解 決 の カ ギ は 、 先 を 読 む 力 と I I J ネ ット ワ ー ク ソ リ ュ ー シ ョ ン 。 CLOSE UP 新たな E メールの脅威からメールシステムを守る(MX 特別連載 spam からメールを守れ(管理者編) SOLUTIONS ユーザ導入事例 カブドットコム証券株式会社 SHORT ESSAY ますく Logic 社 CTO Scott Chasin) iij.news marchapril 2005 69 CONTENTS S H O RT E S S AY 迷惑メール対策グループ「JEAG」を創設 ますく SHORT ESSAY・・・・・・・・・・・・・・・・・・・・ p2 ますく さくらの季節になると、子供の頃に覚えた和歌などを思い出すのだが、今年の冬は冷たくて、 パナソニック ネットワークサービシズ株式会社(hi-ho) 社は、迷惑メール対策を業界全体で取り組むべき問題と位置付け、技術的な見 株式会社ぷららネットワークス(ぷらら) 地を元にして対策を検討・実施するワーキンググループ "Japan E-mail Anti- ボーダフォン株式会社(Vodafone) Abuse Group(JEAG)" を共同で創設いたしました。 現在、国内には主に法的側面での対策の検討を中心に活動している迷惑メール TOPICS ・・・・・・・・・・・・・・・・・・・・・・・・・ p3 風邪が蔓延し、ようやく収まった頃には、大量のスギ花粉が飛んで、春風に華やぐはずの 対策関連団体はいくつか存在しますが、技術的な見地から通信事業者やソフト 女性の口許は、相変わらずマスクでおおわれて、とても平安貴族の詩情とは程遠い風情で ウェア・ハードウェアメーカー等が連携して具体的な対策を実施・検討する団体 迷惑メール対策グループ「JEAG」を創設 送信ドメイン認証技術の導入を開始 ある。小野小町や和泉式部のマスク姿を想像するのは、源氏物語絵巻にマスク姿が散見 個人向けインターネットサービスIIJmioに 迷惑メールフィルタ機能を追加 国内の主要ISPや携帯通信事業者、ソフトウェア・ハードウェアメーカーなど約30 するようなもので、それこそすべてがぶち壊しということになる。最近の市販マスクは、昔 はこれまでありませんでした。 閉域ネットワークに対応した ネットワークマネージメントシステムを開発 MFEED、Euro-IXに加盟 のガーゼを重ねただけのぶ厚く不恰好な代物ではなく、ずいぶんデザインにも配慮されては いるけれど、桜のあでやかな色彩に、肝心の女性がマスクだらけではしまらない。杉の大量 さくらがひらく前に、春の訪れを、音楽祭で祝おう。北国のヨーロッパでは、 「プラハの春」を はじめ、さまざまな都市で、特徴のある音楽祭が開かれている。東京にもそんな音楽祭が CLOSE UP・ ・・・・・・・・・・・・・・・・・・・・・・・・p5 あったらと、長いこと小澤征爾さんと酒の肴に話していた。祭になると、神社の境内に×× 新たなEメールの脅威からメールシステムを守る 商店○○円といった寄付の名簿が告知板にならぶように、東京に住む人々、あるいはオフィ 特別連載・・・・・・・・・・・・・・・・・・・・・・・・・p8 spamからメールを守れ(管理者編) 第1回:イントロダクション - メールサーバ管理おさらい 第2回:sendmailにおけるタイムアウト値と リソースの設定 株式会社エヌ・ティ・ティ・ドコモ(NTTドコモ) 張った音楽祭をやってみよう。それも、世界に発信できるような質の高い公演をしよう。 おJEAG事務局 TEL: 03-5205-6452 送信ドメイン認証技術の導入を開始 クトラ」というオペラ公演で、実現することができた。素晴らしいオペラ公演となって、日頃、オ ペラに足を運ばない人たちからも、感動したとのメールを頂き、最初の一歩としては、良かっ IIJは、昨今問題が深刻化している迷惑メールへの対策の一環として、送信ドメイ 今回、IIJはIPアドレス型(Sender ID/SPF) と電子署名型(DomainKeys)の2つの ン認証を導入いたしました。さらに今後、IIJが提供している企業向けメールアウ 認証方式を複合した送信ドメイン認証を、自社に導入いたしました。 トソースサービスや個人向けメールサービスにも順次、導入してまいります。 カブドットコム証券 治るものではなくて、その度に苦労を重ねてしまう。われながら、呆れてはいるのだが。 安全・確実なオンライン証券取引を支えるIIJ∼ 毎年、たくさんの仲間が集まって、夜桜の会をやっているのだが、滅多に満開の桜の下での 酒宴にはならない。2月の初めに開花予想をたて、スケジュール決める。大方、予想は外れ、 葉桜の会だったり、蕾の会だったり、うまくいかないものだ。今年も、この寒さでは、蕾の会 になりそうな気配である。インターネットも、騒ぎの割には、まだまだ蕾のようなものだから、 (1) ドメインの 認 証 情 報を公 開 認証は、メール受信の際にそのメールの送信元サーバが適切であるかどうかを D N Sサーバ (iij.ad.jp) 認証する技術で、以下の方法により送信されたメールの正当性を確認します。 (1)メールの送信側はドメインの認証情報(メールを送出する公式なサーバの 情報や送信メールに添付する電子署名の公開鍵など) をDNSで公開する (2)受信側のメールサーバはメール受信時に送信側ドメインのDNSへ認証情報 を照会し受信したメールの情報と一致するかを検証する (2)認証情報を照会 送 信ドメイン 認 証 処 理 (3)検証結果 メール 送 信 者 xxx@iij.ad.jp メール 受 信 者 送 信メールサーバ (iij.ad.jp) 受 信メールサーバ この送信ドメイン認証は、昨今被害が拡大しているフィッシングなど、ドメイン 2005年度中には、IIJが提供している企業向けメールアウトソースサービスや個 名を詐称して送られてくる迷惑メールへの対策として非常に効果があります。 人向けメールサービスに順次、送信ドメイン認証を導入してまいります。 ちょうどいいよと、呟いてみるのだが、寒さに震えながら、妖艶な夜桜の風景を想像して、 ひたすら酒だけを呷るのは、やはり寂しいものである。