛躍的に高速化し、"アクセスが遅い"という問題を解決します。
2.動的Web アプリケーションに対応
から日本国内のサーバへアクセスする場合にも、距離によるネットワークの遅
アプリケーションデリバリネットワーク(ADN)では、クライアントと実際の
延に影響されることなく、日本国内と同等の応答時間を実現できます。
サーバ間で透過的に動作するため、従来のキャッシュサービスでは適用でき
法人向け光接続サービスで
BBIQセレクト、アクセスコミュファに対応
早朝、静まり返った都心を歩く。ホテルのラウンジでコーヒーを飲み、飽きたら、また歩く。
ルート、ノバテックと共同でSEIL Engineを
組み込んだ超小型ルータを開発
場所に居ることに気付き、久し振りに寄ってみる。すっかり清潔になった大学構内は閑散と
トヨタのタイ現地法人であるTMT(TOYOTA Motor Thailand Co., Ltd.)は、
して、殆ど人気がない。昔は開放されていた庭園も会館も固くガードされていて、入れない。
タイ国内向けWebサイト「e-TOYOTACLUB」を2004年3月に開設しました。本
上記1、2 の特徴により、データセンターを世界各国に分散配置する必要が
サイトのWebサーバは日本国内に設置されており、クライアント(タイ)∼サー
なく、運用管理にかかるコストを大幅に削減できます。また、既存Webシス
バ(日本)の国際間ネットワークのレスポンス改善のため、IIJネットライトニン
テムやエンドユーザのクライアントに変更を加える必要がないため、お客様
グサービスを導入いただきました。今回のサービス導入により、タイから本サ
側でのシステム改修等の導入コストは発生しません。
歩いているうちに、なんとなく、行き先を決める。足の向くまま歩いているうちに、母校に近い
MFEED、
「時刻情報提供サービスfor Public 」
の提供を開始
学部によっては、門そのものを閉じている。守衛さんに、実に久し振りに来たのだから、
バックボーンを増強
なんとか入れて欲しいと言うと、名前と住所を記載させられて、門を開けてくれる。卒業
して30年以上も経つのだから、変わっているのは当たり前なのだが、樹木が大きくなったこと、
FOCUS ・
・・・・・・・・・・・・・・・・・・・・・・・・・・p5
薄汚かった学生食堂に変わって、たくさんのカフェテリアができて、なんとなくカリフォルニア
マネージドルータサービスのご紹介
の大学を思い出させるようなつくりになっている。
ない動的Webアプリケーションにも対応できます。
イトへのアクセスは、最大15倍の高速化を実現しています。
3.コストの大幅削減が可能
お問い合わせ先 : IIJインフォメーションセンター
URL:h t t p : / / w w w . i i j . a d . j p /
TEL :0 3 - 5 2 0 5 - 4 4 6 6
E-mail:i n f o @ i i j . a d . j p
CLOSE UP・
・・・・・・・・・・・・・・・・・・・・・・・・p6
フィッシ ン グ からファーミン グ へ
なりすましWebサイトとインターネットID盗用の巧妙化
「所定の場所以外構内禁煙」の張り紙に従い、中庭におかれたベンチで煙草を吸い、小一時
■ I I J ネットライトニング 利 用 後
■ I I J ネットライトニング 利 用 前
間ほど茫然と過ごす。帰りがけ、守衛さんにお礼を言って、立ち話をする。
「昔と違って、警
I nt er n e t
備が難しくなったのですよ。以前は、チェックすべき人とそうではない人の区別が外見で
ht t p/ ht tp s
Netli DNS
高 速 転 送目的 に 特 化した 独自開 発 I Pプロトコル
I nt e r n e t
http
https
TC P/ I P
SOLUTIONS・
・・・・・・・・・・・・・・・・・・・・・・・p8
わかったのですが、いまは、まったくわからなくなったから」と言う。ヘルメットをかぶり角棒
エンドユーザ
タイ国 内
距 離によるネットワークの遅 延が発 生
( Ne tl iを使わない場合 )
をかざして、無数の立て看板(タテカン)
をぬって、構内を闊歩していた暗い時代が終わった
e-TOYOTACLUB
日本国内に設置された
Webサーバ
TCP
エンドユーザ IP
タイ国 内
N e tli P r ot oc o l
バーチャル
データセンター
(VDC)
IP
アプリケーション
アクセスポイント
(AAP)
N et liアプリケーションデリバリネットワーク
日本道路交通情報センター
∼容易な導入・運用、通信コストの削減、
高セキュリティの要件を満たしたIIJ SMF∼
のは、70年代の初めである。その頃は、休みでも大学に行けば、誰かがいて、駄弁っては時
http
https
TCP
IP
e-TOYOTACLUB
日本国内に設置された
Webサーバ
タイ国内のエンドユーザから、日本国内で運用するポータルサイトへのリクエストがあると、Netli側のDNSはタイ国内のバーチャルデータ
センター( V D C )へリダイレクトし、そこでh t t p / h t t p sはN e t l iが独自開 発した転 送プロトコルに変 換されます。そこから日本 国 内のアプリ
間をつぶしたものだが、今や、住環境がいいのか、休日まで大学に来る学生はいない。そう
ケーションアクセスポイント( AAP )まで超高速に転送され、通 常のhttp/httpsに再変換されます。
いえば、素っ気無いライブハウスの舞台で、酒瓶片手に歌っては、途中で眠ってしまった
特別連載・・・・・・・・・・・・・・・・・・・・・・・・p10
フォークシンガーの高田渡さんの訃報が出ていた。
『秋は、秋からは浮浪者のままでは眠れ
spamからメールを守れ(ユーザ編)
第4回:ISPのspamフィルタ設定
spamからメールを守れ(管理者編)
第3回:メールアドレスの詐称を防止する「ドメイン認証」
ないーーー』今でも、たまに歌う人がいるようだ。
法人向け光接続サービスでBBIQセレクト、アクセスコミュファに対応
政府の土地・住宅政策に関する委員会のひとつに、長いことかかわっているのだが、先日、
その委員会で眠りこけてしまった。目覚めて、
「どうも、私が眠ってしまったのは、議論がつま
IIJは、2005年4月1日より、九州通信ネットワーク株式会社が提供する光ブロー
となります。また、本サービスはIIJ国内バックボーンのSLA(*)
(サービス品質保
ドバンドインターネット「BBIQセレクト」と中部電力株式会社が提供する光ブ
証制度)の対象であるほか、IPv6へも対応するなど、ブロードバンド・ネット
らないからではないか」とぬけぬけと言って、顰蹙を買ってしまった。都心から1時間以内の
ロードバンドインターネット「アクセスコミュファ」に対応した法人向けインター
iij.newsおよびIIJのコーポレートイメージに関する
アンケート、ご協力のお願い
ニュータウンでも、住人の高齢化、果ては、空室対策に追われる時代に、住宅難に対する
ネット接続サービス「IIJ FiberAccess/Qサービス」と「IIJ FiberAccess/Cサー
Networld+Interop Tokyo 2005出展のお知らせ
づくり共同トイレの4畳半か6畳一間の下宿生活が当たり前の時代は、休みにも、学校に行く
INFORMATION・・・・・・・・・・・・・・・・・・・
・p15
SLA遅延時間の実績
GLOBAL NETWORK・・・・・・・・・・・・・・・・p16
IIJバックボーンマップ
住宅供給が最も大きな課題であった政策の役割は終わったのだろう。学生だって、モルタル
ワークをご利用のお客様の様々なニーズにお応えします。
(*)IIJ 国内バックボーン全体の往復遅延時間の月間平均が30 ミリ秒であることを保証
ビス」を開始いたしました。
なお、
「I I J F i b e r A c c e s s / Q サービス」と「IIJ FiberAccess/Cサービス」は、
従来、IIJは法人向け光ブロードバンドインターネット接続サービスとして、NTT
アクセス回線の手配から開通後の保守窓口までを一括して提供する「IIJ回線
他なかった。みんなが貧しい時代を共有していた日本は、今度は、誰もが少しだけ豊かに
東日本、NTT西日本が提供するBフレッツに対応した「IIJ FiberAccess/Fサー
マネージメント/Qサービス」と「IIJ回線マネージメント/Cサービス」もそれぞ
なったようだ。4月の反日デモのさなか、中国の方が訪ねてきて、
「日本は世界一の社会主義
ビス」を提 供しておりましたが、今 回 、ラインアップを強 化 いたしました。
「IIJ
れ同時にご契約いただきます。回線業者との契約締結および工事手配・調
国だから」という。ほんとうに格差がないかというと、そうでもない気はするのだが、時代の
FiberAccess/Qサービス」
と「IIJ FiberAccess/Cサービス」は、
「BBIQセレクト」
整などをIIJにて代行し、IIJ回線障害受付センターにて24時間365日お客様
と「アクセスコミュファ」による光ファイバー回線の高速性(最大100Mbps)
を
からのお問い合わせを受け付けます。また、通信回線の障害やメンテナンス
特徴とするベストエフォート型のインターネット接続サービスです。本サービス
情報もIIJがお客様に通知いたします。
変化の有り様が、どこに行っても、みんな似ていることだけは間違いないようだ。
開始により九州および中部地方において、お客様が利用できる光ファイバー