とはいっても、毎年、春が来て、 桜が咲いて、人の気持ちを揺する季節がきて、忘れかけていた平安時代の歌などを思い 個人向けインターネットサービスIIJmioに迷惑メールフィルタ機能を追加 おこされることで、辛うじて歴史というものを実感するのかもしれない。 SLA遅延時間の実績 GLOBAL NETWORK・・・・・・・・・・・・・・・・p16 IIJバックボーンマップ ・送信ドメイン認証技術導入に向けた検証と評価 そんな思いが、ようやく 「東京のオペラの森」という形で、今年の3月に、R.シュトラウスの「エレ 人の情報を簡単に詐称できてしまうということが挙げられます。送信ドメイン Bフレッツ工事費無料キャンペーン 延長のお知らせ ・Outbound Port 25 Blocking導入の検討 KDDI株式会社(KDDI) れなりの覚悟がいるものである。誰もやらないから、やってしまうという私の性格は、なかなか AIR-EDGEスタートキャンペーン実施のお知らせ ・迷惑メール対策技術導入に向けた評価および検討 ・携帯宛迷惑メールの撲滅に向けた効果的な対策の実施検討 SOLUTIONS・ ・・・・・・・・・・・・・・・・・・・・・・p12 IIJ America「Optimal Network ソリューション セミナー」開催のお知らせ ■検討・実施を予定する具体的な対策例 株式会社インターネットイニシアティブ(IIJ) 迷惑メールが大量に配信されてしまう大きな原因の一つとして、メールの差出 IIJ迷惑メール対策ソリューション、 キャンペーン延長のお知らせ MirapointJapan、Yahoo! JAPAN、他 ・インターネット利用者、サービス提供者双方への迷惑メール対策の啓蒙 ■発起人 たと思っている。インターネットを始めた時も同じだが、何か新しいことを始めることは、そ INFORMATION・・・・・・・・・・・・・・・・・・・ ・p14 NTTPC、大塚商会、KDDI、JPCERT/CC、SENDMAIL、So-net、ソフト バンクBB、東芝ソリューション、@nifty、日本IBM、JPIX、日本オープンウェーブ スをかまえる企業が、負担にならない程度のお金を持ち寄って運営するような、地域に根を ∼ギガ回線を冗長化した超高速ネットワークで IIJは、2005年2月24日より個人向けインターネットサービスIIJmioに、迷惑 IIJmioの左記サービスにも、既に法人向けサービスおよびIIJ4Uで提供して メールフィルタ機能を追加いたしました。米国MX Logic社のフィルタリング いる迷惑メールフィルタ機能を追加、各サービスをご契約されたお客様に無 エンジンを利用した迷惑メールフィルタ機能により、お客様側で迷惑メール 料で提供いたします。 を受信することなく、サーバ側のごみ箱へ入れることが可能となります。 株式会社インターネットイニシアティブ 代表取締役社長 2 しています。JEAG参加メンバー各社では、今後もメールシステムの運用経験と いります。 バックボーンを増強 (MX Logic社 CTO Scott Chasin) 索し、合意が得られた技術やポリシーを実際に導入していくことを当初の目標と ノウハウを活かし、日本のメッセージング利用環境の向上に積極的に貢献してま 植樹は、その意味でも罪深い。 IRIコミュニケーションズ、IronPort、@NetHome、IIJ、NTT Com、NTTドコモ、 システムズ、ODN、NEC、日本HP、hi-ho、ぷらら、FreeBit、Vodafone、 JEAGは、業界全体で連携して迷惑メールに対処することを目的とし、議論や共 同作業を通して、迷惑メール対策における参加メンバー間の統一した方向性を模 SMF機能を有するルータソフトウェア 「SEIL Engine」を開発 ■設立メンバー(略称表記) 鈴木 幸一 ● II Jmi oセーフティメール I I J mio、迷 惑メールフィルタ対 応サービス IIJサポートセンター URL :h t t p : / / w w w . i i j m i o . j p / ● II Jmi oパーソナルドメイン T E L :0 3 - 5 2 0 5 - 4 4 3 3 (年中無休9:00∼19:00) ● II Jmi oプライムメール E-mail:i n f o @ i i j m i o . j p 3 SMF機能を有するルータソフトウェア「SEIL Engine」を開発 法的な努力、産業界の努力にもかかわらず、スパ ■ MX Logic 2004 spam Volume 世界中で急速に発展してきました。専門家の予 ムの数は、着々と増加しています。MX Logic 100% 測によると、2005年には、1日に送られるEメー Threat Center を経由するすべてのEメールの (*2) 80% ルが350億通を超え、そのうちの80%をスパム うち、2003年は平均43パーセント、2004年は平 60% (迷惑メール) が占めるであろう言われています(*1)。 均77パーセントがスパムでした。スパムを単な 40% Eメールは、最も広く使われているインターネット る迷惑メールに過ぎないと考えて対策を怠ると、 アプリケーションですが、Eメールシステムは、 従業員の生産性を低下させ、帯域コストとスト 安全なコミュニケーションメディアとして設計さ レージコストを増大させる結果となり、企業に れてはいません。その結果として、スパム、ワー とって経済的負担を招いてしまいます。Ferris (*1) ム、ウイルス、詐欺、フィッシング攻撃、その他 Research社の報告では、2005年、生産性の低下 (*2) の悪意のあるものを含めEメールの脅威が続出 とその他の費用を含めたスパムによる損失は、 し、Eメール量が爆発的に増加しました。 世界中の企業で500億ドルになると予測されてい Framework)」に対応した組み込みルータソフトウェア「SEIL Engine」を開発し、 ても最適です。SEIL Engineの提供により、SEILシリーズで実現されている豊 富で多彩な機能を、ルータ装置としてのSEILシリーズだけでなく「FutureNet センチュリー)が開発・販売している超小型アプライアンスサーバFutureNet MA-410」を始めとした、様々なハードウェアに搭載することが可能となります。 ※FutureNet MA-410-SEILの詳しい仕様およびご購入について ズ」として2005年3月15日より販売が開始されました。 SEIL EngineはIIJが開発・販売している新世代型高機能ルータ 「SEILシリーズ」 → センチュリー・システムズ株式会社 営業部 TEL:0 4 2 2 - 3 7 - 8 9 1 1 ※FutureNet MA-410-SEILのSMF対応は2005年5月を予定しています。 に搭載しているソフトウェアで、IIJがビジネスパートナー向けに組み込みソフト ウェアとしてライセンス供与を行なっています。ルータとしての基本機能はもち ろん、新世代の通信プロトコルIPv6にも対応、更にIIJが開発した世界初の ネットワークサービス・オペレーティングシステムSMF の「サービスアダプタ」 として動作するように設計されています。 の損失は、41ドルと予測されています(*3)。 70% 74% 75% 77% 75% 67% 67% 70% 米国ではメール流量のうち 平均77%がspamメール 0% Jan. Feb. March April May June July Aug. Sept. Oct. Nov. Dec. Ferris Research MX Logic 社内にあるEメール脅威監視センター。24時間 365日体制でスタッフが監視しており、世界中から集まる スパム情報やウイルス動向、アウトブレイク情報などを監 視し、MX Logic のフィルタリングエンジンへの素早い反 映を行う起点として活動している。 (*3) Ferris Research,“ The Global Economic Impact of spam, 2005,”February 2005. センチュリー・システムズ株式会社 センチュリー・システムズ株式会社は情報通信分野のベンチャー企業です。ハード ウェアとソフトウェアの両面から開発ソリューションを提供する通信システムの ODM開発に加え、通信プロトコル・ソフトおよびハードウェア技術をインテグレート して自社製品「FutureNet(フューチャーネット)シリーズ」によるビジネスを展開して 超小型サーバで、小型ながら400MHzの高性能プロセッサを採用し、ルータな います。 URL:http://www.centurysys.co.jp/ どの負荷の高い利用分野へも応用が可能です。小型・低消費電力も実現して 閉域ネットワークに対応したネットワークマネージメントシステムを開発 今回のSMF-LANシステムの提供開始に伴い、KVH株式会社が、イーサネット 一元管理(初期設定、設定更新および監視等) を可能とするシステム「SMF-LAN」 サービス「Ether-MAN」のオプションとして提供しているマネージド・サービス向 を開発 けに採用されます。SMF-LANの導入により、サービス開通プロセスの簡素化の しました。 (*1)特許申請中(申請番号2004-322198) 実現が見込まれています。 SMF-LANは、インターネット上で利用する従来のSMFの技術をベースに、広域 ■SMF-LANの基本機能 イーサネットサービス等の閉域ネットワーク上で利用可能なネットワークマネージ ・自動設定機能 CLOSE UP 新たなEメールの脅威から IIJは、広域イーサネットサービス等の閉域ネットワークに対応した、通信機器の し、新しいネットワークサービスプラットフォームとして提供を開始いた スパムは、最も顕著なEメールの脅威として急激 に表面化してきました。スパムを阻止するための FutureNet MA-410はセンチュリーが2004年1月に発表した手のひらサイズの (*1) ます。さらに、日本でのスパムによる一人当たり 77% 20% いるため、設置場所を選ばず、インターネットマンション等のインフラ設備とし ライセンス供与を開始いたしました。センチュリー・システムズ株式会社(以下、 92% 93% 84% IIJは、ネットワークサービス・オペレーティングシステム「SMF(SEIL Management MA-410へ搭載され、ルータアプライアンス「FutureNet MA-410-SEILシリー Scott Chasin Chief Technology Officer メールシステムを守る MX Logic, Inc. 新たなEメールの脅威 メントシステムとして開発されました。広域イーサネットサービス等を提供する ルータ (IIJが独自に開発した「SEILシリーズ」) をLANに接続すると、機器自体 通信事業者がSMF-LANをサービスプラットフォームとして利用することで、宅 が自律的に設定ファイルを読み込み、自動的に設定が完了します。ルータを直 内ルータを管理するサービスの提供にかかるコスト、および広域イーサネット 接操作して設定作業をする必要がありません。 しかし、スパムは、メールシステムに大きな打撃 ゾンビPCのネットワークが増殖を続け、さらに高 が 感 染し 、発 生 から 1 年 後 に は 、5 0 以 上 の 上でWANを構築しているエンドユーザのネットワーク管理コストを大幅に削減 ・差分設定配信、機能配信(プッシュ型配信)機能 を与える多数のEメール脅威のひとつに過ぎませ 度化すると、スパム送信者、詐欺師、ワーム作成 M y D o o m ワーム の 亜 種 が 存 在してい たと M X 各種設定を保持するLAN管理サーバから、設定や機能を任意のタイミングで対 ん。 2005年にはどんな問題が予想され、この一 者たちは、乗っ取ったPCの大群に手軽にアクセ Logic Threat Centerは報告しています。 象機器(ルータ)へ配信します。 連の脅威から、企業はどうやってメールシステム スして、迷惑メールや悪意のあるEメールを発信 を守ることができるのでしょうか? することができます。MX Logic Threat Centerは、 MyDoomが呼び出す主要な攻撃に、sco.comド 2005年1月中にゾンビPCを経由して送信された メインに対する分散サービス拒否攻撃(DDoS)が MX Logic社は、多くの新しい脅威を確認しました。 