株式会社インターネットイニシアティブ
代表取締役社長
2
鈴木 幸一
回線の選択肢が増えるとともに、Bフレッツに対応した「IIJ FiberAccess/Fサー
IIJインフォメーションセンター
ビス」と組み合わせることで、ネットワーク構成の冗長化を実現することが可能
URL:h t t p : / / w w w . i i j . a d . j p /
TEL :0 3 - 5 2 0 5 - 4 4 6 6 (土日祝日除く9:30∼17:30)
E-mail:i n f o @ i i j . a d . j p
3
マネージドルータサービスのご紹介
ルート、ノバテックと共同でSEIL Engineを組み込んだ超小型ルータを開発
IIJは、ルート株式会社(以下、ルート)およびノバテック株式会社(以下、ノバ
同製品は、PHS/3G携帯等と接続可能な無線LAN(IEEE802.11a/b/g)を搭載
テック)
と共同で、
「超小型マルチ・プラットホーム・モバイル・ルータ」を開発、
した超小型モバイルルータで、モバイルIPによりアクセス網が変わってもシー
IIJでは2005年5月1日より、インターネット接続
ワーク構成や高可用性などのニーズに対応す
そのモバイルルータソフトウェアの中核部分として「SEIL Engine(ザイル・エ
ムレスなモバイル通信を実現します。ノバテックによるインテルネットワークプ
サービス、IIJデータセンター接続サービスで提
るオプションサービスを用意。レイヤ2スイッチ
ロセッサを搭載した小型ハードウェアと、IIJによるNetBSDベースの組み込み
供しておりますルータレンタルサービス、IIJデー
の提供や、万一の機器故障に備えたコールドス
ルーティング技術、ルートの無線モバイルIP技術を融合することで開発が実現
タセンターマネージドルータサービスを、
「マネー
タンバイ機器の提供、複数のインターネット接
しました。
ジドルータサービス」として統合いたしました。
続を利用したマルチホーム構成による冗長化
IIJの高機能ルータSEIL/neuシリーズにも対応す
などが可能です。
ンジン)」を組み込み提供いたしました。
「SEIL Engine」はIIJが開発・販売している新世代型高機能ルータ「SEILシリー
ズ」に搭載しているソフトウェアで、組み込みソフトウェアとしてライセンス供
与を行うことで、SEILシリーズで実現されている豊富で多彩な機能を様々な
■超小型マルチ・プラットホーム・モバイル・ルータについて
るなど、より柔軟性の高いアウトソーシング型の
ハードウェアに搭載することが可能です。今回IIJは、共同開発したルータに、
PHS/3G携帯網と無線LAN(IEEE802.11a/b/g)を用いたシームレスなモバイ
ルータサービスとしてリニューアルしております。
「SEIL Engine」としてNetBSD基本部とIIJが独自の拡張を行ったモジュール群
をあわせて提供しています。
ル通信を実現します。超小型で、3way(バッテリー/DC/AC)電源対応し、接続
機器を選びません。
・寸法(幅×奥行×高さ)
: 超小型 80×150×30mm
・インタフェース: Ether×2、USB2.0×2、IEEE802.11a/b/g、PCMCIA×2
◎ホットスタンバイ
(品目DCで標準提供)
◎マルチホーム構成による冗長化(オプション)
複数のインターネット接続を用いたマルチホー
ム構成による冗長化ネットワーク構築を行いま
◎高い信頼性と可用性
す。ネットワーク機器に加えて接続NOC、回線
万一の障害に備えて、24時間365日のネット
事業者を複数に分けることにより、極めて高い
今号のFOCUSでは、この新しい「マネージド
ワーク監視を行います。障害発生時には、IIJ
可用性のネットワーク環境を提供します。
ルータサービス」の詳細をご紹介いたします。
の専門エンジニアが原因の特定、修復、機器
交換作業を迅速に行うことにより、お客様のビ
・電源: 3Way(バッテリー/DC-12V/AC-100V)
マネージドルータサービスは、SEIL/neuまたは
・サポートプロトコル:
◎コールドスタンバイ
(オプション)
IP filter、IPsec、VLAN、Bridge、IPv4/IPv6、PPP/PPPoE、NAT/NAPT、
Cisco社製ルータの機器提供および保守、運用管
RIP/RIPng、DHCP、SNMP、NTP、Syslog、MIP(MBA protocol)、
理までをIIJが一括で行うアウトソーシング型の
NEMO(Network Mobility)
ルータサービスです。 IIJならではの高いネット
ジネスへの影響を最小限に抑えます。
サービス概要
ワーク運用技術とノウハウで、単なるルータ管
ご利用料金
お客様のネットワーク環境にあわせた機器構成
およびお見積りを作成いたします。見積りをご
※発売開始は2005年夏頃を予定しています。
理だけではなく、高可用性や柔軟性を要求される
※詳しい仕様およびご購入についてはルートにお問い合わせください。
ネットワーク管理などのニーズにもお応えします。
(ルート株式会社 事業推進部、TEL:03-5840-7601)
ルータ機器の提供に加え、設定変更やソフトウェ
・LL … インターネット接続サービスに対応
アのアップデート、万一の障害発生時の保守対
・DC … IIJデータセンター接続サービスに対応
希望の場合は弊社営業担当、もしくはIIJインフォ
◎品目
メーションセンターにお問い合わせください。
応などをIIJが行うことで、お客様にかかる運用
管理コストを大幅に削減します。
・SEIL/neuシリーズ
MFEED、
「時刻情報提供サービスfor Public 」の提供を開始
・Cisco(Catalyst)
シリーズ
特徴とメリット
インターネットマルチフィード株式会社(MFEED)は、2005年3月31日より、独
■サービス概要
立行政法人情報通信研究機構(NICT)の提供する「ネットワークによる時刻情
時刻合わせのプロトコルとして広く利用されているNTP (*2)を用いて、高精度な
( *1)
報提供サービス(NTPサービス)
」を利用した本格サービス『インターネットマ
時刻情報をインターネット上で提供するサービスです。
ルチフィード「時刻情報提供サービスfor Public」』の提供を開始いたしました。
本サービスを利用することによって、インターネットに接続されたパソコンや
(*1)
N I C T の日 本 標 準 時 に 直 接 接 続した N T P サーバと 利 用 者 の サーバを、ネットワークで 直 接
情報機器等の時計(時間)を日本標準時に合わせることができます。なお、本
接続して時刻情報を提供するサービス
サービス開始に伴い、IPv6でのアクセスも可能となりました。
( *2)
詳細・お問い合わせ先
インターネットなどのネットワークにつながれたコンピュータ等の時刻を同期させるため
の手順(プロトコル)
らGigabit Ethernet(1Gbps)
まで、お客様の用
◎高性能ルータを提供
SEIL/neuシリーズルータ(SEIL DOCK2)
途に応じて幅広く対応します。
IIJがこれまで培ったネットワーク・ノウハウを元
に開発したSEIL/neuシリーズ、および世界
◎初期設定および設定変更作業の代行
No.1のシェアと実績を誇るCisco社製ルータを
ルータの初期設定および運用開始後の設定変
提供します。
更はIIJがすべて代行します。
また同時に、設定内容の安全性の確認も行い
◎専門エンジニアによるリモートマネジメント
URL :h t t p : / / w w w . j s t . m f e e d . a d . j p /
TEL :0 3- 3 2 8 2- 1 0 1 0
IIJの専門エンジニアがお客様側に設置された
E‐mail :i n f o @ m f e e d . c o . j p
ます。IIJエンジニアによるオンサイト設置作業
(オプション)
も可能です。
Cisco社製ルータ
ネットワーク機器の運用管理を行うことで、お
バックボーンを増強
客様にかかる運用管理の手間を大幅に削減し
◎24時間365日の自動監視およびオンサイト保守
ます。設定変更、セキュリティパッチの適用や
ネットワーク機器の稼働状況を24時間365日自
バージョンアップなどの作業はすべてIIJで行
動監視します。万一障害を検知した場合は、お
います。
客様へ通知を行うとともに、IIJエンジニアが
迅速に原因切り分け、復旧作業を行います。
右記の通り、バックボーンを増強いたしました。
4
・レイヤ2スイッチ機器の提供(オプション)
ネットワークインタフェースもBRI(64kbps)か
インターネットマルチフィード株式会社 広報担当
※最新のバックボーン情報はhttp://www.iij.ad.jp/network/をご覧ください。
◎ルータ機器の提供
新設
IIJ L .A. − Eq u in ix Gig E Exch a n g e 1 Gb p s
増速
IIJ L .A. − IIJ Ash b u rn
4月1 3日
STM-4×2 (1.2Gbps)
◎柔軟性のあるオプションサービス
お客様のネットワークや利用状況にあわせて、
◎ソフトウェアの更新、セキュリティ
(脆弱性)対応
機器の構成や設定などをIIJの専門エンジニア
ネットワーク機器へのセキュリティ対策など、バージョ
が設計・構築します。また、お客様のネット
ンアップが必要な場合はIIJが作業を行います。
C 2005 Cisco Systems, Inc. All right reserved.
○
Cisco, Cisco SystemsおよびCiscoロゴは米国およびその
ほかの国におけるCisco Systems, Inc.の商標または登録
商標です。
お問い合わせ先 :
IIJインフォメーションセンター
URL:http://www.iij.ad.jp/
TEL :03-5205-4466(土日祝日除く9:30∼17:30)
E-mail:info@iij.ad.jp
5
CLOSE UP
フィッシングからファーミングへ
なりすましWebサイトとインターネットID盗用の巧妙化
Scott Chasin
Chief Technology Officer
MX Logic, Inc.
フィッシング攻撃が巧妙化するにつれて、エン
DNSキャッシュポイズニング技術とスヌーピン
ることができます。そのほかの興味深い可能性
ドユーザは、なりすましサイトへ誘導するような
グ(覗き見)技術を活用して、ファーミング攻撃
として、要求したURLに対して、以前に発行さ
Eメール内のリンクをクリックすることを要求さ
は、標的にしたインターネットユーザグループを
れた本物のアドレスとアクセスしようとしている
れ なくなります。代 わりに 詐 欺 師 は 、W e b サ
かなりの割合で不当にリダイレクトすることがで
サイトのIPアドレスを適合させるDNS検索があ
イトのリダイレクション技術を使い、被害者が
きます。新しくインターネットで広まっているト
ります。このやり方は、Microsoft社のSender-
普 通 に目 的 の サイトを 訪 れようとするときに 、
ロイの木馬ウイルス、ワーム、botは、man-in-
IDやSPFのように発行された現在のEメール認
強 制 的 に 偽 装 サ イト へ 誘 導します。 S o u t h
the-middle(中間者)攻撃を行うためにオペレー
証プロトコルと似ています。
American銀行をターゲットにしたワームの例
ティングシステムのhostsファイルを変更した
は、Windowsのhostsファイルが変更され、ユー
り、悪意のあるプロキシをインストールしたりし
さらに、Delayed Password Disclosureのよう
リューションを提供しています。彼は、
ザがお気に入りのリストをクリックするかWeb
て、さらに負担をかけるようになるでしょう。
な他のWebサイトの認証に関するプロポーザル
メールサービス業界の先駆者として広く
は、フィッシングやファーミングの脅威を食い止
知られ、ほかに先駆けて、インターネット
ブラウザでURLを入力するかして、銀行のサイ
一 年 前 の 今 頃 、ネ ット ワ ー ク 管 理 者 達 が
MyDoomやNetskyウイルスがもたらした大損害
険をもたらすEメールの脅威“フィッシング”が
現れました。
フィッシング攻撃は、スパム技術を利用し、大
量の詐欺メールをばら撒きます。そのメールは
公式文書に見えますが、消費者をだまし、クレ
ジットカード番号やオンラインバンキングで使
す。最もよく使われるフィッシングの手口は、個
人情報が緊急に必要であるように印象づけ、
(ル
アー釣りのように)人々を誘い出して偽のWeb
サイトへのリンクをクリックさせ、被害者の認証
情報を獲得してしまうものです。
Eメールの脅威ではよくあることですが、Eメー
ルユーザを守るためにフィッシングに対する防
御策を導入する頃には、フィッシングを実行す
る詐欺師達は、身分証明を盗用する新しい次世
代攻撃をすでに開発中なのです。
Technology Officerです。MX Logic社は、
Eメールセキュリティ・ソリューションの
リーディングカンパニーとして、一般企業、
サービスプロバイダ、政府機関、販売代
理店とその顧客に対して、Eメールの保
護とセキュリティを確保する革新的なソ
大手の銀行の中には、BankAsh-A Trojanのよ
めることができるでしょう。しかし、より高いイ
メッセージとコラボレーション技術の開
偽装サイトへリダイレクトさせられる、というも
うな 最 近 の ワーム やもっと 最 近 の B a n c o - B A
ンフラストラクチャセキュリティの確保を狙って
発と販売活動を行ってきました。
のでした。
Trojanワームによって、すでにファーミング攻撃
いるインターネットプロトコルプロポーザルや
また、初めてWebベースのEメールサー
を受けているところがあります。これらのワー
プロトコルスタンダードと同様に、この試みは、
ビスを開始したことでも高い評価を得て
わかりやすく説明すると、
“ファーミング”攻撃
ム は 、自 分 自 身 でレ ジ ストリキ ーを 作 成し 、
多くの人々や組織が採用していかないと効果を
おり、世界中の何千もの企業と何百万人
はフィッシング攻撃と異なり、ユーザが本物の
Microsoft社のアンチスパイウェアのプロセスを
発揮出来ません。逆に、多くの人々が採用して
ものエンドユーザをサポートするIPベー
サイトへアクセスしようとすると、エンドユーザ
無効にします。さらに、盗んだユーザ名とパス
くれば非常にパワフルなものとなるでしょう。
スの商用ホストメッセージサービスを実
を偽のサイトへ悪意を持ってリダイレクトしま
ワードをリモートWebサイトへ送信し、それ自身
す。それに対しフィッシング攻撃は、未承諾広
の最新版をダウンロードします。困ったことに、
フィッシングとファーミング ― 結局は、詐欺
告メールを使って被害者を誘い出したり、違う
これらの新しいタイプの攻撃がどのくらい広範
行為であり、世界中のEメールユーザを狙った
人物になりすまして被害者をなりすましサイトへ
囲に渡ってインターネットに浸透しているかを
大問題です。そして来年には、これらの脅威は、
誘導したりします。
判断することは難しいのです。その主な理由は、
他の同じく悪意のある形態に発展していくだろ
金融機関がこれらの詐欺の被害者であることを
うと確信しています。
用するユーザ名とパスワードなどの個人情報を
(悪意を持った人間に対して)バラしてしまいま
Scott Chasinは、MX Logic社のChief
トへアクセスしようとすると、被害者ユーザが
をネットワークから一掃しようとまだ試みていた
間に、インターネットEメールユーザに新たな危
著者紹介
この新しい“ファーミング”攻撃によって、Web
公表することを明らかに嫌がっていることです。
ブラウザの“アドレス”フィールドは信用できな
わかっていることは、
“フィッシング”攻撃発展
くなります。ローカルアプリケーションとDNS
の次の段階が、間違いなく近いうちに攻撃手段
キャッシュポイズニング技術は、Webアドレス
の主流になるということです。
を偽装サイトにリダイレクトすることができるの
現しました。さらに、はじめて完全に情
報を公開したセキュリティに関するメー
リングリスト Bugtraq を立ち上げ、管理
している他、初めてのオープンソースの
ワンタイムパスワードシステムS/Key作
成の重要な貢献者でもあります。
M X L o g i c 社 以 前 、S c o t t C h a s i n は 、
U S A . N E T 社 で、C h i e f T e c h n o l o g y
Officer とChief Visionaryを務めていま
した。USA.NET社の技術と戦略の立役
者であるScott Chasinは、Eメールと最
先端のメッセージサービスの代表的なプ
で、エンドユーザは、不当にリダイレクトされて
認証を強化することが、ファーミングを阻止する
いることを知る術がありません。Microsoft社の
ひとつの鍵です。金融機関が多元的な認証トー
Internet ExplorerやMozilla Firefoxの最近の脆
クンの発行を始め、Webサイトが本物であるこ
報セキュリティコンサルティング会社の
弱性により、事態が悪化します。この脆弱性に
とを証明するために、Webブラウザに対してさ
ひとつであるComsec Data Security社
より、ユーザが使うブラウザのステータスバー
らに上の技術を取り入れることを私達は期待し
を創設し、コンピュータセキュリティ分
を不当に利用することができます。さらに、なり
ています。たとえば、金融機関は、顧客がオン
野におけるパイオニアとして早期から取
すまされたサイトは、
ログインプロセスを模倣し、
ライン取引をしようとするときに、ユーザの携帯
り組みを行っていました。
ユーザの認証情報を盗み出す偽のサイトへユー
電話にワンタイムパスワードを自動的に送信す
ザがリダイレクトされてしまうことを防ぐことが
ロバイダとしてUSA.NETを設立するの
に尽力しました。それ以前は、最初の情
※本原稿は、M X L o g i c 社 C T O S c o t t C h a s i n 氏の英文原稿を、IIJ内で翻訳し、掲載したものです。
できません。
6
CLOSE UP
7
容易な導入・運用、通信コストの削減、
高セキュリティの要件を満たしたIIJ SMF
ユーザ導入事例
財団法人
日本道路交通情報センター
日本道路交通情報センター
日本道路交通情報センター
通信施設部
総務部
主管 佐藤 英子 氏
藤峰 涼馬 氏
日 本 道 路 交 通 情 報 センターでは 、全 国 4 7 都 道 府 県 に 1 3 9 カ 所 の 拠 点 ( センター 、駐 在 ) を 擁し 、道 路 の 混 雑 状 況