スパムは、平均するとすべてのスパムの51%を あります。MyDoom に 感 染したシステムは 、 当社が脅威と考えているものは、今後数ヶ月で 占めると報告しています。 sco.comサイトに対して1秒間に64回のリクエス することが可能となります。 また、SMF-LANシステム内の機器間の通信にIPv6を用いることにより、お客様 の既存のIPv4ネットワークには影響を与えることなく、通信機器の一元管理を可 ・代理監視通知機能 各ルータを監視システムの代理で監視し、結果を特定の監視サーバへ通知します。 能としています。 MFEED、Euro-IXに加盟 下記の通り、バックボーンを増強いたしました。 のインターネット相互接続サービス事業者団体であるEuropean Internet ※最新のバックボーン情報は http://www.iij.ad.jp/network/をご覧ください。 Exchange Association(Euro-IX)のAssociate Member(準会員) として認められ が初めてとなります。 Euro-IX 東京 有明 − − 東京第1DC 埼玉第1DC 千葉 2月 8日 増速 千葉 − − 東京 有明 新設 廃止 東京第1DC Euro-IXとは、欧州におけるインターネット相互接続事業者が、技術標準や運用に関する情 2月1 8日 新 設 有 明 − − トを送りつけることができたと報告されていま 一般的になってくるでしょう。 バックボーンを増強 インターネットマルチフィード株式会社(以下、MFEED)はこの度、ヨーロッパ ました。ヨーロッパ以外の IX 事業者で Euro-IX への加盟が認められたのはこれ STM-4(600Mbps) STM-4(600Mbps) STM-1(150Mbps) → STM-4(600Mbps) STM-1(150Mbps) → STM-4(600Mbps) 埼玉第1DC IIJ L.A. S T M - 4( 6 0 0 M b p s ) STM-16 (2.4Gbps) 1.レンタルゾンビPCの増加 2005年、拡大した多数の分散ゾンビネットワー す。MyDoomに感染した何万台という多数のコ クが、スパム送信者によって構築され、貸し出 ン ピュータを 利 用した D D o S 攻 撃 に よって、 されるようになり、スパム送信能力を大幅に増 sco.comのWebサイトは数日間停止させられました。 スパム送信者がブロードバンドで”常時接続”さ 強するためのインフラを提供することになるで れたPCにトロイの木馬スパムをインストールし しょう。 ターゲットとしてきました。2005年、新しい手法は、 て乗っ取ってしまう、いわゆるゾンビPCが放置 されています。ひとたび感染すると、ワーム作成 今まで、サービス拒否攻撃は、主にWebサイトを 2.分散サービス拒否攻撃(DDoS)の新手法 SMTPメールシステムに大量の情報を送りつける ことを狙ったもので、Eメールネットワークを危険 者は、これらのゾンビPCを利用して、リモート操 作でスパムを配信できるようになります。さらに、 2004年、Eメール利用者は、史上最速のスピード にさらすような大規模なサービス拒否攻撃をもた 業界団体です。 2005年1月末現在で、約20カ国のヨーロッパ各国から32のIX事業者が会員 迷惑メールを送りつけ、サービス拒否攻撃(DoS) で増殖した悪名高いMyDoom ワームなど、多数 らします。もし“メール爆弾” の標的となり、短期 として加盟しています。 を引き起こすゾンビPCをたくさん作成すること のEメールワームの危険にさらされていました。 間に何十万通ものEメールを送りつけられたら、 ができます。 MyDoom発生のピーク時、Eメールの6通に1通 メールサーバはすぐにダウンしてしまうでしょう。 報等を交換し合い、お互いのIXサービスの向上に努めるために、2001年5月に結成された 4 Eメールは、ビジネスに必要不可欠なものとして、 U R L:h t t p : / / w w w . e u r o - i x . n e t / 5 3.経済的利益を求めないスパムの増加 CLOSE UP 新たなEメールの 脅威から メールシステムを守る は、ユーザが本物のサイトにアクセスしようとし たときに、故意に偽のWebサイトへリダイレクト 新たな脅威からメールシステムを守る Eメールは、1対多のコミュニケーションメディア させてしまうという点が、 “フィッシング” 攻撃と として、政治団体にとって、さらにテロリストグルー は異なります。それに比べて、 “フィッシング” 攻 ますます増加するEメールの脅威に対して、企業 様々なEメールから生じる脅威を考慮すると、企 プにとっても、彼らの声明を広めるための低価格 撃は、おとりとして未承諾広告メールを使ったり、 のメールシステムを守る最善の方法は何でしょう 業のネットワークは広範囲の防衛が必要です。専 なメガホンの役割を果たしています。米国など一 違う人物になりすまして被害者をなりすましサイ か?最善のEメールセキュリティは、多様な防衛 門家は、最も効果的なEメールセキュリティソリ 部の国々の商品やサービスを宣伝する未承諾広 トへ誘導したりします。 技術で、しかも徹底的な防御を図るソリューショ ューションとして、階層化アプローチを推薦して ンによって提供されます。 います。階層化ソリューションは、広範囲なEメ 告メールとは違って、政治的、宗教的な迷惑メー ルは、米国アンチスパム法で規制されません。 フィッシング攻撃をする人達は、ユーザを偽の ールとネットワークのセキュリティに対して、複数 Webサイトへリダイレクトさせたり、口座番号 ホームセキュリティのように、Eメールセキュリティ の防衛レベルを組み合わせるものであり、ICSA 2004年6月、MX Logic社は、ゾンビネットワークが やほかの個人的な金融情報を入力させたりして、 にもさまざまなレベルの防衛があります。