や 交 通 規 制 の 状 況 などド ライバ ー に 必 要 な 情 報 を 正 確 、迅 速 に 提 供して い る 。 各 地 の 拠 点 を 統 括 する 4 事 務 所
の事務系ネットワークを再構築し、このプラットフォームにIIJのSMF(SEIL Management Framework)を採用。
プ ラグ& ジョイン で 導 入・設 定 できる 手 軽 さ、ブ ロード バ ンド アクセ ス による 高 速・広 帯 域 化 、通 信 コ スト の 削
ファイルの更新などにも時間がかかってい
「目に見える」セキュリティ確保と
通信コストの大幅な削減を実現
たが、広帯域化によってこうした問題も解消
されたという。
SMFではネットワーク障害の自動監視をIIJ
減 、インターネット V P N によるセキュリティの 確 保 など、あらゆる 要 件 を 満 た す S M F の 多 彩 な 機 能 が 評 価され た 。
メールの活用で本部と事務所を結ぶ
事務系ネットのトラフィックが急増
プラグ&ジョインで簡単に
導入できるSMFで課題を解決
「導入コストが割安でも保守運用に多額の
側で行い、障害時にメールで管理者に通知
コストが必要だったり、セキュリティに不安
する。
「稼動後、トラブルは発生していませ
の削減が大きな課題になっていたのです」
があるようでは 導 入 できません 。その 点 、
んが、障害の切り分けがセンター側で容易
と藤峰氏は述べる。
SMFはコストとセキュリティの要件を満たし
に行えるので運用管理が楽になります」と
ISDNとDAに代わる新たな通信サービスを
ていました。専用のサービスアダプタを利用
佐藤氏は述べる。
検討していたときに、本部でインターネット
するので、目に見える形でセキュリティ確保
そして、今後の課題は、139拠点の事務系
財団法人 日本道路交通情報センター
テレビやラジオなどを通じて提供される道
その課題の一つが、通信速度と通信コスト
専用線接続サービスを利用していたIIJ から
について説明でき、社内の理解を得られや
ネットワークの整備である。事務所と同様
路交通情報を視聴したことのない人はいな
の問題である。本部と東京事務所は専用線
SMF によるインターネットVPN の提案を受
すい利点もあります」と佐藤氏は評価する。
にグループウェアなどを活用できる環境が
いだろう。ビジネスやレジャーを問わず、安
( D A 6 4 )、他 の 3 事 務 所 は I S D N を 用 いて
けた。
2004年9月より、本部と各事務所をブロード
実現すれば、さらなるコミュニケーションの
全で快適な運転に役立つ道路交通情報を
事務系ネットワークを構成してきた。
「この
「SMFは、パフォーマンスの向上や通信コ
バンドアクセス回線とIIJバックボーンで結
活性化やスピーディーな情報伝達が可能に
提供しているのが日本道路交通情報センター
事務系ネットワークを構築した当初はトラ
ストの削減をはじめ、簡単に導入でき、均
ぶSMFインターネットVPNが稼動して半年
なる。
「どのような通信サービスが適してい
である。各種道路の混雑状況から交通規制
フィックも少なく、64kbpsのISDNで対応
一なサービスを受けられることやセキュリ
が過ぎたところだ。その導入効果として、藤
るか、SMFの導入効果を検証しながら、こ
の状況、あるいは自然災害による障害と迂
できました 。ところが、各 拠 点 にインター
ティが高いことなど、私たちの要件に合致
峰氏は「本部を経由するインターネットアク
れ から検 討していきます。その ためにも、
回路の情報にいたるまで、ドライバーに必
ネット環境を導入後、本部と事務所間のト
していました」と、佐藤氏は導入理由を話す。
セスや、グループウェアも快適に利用でき
IIJには最良の提案を期待しています」と両
要 な 情 報 を 正 確 、迅 速 に 提 供して い る 。
ラフィックが急速に増大していったのです」
簡単な導入を要件にしたのは、事務所には
るようになり、各事務所では掲示板を積極
氏は述べる。
全国139カ所に及ぶ情報管理部署(交通管
と通信施設部主管の佐藤英子氏は述べる。
ルーターの設定が行える管理者がいないた
的 に 活 用し 始 めて い ます。ス ムーズ なコ
迅速、正確な道路交通情報をドライバーに
制センターなど)のセンター、駐在に職員を
インターネットで道路交通情報を提供する
めだ。SMFはサービスアダプタ(IIJ開発の
ミュニケーションが実現するとともに、懸案
提供する日本道路交通情報センター。その
安全、迅速かつ快適な道路交通を確
配置するとともに、各管理機関の交通管制
Webシステム「道路交通情報Now!!」を全国
ルーター「SEIL」)にケーブルを接続するだ
だった 通 信 コストは 1 / 5 程 度 に 削 減 でき、
使命を円滑に果たすための事務系ネットワー
保するため、道路及び道路交通に関
システムとオンラインで結び、時々刻々と
の拠点からモニターし情報をチェックするこ
けで、必要な設定が行えるプラグ&ジョイン
SMFの導入効果は大きいですね」と話す。
クをIIJのSMFソリューションが担っている。
する各種情報の収集、提供、調査研
変わる情報を収集、整理、分析し道路交通
とを目的にインターネットを導入したが、事
が特長の一つ。
また 例 えば 、以 前 はウイルス 対 策 の 定 義
情報として提供している。
務 所と 各 拠 点 の 情 報 交 換 にもメールを 活
「事前にサービスアダプタを各事務所に届
日本道路交通情報センターでは、全国各地
用。さらに、業務連絡や人事通達など本部
けておけば、結線するだけで自動的に設定
に配置された拠点(センター、駐在)を統括
の情報を拠点へ中継する役割を担う事務所
され、簡単な動作確認で設置作業を完了で
する事務所を東京、名古屋、大阪、福岡の
と本部間でもメールやグループウェアが盛
きます。このため、外部の業者に作業を依
4カ所に設置。
「道路交通情報を収集、提供
んに活用されるようになり、トラフィックが
頼する必要もなく、その手間とコストを削減
する業務系ネットワークとは別に、本部と4
増えていったという。
できます」(藤峰氏)。従来、事務用PCなど
本部
プロキシ
教販九段ビル
設立 1970年1月
究などを通し、産業の進展に即応した
道路網の体系的整備に貢献している。
■日本道路交通情報センター事務系ネットワーク構成概要
Bフレッツ回線終端装置
SMF サービス アダプタ
(SEIL/neu 2FE Plus)
本部 東京都千代田区飯田橋1-5-10
さらにWebサイト
「道路交通情報Now!!」
グループウェア メールサーバ 管理端末
は、年間4億pvのアクセス数(平成16
設定
事務所PC端末
年度実績)を誇り、利用者の安全と道
SMF監視/管理プロトコル
8
事務所を結ぶ事務系ネットワークを構築し、
「ISDNのダイアルアップを利用していたた
の導入・設定でも外注しており、事務所が
インターネットアクセスやメールの送受信な
め、大容量ファイルを添付したメールの送
入居するビル管理会社への作業員の入館手
どを行ってきました。しかし、昨今はメール
受信などに時間がかかり、事務所の職員か
続きなど、本部のスタッフに多大な負担が
を活用した業務が一般的になり、トラフィッ
ら通信速度の遅さを指摘されることもあり
クが増大するとともに、事務系ネットワーク
ました。さらに通信時間が長くなった結果、
に関するさまざまな課題が持ち上がってい
通信コストも1事務所当たり月額数十万円に
たのです」と、総務部の藤峰涼馬氏は話す。
上り、パフォーマンスの改善と通信コスト
かかっていたという。
路交通の円滑化を支援している。
VPNトンネル
設定・管理
インタフェース
Bフレッツ
http//www.jartic.or.jp/
NTTフレッツ
インターネット
IIJバックボーン
SMF管理設定情報
NTTフレッツ
Bフレッツ
東京事務所
Bフレッツ
名古屋事務所
Bフレッツ
大阪事務所
Bフレッツ
福岡事務所
お問い合わせ先 :
株式会社インターネットイニシアティブ
URL:http://www.iij.ad.jp/solution/ad/
TEL:03-5205-4466
E-mail:info@iij.ad.jp
9
m
a
sp
からメールを守れ(ユーザ編)
第4回:ISPのspamフィルタ設定
サービス名称はさまざまだが、spam フィルタ
スコアの変化とspam処理の挙動をまとめると
した会員向けのページ
を用意している ISP が数多くある。このような
サービスでは、フィルタされたメールは利用者
が自分のPC に取り込む領域とは別のいわゆる
「ごみ箱」に保存され、Webブラウザなどを使って
確認することができるといった形が一般的だ。
以下のようになる。
[HOME] > [設定と利用] > [サービスの設定と
利用] > [メール]
で設定できる。
メールフィルタの処理の流れを図1に示す。
メール
フィルタ
ウィルス
プロテクション
IIJ4Uで用意されているメールフィルタの設定
を例にあげる。
IIJ4Uのspamフィルタ
IIJ4Uでは、メールのフィルタ機能として
・メールフィルタ(標準)
・ウイルスプロテクション(有料)
迷
惑
メ
ー
ル
処
理
メ
ー
ル
サ
イ
ズ
は
?