ドアと とInternet Security Alliance (ISA)から推奨され 初めて政治的なスパムをバラまくために用いられ フィッシング攻撃を始めるために、事前にトロイの 窓に標準的な鍵を取り付ける家は、ある程度の ています。 たのを確認しました.そのEメールは、すべてドイ 木馬ウイルスやその他の悪意のあるソフトウェア セキュリティを確保できますが、さらにアラーム ツ語で書かれ、トルコのEU加盟の可能性とドイツ を利用します。ここ数ヶ月間では、知らないうちに システム、行動探知機、屋外ビデオカメラを設置 Osterman Research社は、 「悪意のあるソフト Chief Technology Officer 国内のトルコ人の存在を非難するタイトルとWeb PCにインストールされ、個人的な金融情報を取得 することにより防衛力をさらに高め、不法侵入に ウェアの製作者に対抗し、企業のメールシステム MX Logic, Inc. ページへのURLが含まれていました。タイトルに してしまう悪意のあるソフトウェアについての報告 対するリスクを限定することができます。しかし、 への危害を予防する能力を高いレベルに維持す は、次のようなものが含まれていました。 もあります。たとえば2月には、パスワードを盗むト 最高レベルのセキュリティは、家そのものを超え るために、さまざまな検出技術と遮断技術を組み ロイの木馬型ウイルスTroj/BankAsh-Aが出現し たさらに上の十分な防衛、つまり、その地域の境 合わせる多重防衛を利用することが重要です」と ました。Troj/BankAsh-A は、ユーザのインター 界を往来する人を監視するガードゲートです。こ 述べています(*5)。さらに、Eメールの脅威に対す ネットアクセスをひそかに監視し、特定の銀行や の解決策によって、家と敷地内のセキュリティシス る最善の防衛策は、最新のフィルタリング技術を 金融機関のWebサイトにアクセスすると、ユーザ テムから不審な訪問者を遠ざけることができます。 迅速に取り入れ、最新の防御ができるようにする Scott Chasin “Let’ s do more for foreigners than for Germans!” (” ドイツ人より外国人に貢献しよう!”) “Violence by foreigners: Mr. Rau (President of the German Bundestag), where were you?” (”外国人による暴力。Rau氏[ドイツ連邦議会 議長]よ、どこにいたんだ?”) “Open your eyes (This is reality!)” (“目を開けろ(これは現実だ!)”) 国内政治団体やアルカイダ支部のような外国団 名とパスワード情報を盗むために、偽のログイン ことです。広範囲なEメール防衛ソリューションを ページを表示したり、キーボードからの入力を記 インターネット境界でのEメールセキュリティサー 録したりします。 ビスによって、企業は、二つの大きな利益を得る Troj/BankAsh-Aの標的となった金融機関のWeb ことができます。第一に、企業のネットワークの 活用すべきです。 (*5) Osterman Research, “The Advantages of Using a Managed Service Provider to Protect Your Messaging サイトには、Barclays、Cahoot、Halifax、HSBC、 外側で Eメールをフィルタにかけることで、ファ Lloyds TSB、Nationwide、NatWest、Smileなど イアウォールを通過する前に ウイルス、スパム、 があります。また、このトロイの木馬ウイルスは、 不要なコンテンツを削除したり、遮断したりする 最後に、おそらく最も重要であるけれども見落と Microsoft社の AntiSpywareプログラムを終了さ ことができます。第二に、自社のシステム内に同 されているEメール防衛手段は、エンドユーザ教 せようとします。 様のセキュリティサービスを維持するよりもかな 育です。企業は、Eメールに対するポリシーを策 体からのEメールによる宣伝は、頻度を増し、よ System,”October 2004. り安価です。最終的に、インターネット境界での 定し、強制的に実施させ、エンドユーザがEメー り大胆になるでしょう。そして、ゾンビ PCの増殖 トロイの木馬ウイルスや悪意のあるソフトウェア Eメール防衛 は、自社内にシステムを持つソリュー ルの脅威に気づくような手段を講じるべきです。 が予想されるとともに、政治的なスパム作成者 の利用に加えて、 知識のあるオンライン犯罪者は、 ションより低価格で、より高いEメールセキュリ は、自分たちの主張を広めるために、ゾンビPC を利用してネットワークを拡大していくでしょう。 “ファーミング”攻撃を開始するためにDNSキャッ ティオプションを提供します。 ※本原稿は、MX Logic社 CTO Scott Chasin氏の英文原稿 を、IIJ内で翻訳し、掲載したものです。 シュポイズニングを利用します。 “ファーミング” 攻撃は、あらゆるブラウザの"アドレス"フィールド 4.フィッシング攻撃 と洗練された攻撃の増加 の信頼性を低下させます。ローカルアプリケーショ ンとDNSキャッシュポイズニング技術によって、 Gartner社は、2004年3月までの12ヶ月間で、 Webアドレスを偽装サイトへリダイレクトさせるの 5700万人の米国の成人が “フィッシング” 攻撃 で、エンドユーザは、不当にリダイレクトされてい メールを受信していると推定しています(*4)。しか ることを知る術がありません。Eメールの"From” し、Eメールを介して始まる “フィッシング” 攻 部分を信用できないのと同様に、Webブラウザの 撃は、インターネット基盤の脆弱性を絶え間なく アドレスバーを信用してはいけません。 攻撃するオンライン詐欺産業の始まりに過ぎま Scott Chasinは、MX Logic社のChief Technology Officerです。MX Logic社は、Eメールセキュ リティ・ソリューションのリーディングカンパニーとして、一般企業、サービスプロバイダ、 政府機関、販売代理店とその顧客に対して、Eメールの保護とセキュリティを確保する革新的なソ リューションを提供しています。彼は、メールサービス業界の先駆者として広く知られ、ほかに先 駆けて、インターネットメッセージとコラボレーション技術の開発と販売活動を行ってきました。 また、初めてWebベースのEメールサービスを開始したことでも高い評価を得ており、世界中の せん。フィッシング攻撃が進化するにつれて、エ フィッシング攻撃とオンラインIDの盗用を防ぐ対応策 何千もの企業と何百万人ものエンドユーザをサポートするIPベースの商用ホストメッセージサー ンドユーザは、Eメール中に存在するなりすまし として、金融機関は、二つ以上の手段による認証 ビスを実現しました。さらに、はじめて完全に情報を公開したセキュリティに関するメーリングリス サイトへのリンクをクリックすることを要求されな トークンとスマートカードへ移行していくでしょう。つ ト Bugtraq を立ち上げ、管理している他、初めてのオープンソースのワンタイムパスワードシス くなります。その代わりに、詐欺師は、悪意のあ まり、ユーザは、オンラインで金融取引を行うために、 テムS/Key作成の重要な貢献者でもあります。 るWebサイトへのリダイレクションを使い、被害 トークンとともにパスワードやスマートカードを要求さ 者が普通に目的のサイトを訪れようとすると、詐 れるのです。2004年12月、米国連邦預金保険公社 MX Logic社以前、Scott Chasinは、USA.NET 社で、Chief Technology Officer とChief 欺用の偽造サイトへ誘導するのです。新たなオン (FDIC) は金融機関に対して現行のパスワードベース Visionaryを務めていました。USA.NET社の技術と戦略の立役者であるScott Chasinは、Eメー の単一手段による認証システムから二つ以上の手段 ルと最先端のメッセージサービスの代表的なプロバイダとしてUSA.NETを設立するのに尽力しま Gartner FirstTake, “Phishing Attack Victims Likely による認証システムへセキュリティを向上することを求 した。それ以前は、最初の情報セキュリティコンサルティング会社のひとつであるComsec Data Targets for Identity Theft,”Avivah Litan, 4 May 2004 めました。現在多くの消費者が、銀行との取引に Security社を創設し、コンピュータセキュリティ分野におけるパイオニアとして早期から取り組みを このような認証システムを利用しています。つまり 行っていました。 ライン詐欺技術“ファーミング”の誕生です。 (*4) わかりやすく説明すると、“ファーミング” 攻撃 6 著者紹介 キャッシュカード(+暗証番号) という仕組みです。 7 m a sp からメールを守れ(管理者編) 第1回:イントロダクション - メールサーバ管理おさらい spamやウイルスによる迷惑メールの氾濫で、 対策に追われて寝不足の毎日を送る管理者も これらのメール配信プログラムの台頭に刺激さ れ、sendmailもここ最近は精力的にバージョン 「メールサーバ」とは? 「IMAPサーバ」のこと。メールボックスからメールを 外のメール送信はすべて拒否する、という設定 日本では、WIDE Project/京都大学の中村素 取り出し、POPやIMAPなどのプロトコルでMUAに である。ユーザの認証には、たとえば「SMTP 典さん が 作 成した「 C F 」というs e n d m a i l . c f AUTH」を利用する。 生 成 ツ ー ル が 広 く使 わ れて い た 。 現 在 の メールを渡す。 多いことだろう。メールサーバ管理者の責任は アップされている。これまではsetuid rootでの サーバ管理者が管理する「メールサーバ」とは 重い。メールを遅延なく、1通も失うことなく確 動作が必須であったため、これがセキュリティ どういったものなのか。一口にメールサーバと メールボックスの形式はMTAには依存せず、 実に受け取りユーザのメールボックスへ配送 上の大きな欠点と言われてきた。しかし、最新 言っても、その機能は多岐にわたり、さまざまな MDAとMRAに依存する。 「sendmailは『mbox それぞれのルールはそれほど複雑なものでは うm4ベースのsendmail.cf生成ツールが機能 する。ユーザが送信したメールを確実に外部 版ではこれが解決されている。 「SMTP AUTH」 プログラムが組み合わさって構成されている。 形式』 しかサポートしていない、qmailやPostfix ないが、もしこれを1つのMTAで実現しようと 的にも充実しているため、CFはもうその役割 のサーバへ配送する。さらに最近は、ユーザ や「TLS」などの新機能への対応、さらに本連 用語の確認の意味もこめて、ここで整理してみる。 のように『Maildir形式』は使えないのか?」と すると、とたんに設定が複雑になる。MTAと を終えたといっていいだろう。 からは「迷惑メールをなんとかしてくれ!」と言 載で取り上げていくspam対策用に各種のパ 聞かれることがあるがこれは可能である。ほと MSAが機能的に分離していれば、それぞれに われ、サーバは多量のspamやウイルスで過負 ラメータが調整可能になるなど、時代の流れに 送信されたメールが受信者のメールボックスに んどのMTAでは、MDAを取り換えることによっ 対して適切にアクセスを制御できるというわけだ。 荷になる。万一、自分の管理するサーバから 迅速に対応し、 “シェアNo.1 のメール配送プロ 配送され、そのメールが受信者により読まれる て各種のメールボックス形式がサポートできる。 spamが送信されてしまったら、対応におおわ グラム”としての面目躍如(めんもくやくじょ) までのメールの流れを図にすると図1のように 現に筆者の環境では、MDAとしてmaildropを、 最 近 で は M S A は 2 5 番 ポ ート で は な く 、 本(*1)を思い浮かべる人が多いだろう。