添
付
フ
ァ
イ
ル
は
?
︲
は
?
条
件
設
定
は
?
spam
紹介しよう。手前味噌で申し訳ないが、ここでは
ウ
ィ
ル
ス
検
出
・
駆
除
受信
X Mailer
そこで、spamフィルタの具体的な設定方法を
フ
ィ
ル
タ
標
準
設
定
は
?
スコア
s p a mをs p a mでは
ないと誤判定する確率
正 常メールを
spamと誤判定する確率
高い
高い
低い
低い
低い
高い
く進みたいところだが、これは次回で解説する
レスしか利用できないようにする事が可能にな
ことにして、ISP を経由したメールの送受信で、
る。これにより、spamに多く見られる送信元
セキュリティを向上させる知識と設定をまとめる。
スコアを低くすると、spamではないメールを
ISPを経由したメールの送受信で必要となる情
フィルタしてしまう可能性が高くなるが、spam
報をまとめると以下のようになる。
“絶対これはspamだ”というメールだけフィル
暗号化
POP
1
なし
110
SMTP
25
2
なし
110
587
3
SSL
995
465
4
T LS
110
587
アドレスが詐称されたメールが防げるようになる。
1と2は通信路を暗号化していないため、認証
が すり抜 け にくくなる。スコアを 高くすれ ば
スプール
で、認証情報にひも付けされた送信メールアド
・受信のために必要な情報
通信の暗号化と「TLS」
用のパスワードは別の手段で保護するという
通信の暗号化も重要である。これには、メールの
使 い か た に なる 。また 、2 5 番 ポ ートを 使 う
データそのものの安全を確保するほかにも、認証
SMTP通信ができないISPも登場してきており、
用のパスワードも暗号化された通信路の中でや
ISP自身が用意する専用のアクセスポイント経
りとりをする事で盗聴を防ぐという目的もある。
由での利用以外では使うべきではないだろう。
タするため、多少あやしいメールでもすり抜け
POPサーバ名
てしまう。その た め、思 ったようにメール が
POPアカウント名
フィルタリングされない場合は、スコアの調整
POPパスワード
メールリーダの中には、
「Outlook Express」の
3はSSLを使って安全な通信路を確保してから
をしてほしい。筆者の経験的には、これらのこ
認証方法
ように生のパスワードしかサポートしていない
通信を行う。ただしSMTP over SSLで使用し
届いたメールは、まず、ウイルスプロテクション
とを考えると90.0以上には設定した方がよい
通信の暗号化方法
ものがある。このようなメールリーダを通信の
ているポート番号は標準化されていれていな
によるウイルスの検出と駆除が行われ、spam
ようだ。
暗号化なしで利用した場合、メールの本文はも
いため、ISPによって番号が異なる場合があり、
ちろんパスワードまで盗聴される可能性があ
注意が必要だ。
メールヘッダに
s p a mヘッダを
付加
ごみ箱
ヘルプサーバから
スプールに戻す
(図1 )メールフィルタの処理の流れ
判定ヘッダが付加される。そののち、メール
・ 送信のために必要な情報
フィルタ内において、利用者が設定した各種
受け取ったメールがspamではないにもかかわ
SMTPサーバ名
の2つのサービスを提供している。spamフィ
条 件 によるフィル タや s p a m フィル タが 処 理
らず、ごみ箱に行ってしまう場合があるかもし
SMTPアカウント名
ルタは、このうちウイルスプロテクションの中
されるという流れだ。
れない。spamフィルタの方がおかしいと思っ
SMTPパスワード
暗号化方式には
「SSL
(Secure Sockets Layer)
」
の「迷惑メールフィルタ」という名称で用意して
フィルタ条件に合致したメールは基本的には
た場合、IIJに報告して修正される事を期待す
認証方法
あるいは「TLS(Transport Layer Security )」
「ごみ箱」と呼ばれる別領域に移動。ごみ箱の
るという方法もあるが、緊急避難的な対処方
通信の暗号化方法
といったものがある。SSLは専用のポート番
筆者は3ないし4の設定ができるものをおすす
中身はヘルプサーバから確認でき、必要に応
法として条件指定によるフィルタを利用して受け
号でサービスを提供するのに対し、TLSの場
めする。さらに、今後標準になっていくのは4だ
合にはPOP/SMTPと同じポート番号で利用で
と考えている。ちなみにIIJ4Uではこの原稿を
いる。
ウイルスプロテクションを契約するとメール内
じてメールスプールに戻せる。
のウイルス検出と駆除機能に加え、通過する
すべてのメールをチェック。ヘッダフィールド
がspamである可能性の値として付加される。
メールフィルタの利用例
spamのフィルタを行うには「迷惑メール処理
取りたいメールの差出人を指定し「受け取る」
るので値は非公開)
を越えると
書いている現在、3の組み合わせまでを正式に
spamフィルタよりも先に実行されるため、
「ホ
なかった。いまでも、SMTPサーバ名を設定し
われているが、今後はインターネット技術の標
サポートしているが、近々4もサポートしていく
ワイトリスト」として利用できる。
た記憶があっても「アカウント名とかパスワー
準化団体「IETF」が推奨しているTLSに移行し
予定である。自分の利用するISP とメールリー
ドなんて設定したかな?」といった人が多いと
ていくと思われる。
ダがどの組合せをサポートできるのかマニュア
思う。しかし、メールをISPサーバから受信す
IIJが迷惑メールと判断するメールはごみ箱に
るのには認証が必要なのに、ISPサーバへ送
入れる
指定すれば判定基準の調整ができる。
TLSによって安全な通信路を確保するタイプである。
きるという違いがある。現在は、SSLがよく使
信するのに認証がいらないのは、そもそもおか
をチェックする方法が簡単だ。また、スコアを
X-Spam-Flag:YES
4はPOP/SMTPと同じポート番号を使いつつ、
これまでメール送信において認証は必要では
設定」
(図2)において
この値がIIJの基準値(変更される可能性があ
送信時の認証
るので注意が必要だ。
を選択するとよい。条件指定によるフィルタは
X-MX-Spam:final=0.9999999992...(省略)
ルなどで確認してもらいたい。
設定上の注意点
これまでの話をまとめてみると以下のようになる。
しな話だ。
(図3)フィルタ条件の設定画面
谷口崇(たにぐち たかし)
SSL/TLSで暗号化した通信路を使う設定で、
というフィールドが付加される(これらのヘッダ
同様に、どうしてもすり抜けてしまうspamに対
また、認証付きのSMTP 送信をこれまでの25
POP/SMTP サーバに対して独立した認証のた
株式会社インターネットイニシアティブ
を「spam判定ヘッダ」と呼ぶことにする)。
処するため、ブラックリストを作ってフィルタす
番ポートから、
「Submissionポート(587番ポー
めのアカウントとパスワードを設定する。
システム技術部 部長
ウイルスプロテクションの利用には追加料金
ることも可能だが、数が少なければまだしも、
ト)」と呼ばれる専用ポートに変更しようという
が必要だが、以下はウイルスプロテクションの
こちらは現実的な方法ではないだろう。
動きもある。これにより、利用者からのSMTP
しかし、メールリーダの多くは受信用の設定と
接続とサーバ間のSMTP 接続を明示的に区別
送信用の設定と、暗号化の設定がいくつもの
できるようになる。
設定画面に分散してしまっているのでわかりに
利用を前提に解説させていただく。
メールリーダの正しい設定
メールフィルタの設定
メールフィル タは ヘ ルプ サーバ からログイン
10
本来ならメールリーダでのspam対策の話に早
ここまでの解説でspamの歴史や現状、ISPで
(図2)
「迷惑メール処理設定」の画面
の対策方法がおおよそ理解いただけたと思う。
くい。設定内容も実用的に考えられる組合せ
このようにメールの送信時に認証をすること
だけで4種類は考えられる。
◎所出 :RBB TODAY(http://www.rbbtoday.com/)
2005年2月9日
※メールアドレスおよび電話番号には架空のものがあります。
11
m
a
sp
からメールを守れ(管理者編)
第3回:メールアドレスの詐称を防止する「ドメイン認証」
2004年の秋、知人が「日本ではフィッシングは
号のチェックサムを検証していると思われる
諸事情により、契約の破棄をためらう携帯電
発生しにくいのではないか」と言っていた。ア
(クレジットカード番号の16桁の内、下4桁は
話の事業者やISP、ASPもある。最近、総務
メリカではオンラインバンキングが盛んなた
CRCチェックサムになっている)。
省と経済産業省は「迷惑メール追放支援プロ
ジェクト」を発表した。政府がメールを受信し、
め、だまされ る 可 能 性 の あるユー ザ は 多 い 。
つまり、詐欺師にとって入れ食いの漁場がそ
フィッシングを許してしまう最大の原因は、メー
spamだと認定してくれるのだ。これがうまく動
こにはある。一方、日本はそうではないから
ルアドレスを詐称できることにある。これは、
けば、ためらいがちなISPやASPも約款の行使
フィッシングははやりにくいというのだ。
メールアドレスのドメインを認証する手段が普
に踏み切れるだろう。
ドメインはブランドである。フィッシングに悪
用された場合は、ブランドのイメージの低下は
易ではないゾンビに移行すると思われる。中
つも現れ、さらには実際に被害も発生した。以
免れない。
でも、動的IPアドレスを利用しているPCを乗
ルとWebサイトのスナップショットである。
っ取ったゾンビは、IPアドレスが頻繁に変る
が存在する(図1 )。
IS P B
ISP A
25番
ポート
3 )ゾンビ
1 )M U A
MSA
MTA
MTA
IS P C
25番
ポート
ドメイン認証
ISPやASPを利用することが可能になる。
次にドメイン名の詐称防止について考えよう。
しかしこれだけでは、ゾンビは587番ポートを
ドメイン名を詐称されないようにするには、受
使いspamを投稿するようになるだろう。これ
信側でドメイン名の正当性を検証できればよ
を防ぐため、投稿でもユーザ認証を必須にす
い。この機能を「ドメイン認証」と呼ぶことにす
る。すなわち、ユーザはメールを受信するとき
る。ユーザの視点からみれば、
“From:”に書
と同様に、メールを送信(投稿)する際もパス
かれているメールアドレスを信用できるように
ワードの入力が必要となる。
保証する技術と言えるだろう。
このような対策が講じられても、ゾンビはユー
ドメイン認証の仕組みはいたって簡単だ。ある
ザが設定したMSA やパスワードを盗み出し、
ドメインに対し、そのドメインの送信側は認証
MTA
3 )ゾンビ
(図1)現在のメール配送の状況
ため追跡が困難であり、ブラックリストを作成
3)のゾンビからspamが出ないよう防止するに
MSAへspamを投稿するように進化することも
情報をDNSで公開する。受信側は、From:に
の技術である「ドメイン認証」について解説す
するなどの対策も講じにくい。
は、ISPの送信MTA以外からはメールが出ない
予想される。そこで、ISPやASPは投稿に対し
既述されているドメインを切り出し、それをも
ように、SMTPを遮断してしまえばよい。
てレート制御を実施する。このようにして、短
とにDNSから認証情報を取得する。そして、認
期間に多量のspamが出てしまうことを防止す
証が成功すればメールを受信し、失敗すれば
るのだ。
受信を拒否するのだ。
ムにも書いてきたが、配送とはMTA間のメー
なお、MSA以外のすべての機器からの配送を
ドメイン 認 証 は 、
「 I P アドレス 型 」と「 電 子 署
ルのやり取りだ。一方、投稿とは、MUA(メー
禁止するのは、あまりに過激である。実際、2)
名 型 」に 大 別 で きる 。 前 者 の 例 として は 、
ルリーダ)からMSAへメールを送ることである。
のユーザの中には、MTAを自分で立ち上げ管
spam対策における1つの要素である。そのた
このように「ドメイン名の詐称」や「ゾンビから
め、対策全体に対する位置づけを理解するこ
の大量配送」を防止することが、spam 対策の
とも必要だろう。そこで、少し回りくどくなるが、
核心となっている。
まずspam対策の全体像を説明し、そののちに
ドメイン認証について解説する。
spam対策の全体像
これらの問題を解決するために、以下のような
問題点
このサービスは実際に存在する
接送るゾンビ
にお願いする。これで、2)のユーザはほかの
今回は、ドメインのブランドイメージを守るため
る。ドメイン認証は、ISPやASPが思い描く
(画面1)VISA認証サービスをかたるフィッシングメール。
3)ほかのISPやASPの受信MTAへspamを直
こうなってくると、spamの発信源は特定が容
日本語で書かれたフィッシングのメールがいく
下は、IIJの社員が発見したフィッシングのメー
トではなく、MSAの587番ポートを利用するよう
25番
ポート
2 )M U A
及していないためだ。インターネットにおいて
しかし、その楽観的な予想はすぐに覆された。
スするユーザ
spamの問題点を整理してみると、以下の2つ
しかし、これでは2)のユーザが困る。そこで、
「配送」と「投稿」を分離する。これまでのコラ
理しているユーザもいるだろう。そこで、25番
spam対策の技術を随時投入していくことがISP
「Sender ID」が挙げられる(注1)。後者の代表
例は、
「DomainKeys」である(注2)。
歴史的な経緯により、これまでは配送と投稿
ポートをブロックするのは追跡しにくいゾンビ
が明確に区別されておらず、どちらもプロトコ
の温床となっている動的IPアドレスに限定す
・配送と投稿の分離
ルとしてはSMTP、ポートは25番が使われてき
るのだ。
・ドメイン名の詐称
・ゾンビによる配送の禁止
た。これからは、投稿用に587番ポートを利用
・ゾンビからの大量配送
・投稿のユーザ認証とレート制御
するようユーザへ推奨していく。プロトコル自
固定IPアドレスの25番ポートは、これまで通り
DomainKeysと組み合わせて使えば相互に機能の補
・配送のドメイン認証
体はSMTPである。一方、配送にはこれまで
利用可能である。固定IPアドレスのPCがゾン
完が可能である。すなわち、Classic SPFでスパム一
通り25 番ポートのSMTPを使う。
ビになってしまっても、ISPやASPはブラック
やASPのメール管理者間で検討されている。
に集約できると思う。
「ドメイン名の詐称」については、フィッシング
注1:
「Classic SPF」というプロトコルも存在し、spam対策
には大きな効果を出しているが、From:に格納されるドメ
インは認証の対象ではないため、フィッシングの防止に
は適していない。ただし、たとえばClassic SPFを
般を防止し、DomainKeysでフィッシングを防止するの
である。
配送」には次のような背景がある。実はspam
省略し、大枠についてのみ述べる。また、文
図2を見て頂きたい。まず、ISPやASPはMSA
うな理由により、MTAを自分で立ち上げ管理
の発信源には、特定が容易なものと困難なも
章の軽快さを保つために断定表現が多いが、
を用意しユーザに対し587番ポートを提供する。
したい方は固定IP アドレスのサービスへ移行
のに分類できるのだ。
ここに書かれていることはあくまでISPやASP
そして、1)のユーザも2)のユーザにも25番ポー
するようお願いしていく方針だ。
リストを作成するなどで対応ができる。このよ
MTA
認 証 サ ービ ス 」は 、実 際 に 存 在 する 正 式 な
PCからメールアドレスを詐称せずに堂々と送
VISAのサービスである。事実、ロゴはVISAの
ってくる s p a m などが 挙 げられ る。これらの
2 5 番ポートを
ブロック
とに注意していただきたい。
1 )M U A 5 8 7 番 M S A
25番ポート
ドメイン認 証
MSA
MTA
587番ポート
ポート
まず、ゾンビからの大量配送を防止することに
ドメイン認 証
ユーザ認 証
レート制 御
IS P C
2 )M U A
公式サイトから挿入されるようになっている。
spamに関しては、苦情を受けた携帯電話事業
ついて考えよう。あるISPには、メールの送り
また、ある知人がでたらめな番号を入力したと
者やISPやASPが約款を行使して、アカウント
手として、
ころ、間 違 いを 指 摘され たというから、裏 で