日本 らわである。 の感がある。 なる。 MRAとしてsolidpop3dを使い、sendmailでも Message Submission(RFC2476)用に定義 語版は2分冊になっていることもあり、その分 Maildir形式のメールボックスを利用している。 された587番ポートを利用することが多くなっ 量には圧倒されるが、コウモリ本をすみからす この連載では、IIJのメールサーバ群を設計、 これらメール配信プログラムのうち、sendmail もちろん、MDAとMRAの間でメールボックス てきている。Message Submissionは利用す みまで読まなくてもsendmail の管理はできる。 形式を一致させる必要がある。 るポートは異なるが、プロトコルはSMTPその もちろんsendmailを運用している管理者であ ものである。ポートを分けることにより、1台 れば、何か困ったことがあった時に辞書的に のサーバでMTAとMSAの機能が分離できると 引くために持っておくことを推奨する。また、 いうわけだ。 時間がある時に気になった項目を読み込んで MSA MUA MTA 25/587 SMTP MTA MUA 構築し、さらにspamと闘いながら運用管理し ている筆者たちが、そのspam対策のノウハウ をご紹介し、少しでもメールサーバ管理者の寝 不足解消のお手伝いができればと思っている。 に追加されており基本的な運用に困ることは ない。 mbox形式 MRA maildir形式 (図1)メールの流れ ●MUA (Mail sendmail関連の書籍と言えば、通称「コウモ リ本」と呼ばれている、オライリーのsendmail メールボックス POP/MAP とPostfixは、現在でも十分にメンテナンスが 行われている。そのため、必要な機能が本体 MDA 25 SMTP sendmailでは、標準で付属している「cf」とい User Agent) メールを読み書きするためのプログラム。一般に MTAとMSAの分離 MSAとMTAは概念上の区別だけではなく、分 「メールリーダ」や「メーラ」と呼ばれることが多い。 すでに、ユーザ編を読んでいる読者も多いと思 MUAはメールサーバの構成要素ではなく、クライア うが、ユーザ編ではエンドユーザが自分ででき しかしqmailは、注意が必要だ。セキュリティ るspam対策を解説するのに対し、管理者編で ホールがほとんど発見されなかったこともあ はサーバ側でのspam対策について解説する。 り、作者によるメンテナンスが行われなくなっ てから長い年月がたっているためだ。さらに、 離して設定することにも利点がある。それは、 みると、存在すら知らなかった多くの機能やパ メールサーバのリレー設定が単純明快になり、 MTAとMSAを分離し、それぞれに対し必要最 ポリシーを正しく実装するのが容易になるとい 小限のリレーを許可するように設定すること うことだ。 で、運用しているサーバがオープンリレーと コウモリ本も必要ではあるが、私が第一にお 一般にMTAとMSAでは、メールを受け取り次 なってしまう危険性を回避することが可能に 勧めしたいのは、同じくオライリーから発行さ に中継するための条件は異なることが多い。 なる。また、MTAとMSAではサーバのチュー れている「sendmailクックブック ―設定と運 ポートを用いることも多くなってきている。 MSAでは、宛先にかかわらず特定の送信者か ニングのポイントも異なってくる。 用のためのレシピ集」だ。この本はおおよそ通 また、MSAは外界にメールを中継するリレーサーバ らのメールのみを受け取り中継する。MTAに ント側で動くプログラムである。 ●MSA (Message Submission Agent) MUAがメール送信のために接続するプログラム。こ れまでは、MTAとMSAは厳密に区別されてこなかっ ラメータを発見できるかもしれない。 たが、現在では分離して考えることが多い。また25 第1回の今回は、本連載を読み進めるにあたっ 配布ポリシーとして独自に改変を加えたソース て前提になる知識をおさらいする。 コードの配布を禁じている。そのため、現在 のメールサーバの運用に必要な機能の多くは、 対象とするメール配送プログラム サードパーティのパッチという形でしか存在し 番ポートでなく、submission用に定義された587番 であるから、何らかの形で認証が必要になる。認証 なしでメールが送れてしまうと、そのサーバはいわゆ インターネットでもっともポピュラーなメール ないのだ。 配送プログラムは、 「sendmail」であろう。イン して代表的なものに、 「POP b e f o r e S M T P 」や ターネットの初期のころから使われ、さらに商用 qmailやPostfixの設定について解説してほしい 「 SMTP AUTH」がある。 とフリーを問わず、多くのUNIX系のOSで標準 という読者もいるかもしれないが、管理者編 ●MTA (Mail のメール配送プログラムとして採用されてきた。 の執筆者が日々管理しているMTAはsendmail だ。ほかのMTAについては、 “触れたことがあ 8 るオープンリレーということになってしまう。認証と しかし、過去に多くのセキュリティホールが発見 る程度”なので、今回の連載ではsendmailで されてきたことや、 「sendmail.cf」という設定 の設定を解説していく。 他のホストにメールを配送したり、ローカル配信のた めにMDAにメールを引き渡すといった処理を実行す るプログラム。メール配送の中心的な役割を果たす。 Delivery Agent) をどのように設定すればよいか、わかりやすく メールを受け取り中継したり、特定のホストか 次回以降は、おもにMTAとしてのsendmailで 解説している。生のsendmail.cfが読める必要 らのメールを無条件に中継したりとさまざまな のspam対策を中心に扱っていく。 はまったくない。ぜひ、そばに置いておいて連 形態がある。 s e n d m a i l の 設 定 や チューニン グというと、 載を読み進める際に参照して頂けると、理解 sendmail.cfと格闘しなければいけないという が深まるだろう。 