VISAのサービスに接続しているか、カード番
12
を抹消することで対処が可能である。
ユーザ認 証、レート制 御
3 )ゾンビ
1 )ISPのMSAを使うユーザ
2 )ほかのISPやASPの受信MTAに直接アクセ
MTA
2 5 番ポートを
ブロック
25番ポート
MSA
587番ポート
(図2)将来の状況:投稿と配送を分離し、ユーザは
Sender ID
なお、動的I Pアドレスからの上り(ISPからイ
ンターネットに接続する方向)25番ポートのブ
Sender IDは、IETFで標準化が進んでいるプ
ロックは、すでに日本のISPで採用され始めて
ロトコルである。認証情報は、IPアドレスで
いる。たとえば、ぷららネットワークスでは宛
ある。す なわち、あるドメイン に 対し 、送 信
先が携帯電話向けのメールを遮断しているし、
MTAのIPアドレスをDNSで宣言する技術だ。
WAKWAKはすべての宛先に対してブロックし
MX RR(Mail eXchange Resource Record)
ている。
の逆と言えば分かりやすいかもしれない。
MSA へ投稿する
ge
容易な例としては、携帯電話からのspam や、
IIM は、近日中に統合される予定である。
pa
3 )ゾンビ
このフィッシングの手口は実に巧妙だ。
「VISA
(Identified Internet Mail)」もある。DomainKeysと
IS P B
ISP A
のメール管理者間での大まかな合意であるこ
注2:電子署名型のプロトコルには、Ciscoが提唱する「IIM
xt
ロゴは、VISAのサイトから挿入されている
以下では理解しやすいように、細かな例外は
ne
(画面2)VISA認証サービスをかたるフィッシングサイト。
の問題から明らかだろう。
「ゾンビからの大量
※メールアドレスおよび電話番号には架空のものがあります。
13
からメールを守れ(管理者編)
第3回:メールアドレスの詐称を防止する「ドメイン認証」
MX RRで受信MTAを宣言するように、SPF(あ
的過ぎるだろう。そこで、移行期ではドメイン
るいはTXT)というRRを使って送信MTAを宣
認証の結果をヘッダに残し、メールの取捨選
言するのである(図3)。メールを受け取った受
択はユーザのMUAに任せる方法が考えられ
株式会社インターネットイニシアティブ
信MTAは、ドメインに対する送信MTAのIPアド
ている。
技術研究所主幹研究員
山本和彦(やまもとかずひこ)
で問題が生じ、DomainKeysはメーリングリス
DNS
送信サーバ=192.0.2.1
MUA
MSA
送信サーバの
問い合わせ
192.0.2.1
トと相性が悪い。解決案は存在するので、実
MTA
MTA
らせします。IPv6完全実装の高機能ルータ「IIJ SEIL(ザイル)」
の向上に役立てる所存です。ご協力のほど、よろしくお願い申し
シリーズを間近でご覧になれるチャンスです。ぜひ、この機会に
上げます。また、アンケート回答に対する謝礼といたしまして、
IIJのブースにお立ち寄りください。
アンケートご回答者の中から抽選で3名様に、1万円分の商品券を
◎ Net wo rld + In ter op Toky o 2 0 0 5 開催 概 要
■会期:2 005 年6月6日(月)∼6月1 0日( 金 )
◎実施要項
コンファレンス:6月6日∼6月10日
さらに抽選で10 0 名様に、IIJのオリジナルグッズをプレゼント!
◎所出 :RBB TODAY(http://www.rbbtoday.com/)
2005年3月8日
1
2
3
4
5
展示会
:6月8日・9日・10日
■会場:日本コンベンションセンター( 幕張メッセ)
◎II J展示会 出展概要
IIJでは、IPv6完全実装の高機能ルータ「IIJ SEIL(ザイル)」シリー
ズを中心に以下の製品・サービスをご紹介します。
■SEIL/Turbo(ザイル・ターボ)
証実験を通じて検証する必要がある。
IIJの運用技術を結集したSEILシリーズの上位機種として、抜群の
おわりに
From:alice@
example.jp
信頼性を誇る高性能ハイエンド・ルータ。
IPv6 Read y Logo Phase 1取得済 。
2
1
○ワール
ドクロック(10 名様 )○ペン付きステンレスメモパッ
ド(15 名様 )
間に受け入れられ広く普及すれば、メールは追
(図3)Sender ID
DomainKeys
5
○SEIL
付き携 帯ストラップ( 3 0 名 様 )
spamを受け取ったら、そのドメインの管理者
レベルの電子署名であり、すでにYahoo!メー
へ苦情を言えばよいのだ。
このような環境が整えば、spam配送業者は独
公 開 鍵 で あ る( 図 4 )。そ のドメイン の 送 信
自のドメインを取得して、ドメイン認証が成功
MTAは、対となる秘密鍵を持っており、送信
するspamを配送するようになるかもしれない。
するメール に 対して 電 子 署 名 を 施 す。こ の
そのため、ドメインのブランドを評価するシス
メールを受信したMTAでは、まずそのドメイン
テムが必要となる。責任あるドメインのホワイト
の公開鍵をDNSから入手し、電子署名を検証
リスト
(あるいはブラックリスト)
と表現すればイ
① I I J サ ービスオンライン( お 客 様 専 用 サ ポ ート ペ ージ )に
② 上 記 権 限をお 持ちでない 方( I I J のお 客 様 以 外でもご応 募
SLA遅延時間*の実績
いただけます)
:
h ttp ://w w w .i i j .a d.j p /e n q20 0 5/からご回答ください。
SLA Latency Value
35ms
●プレゼントの発 送は日本国 内のみに限らせていただきます。
● 回 答はお1 人 様 1 回までとし、
重 複している場 合は、最 初の回 答 内 容を抽 選の
対 象とさせていただきます( h e l p . i i j . a d . j pとw w w . i i j . a d . j pの両 方でご回 答
DNS
● 回 答 内 容はプレゼントの抽 選に影 響いたしません。但し回 答が抜けている場
合は、無効とさせていただきます。
今回のコラムで述べてきたストーリーは、あく
● I I Jオリジナ ルグッズはご選 択 いただけません 。弊 社 にて 抽 選 の 上 発 送 い
MTA
遅延時間の統計(2004年7月∼2005年4月)
■注意事項:
いただいても、1回のカウントになります)。
公開鍵
http://www.interop.jp/
画面へ」から先にお進みください。
ドメインの評価システムはすでに存在する。
MTA
Networld +Interop Tokyo 2005
h t t p s : / / h e l p . i i j . a d . j p / にログインの上、
「アンケート
メージがつかめるだろうか。今回は述べないが、
公開鍵の
問い合わせ
世 界 初 のネットワークサービスO S「 S M F 」に対 応した組み込み
ルータソフトウェア。IPv6にも対応 。
ログイン 権 限をお 持ち の 方:
DNSで公開するのは、あるドメインに対する
example.jp
■SEIL En gine(ザイル・エンジン)
■アンケート回答方 法:
ル や G o o g l e の「 G m a i l 」に 採 用されてい る。
するのである。
ハイスペックを低価格かつコンパクトなボディで実現したミドルレン
ジ・ルータ。IPv6 Read y Logo Phase 1取得済 。
※抽 選 結 果はプレゼントの 発 送をもって、発 表とかえさせていただきます
( 発送は2005年7月上旬頃を予定 )。
て い るメール アド レスを 信 用 できる 。 もし
DomainKeysは、Yahoo!が提唱するドメイン
■SEIL/ne u Plus(ザイル・ノイ・プラス)
3
4 トーンボールペン( 2 5 名 様 )
○モジュラージャック
( 2 0 名 様 )○ス
跡可能になる。ユーザ名にもドメイン名にも嘘
はつけないのだから、ユーザはFrom:に書かれ
MSA
IIJでは今年もNetworld+Interopに協賛出展いたしますのでお知
を実施いたします。アンケートの回答はiij.newsの内容やサービス
■プレゼント:抽 選で3 名 様に 商 品 券 1 万 円 分をプレゼント!
投稿のユーザ認証と配送のドメイン認証が世
MUA
この度IIJでは、iij.news-vol.70発行を記念して、お客様アンケート
■アンケート受 付 期間:∼20 0 5年 6 月 17 日(金) 17 :00まで
残念ながら、ドメイン認証には技術的な問題も
残されている。Sender IDでは「メールの転送」
example.jp
Networld+Interop Tokyo 2005
出展のお知らせ
ご用意しております。ぜひご回答ください。
レスを入手し、SMTPコネクションのIPアドレス
と比較することでドメインを検証する。
iij.newsおよびIIJのコーポレートイメージに
関するアンケート、ご協力のお願い
までISPやASPのメール管理者間での大まか
たしますので、予めご了承ください。
な合意である。会社のポリシーとして受け入れ
■個人情報の保 護について:
Mean Value
m
a
p
s
保証値(30ms)
30ms
25ms
20ms
15ms
13.82ms 13.49ms 13.36ms 12.94ms 13.06ms 13.87ms 13.91ms 12.42ms 12.64ms 13.69ms
10ms
2004/07 2004/08 2004/09 2004/10 2004/11 2004/12 2005/01 2005/02 2005/03 2005/04
*IIJ国内バックボーン全体の平均往復遅延時間
From:alice@
example.jp
られるかは分からない。また、ユーザの方にも
お送りいただいた個人情報は、弊社サービス向上のための分析と、プレゼント
●お詫び:
署名する example.jp
多少面倒をかけることになるので、理解が得ら
の送 付を目的として収 集 / 管 理し、第 三 者に提 供することはありません。また、
遅延時間の計測におきまして、特定の一部区間(全69区間中3区間:2005年3月現
回答内容は統計情報としてのみ処理し、個人を特定できる形では公表いたしま
在)が計測対象から外れていたことが判明しました。対象区間及び期間は以下の
せん。個 人 情 報の開 示・訂 正・削 除その他 個 人 情 報についてのお問い合わ
通りとなります。
秘密鍵
(図4)DomainKeys
れるかも分からない。このコラムが、ユーザや
せは、i n f o @ i i j . a d . j pまでご連絡ください。
メールの管理者、あるいは会社の意思決定を
ドメイン認証の導入と課題
1. 東京NOC-有明NOC(2004年 6月より、2005年2月実績は 0.52ms)
2. 有明NOC-大阪第一データセンター
(2000年10月より、2005年2月実績は11.72ms)
3.大阪NOC-大阪第一データセンター(2000年10月より、2005年2月実績は 0.43ms)
つかさどる方がspam対策を理解していただく
なお2005年2月分より、計測対象に上記区間も含めた数値となっております。
一助となれば幸いである。
ドメイン認証が広く普及していない時点では、
詳細・お問い合わせ
IIJインフォメーションセンター(9:00∼17:30 土日祝祭日を除く)
ドメイン 認 証 に 失 敗した 際 に 、受 信 M T A が
メールの受信を拒否するのは、あまりに急進
14
※メールアドレスおよび電話番号には架空のものがあります。
TEL:03-5205-4466
SLAの詳細は
E-mail:info@iij.ad.jp
URL:http://www.iij.ad.jp/SLA/
15
IIJ バ ッ ク ボ ー ン マ ッ プ ( 2 0 0 5 年 5 月 現 在 )
JAPAN
埼玉
第1DC
JPNAP
ASIA
仙台
第1DC
西東京
21Gbps
Thailand
東京
柏
第1DC
Korea
千葉
東京
第2DC
Malaysia
札幌
第1DC
Indonesia
A-Bone
東京
Singapore
Philippines
有明
China
Taiwan
11Gbps
Hong
Kong
dix-ie
横浜
第2DC
浜松
富山
横浜
横浜
第1DC
名古屋
第1DC
金沢
U.S.A.
New York
(NYIIX)
PAIX
1Gbps
京都
大阪
第1DC
京都
第1DC
東京
大阪
IIJ
New York
IIJ
Palo Alto
JPNAP
大阪
MAE-WEST
ATM
10Gbps
有明
IIJ
San Jose
神戸
1Gbps
Equinix GigE
Exchange
福岡
第1DC
1Gbps
沖縄
岡山
1Gbps
大阪
IIJ
Ashburn
IIJ L.A.
1Gbps
広島
福岡
1Gbps
Equinix GigE
Exchange
MAE-EAST
ATM
LA IIX
STM-1 : 150Mbps
STM-4 : 600Mbps
STM-16 : 2.4Gbps
STM-64 : 9.6Gbps
vol. 70 MAY/JUNE 2005
発行 株式会社インタ−ネットイニシアティブ
広報部
T E L : 0 3- 5 2 5 9 - 6 3 1 0
E-mail:info@iij.ad.jp
◎ iij.news のバックナンバーをご覧いただけます。
URL:http://www.iij.ad.jp/iijnews/
◎最新のバックボーン情報は、http://www.iij.ad.jp/network/をご覧ください。
株式会社インタ−ネットイニシアティブ
本 社 東京都千代田区神田神保町 1-105 神保町三井ビルディング 〒 101-0051
T E L : 0 3 -5 2 0 5 -4 4 6 6
関 西 支 社 大阪府大阪市中央区北浜 4-7-28 住友ビルディング第 2 号館 5F 〒 541-0041
T E L : 0 6 -4 7 0 7 -5 4 0 0
名 古 屋 支 社 愛知県名古屋市中村区名駅南 1-24-30 名古屋三井ビルディング本館 3F 〒 450-0003
T E L : 0 5 2 -5 8 9 -5 0 1 1
札 幌 支 店 北海道札幌市中央区北三条西 3-1-25 北三条ビルディング 7F 〒 060-0003
T E L : 0 1 1 -2 1 8 -3 3 1 1
東 北 支 店 宮城県仙台市青葉区花京院 1-1-20 花京院スクエアビル 15F 〒 980-0013
T E L : 0 2 2 -2 1 6 -5 6 5 0
北 陸 支 店 富山県富山市牛島新町 5-5 タワー 111 10F 〒 930-0856
T E L : 0 7 6 -4 4 3 -2 6 0 5
中 四 国 支 店 広島県広島市南区稲荷町 2-16 広島稲荷町第一生命ビル 11F 〒 732-0827
T E L : 0 8 2 -5 0 6 -0 7 0 0
*この冊子の内容はサービス形態・価格など予告なしに変更することがあります。
(2005 年 6 月作成)
*表示価格には、消費税は含まれておりません。
* IIJ、IIJ4U、IIJ-MC、IIJ-Tech、SEIL は株式会社インタ−ネットイニシアティブの登録商標または商標です。
*記載されている企業名あるいは製品名は、一般に各社の登録商標または商標です。
九 州 支 店
福岡県福岡市中央区天神 1-1-1 アクロス福岡西 10F 〒 810-0001
T E L : 0 9 2 -7 2 5 -6 5 3 3
沖縄営業所
沖縄県那覇市久茂地 1-7-1 琉球リース総合ビル 8F 〒 900-0015
T E L : 0 9 8 -9 4 1 -0 0 3 3
豊田営業所
愛知県豊田市西町 4-25-13 フジカケ鐵鋼ビル 5F 〒 471-0025
T E L : 0 5 6 5 -3 6 -4 9 8 5
IIJ - MKTG 001 AA - 0506 EK - 03500 SA