Transfer Agent) SMTPでメールを受け取り、必要に応じてSMTPで ●MDA (Mail は 、送 信 者 に か か わらず 特 定 の 受 信 者 宛 の 常のメールサーバの構成で必要とされる機能 この連載を読み進むにあたって 具体例をあげてみよう。 思いで、頭が痛くなってくる人がいるかもしれ example.jpのMXレコードが向いているMTA ない。確かに、sendmail.cfの文法は難解であ で必要な設定は、送信元のドメインやIPアドレ るが、メールサーバの管理をする上で、直接 スにかかわらず、example.jp宛のメールであれ sendmail.cfを読んで理解することや、テキスト (*1)sendmail 第3版 VOLUME1 運用編 sendmail 第3版 VOLUME2 設定編 山本功司(やまもとこうじ) ファイル の 難 解さが 非 難 の 対 象 になることも MTAからメールを受け取り、ユーザのメールボック ば受け取り、それ以外のメールははじく、とい エディタでsendmail.cfを直接編集する必要は あった。そのようなsendmailを置き換えるもの しかし、メールサーバ管理者としてspamと闘 スにメールを配信するプログラム。sendmail環境で う設定である。 ほとんどない。C言語を扱うプログラマが、コ 株式会社インターネットイニシアティブ として「qmail」や「Postfix」などのメール配送プ っていくためには、MTAのどのような機能が必 example.jpのユーザが利用するMSAで必要な ンパイラの生成するバイナリ (あるいはマシン システム技術部 課長 ログラムが登場した。これらは、シンプルな設 要なのか、どのようなパラメータをチューニン 設定は、宛先にかかわらず、example.comの 語)を直接読むことはまれであり、またそのよ 定とsendmailを凌駕するパフォーマンスをうた グすべきなのか、という観点ではほかのMTA MUAがメールボックスからメールを受信する際に接 ユーザからの発信であると認証された場合の うなスキルがないとプログラムを作成できない い、シェアを伸ばしている。 を使っている管理者にも参考になるはずだ。 続 するプ ログラム 。い わ ゆ る、 「 P O P サ ー バ 」や みメールを受け取りMTAに引き渡し、それ以 わけではないのと同じことだ。 は「 m a i l . l o c a l 」が 一 般 的 だ が、 「 p r o c m a i l 」や 「maildrop」などの高機能なMDAもある。 ●MRA (Mail Retrieval Agent) ◎所出 :RBB TODAY(http://www.rbbtoday.com/) 2005年2月21日 ※メールアドレスおよび電話番号には架空のものがあります。 9 m a sp からメールを守れ(管理者編) 第2回:sendmailにおけるタイムアウト値とリソースの設定 最近では、サーバとクライアントの処理能力を なお推奨値は、RFC 2821に該当する項目が リソースの制限 比較するとほとんど差がなくなってきたり、最 ある場合は、その最小値を考慮して記載して 大100MbpsのFTTHが安価に手に入るように いる。この値より小さい値も設定できるが、ほ 最近はメールの流量増加に伴い、サーバに求め なった。そのため、適切に設定されていない かのMTAとの相互運用性を保つため極力RFC られる処理能力も大きくなっている。そのため、 サーバは、悪意ある1台のクライアントにより、 の制約には従うべきだ。 複数のMXレコードやAレコードを記述すること 処理能力を使いきられてしまう可能性がある。 ・confTO_COMMAND(Timeout.command) クライアントからSMTPコマンドを受信するまでの このような事態を防ぐためには、タイムアウト 待ち時間。何かしらの入力を受信すればこのタイ 値を調整したりリソースを制限したりといった マーは初期化される。この値は、セッション全体の 対策が必要だ。そこで今回は、以下の点につ 待ち時間ではないことに注意したい。この条件で で、クライアントから受け付ける接続を分散さ ライアントへエラーメッセージは送信されない。 1.タイムアウト値の調整 ・confTO_DATABLOCK(Timeout.datablock) 2.リソースの制限 クライアントからDATAコマンドが発行されると、 サーバはメール本文の受信を開始する。この値は こ の コ ラ ム で 解 説 して い る 機 能 は す べ て クライアントからの送信が途切れた場合にサーバが sendmailに付属している「m4マクロ」による設 待つ時間となる。この条件で制限時間を超過した場 定生成ツールで使用できる。それぞれ説明す 合以下のメッセージをサーバから受け取る。 る変数名は、m4マクロで用いる名称で記述。 451 4.4.1 timeout waiting for input during ない機能もあるため、この場合のみcfファイル における変数名も併記する。なお、詳細を知 りたい場合は、sendmailソース展開ディレクト リ以下のcf/READMEを読むとよいだろう。 R F C 1 4 1 3 で 定 めら れ て い る「 I d e n t i f i c a t i o n Protocol(ident)」を用いたリレー元ユーザの確認に おける待ち時間である。しかし、今となってはほとん タイムアウト値の調整 な待ち時間が発生するため無効にする方がよい。 アウト値が変更できるが、これらはsendmailが サーバ(ほかのホストから接続を受ける) として 動作する場合と、クライアント(ほかのホスト へ接続を発行する) として動作する場合で用い る変数名が異なる。初期値は制限が緩いため、 無駄なリソースを占有されないように適切に設 推奨する変数名とその値を示す。各変数名の 10 cfの変数名 初期値 推奨値 confTO_COMMAND Timeout.command 1h(1時間) 5m(5分)以上 confTO_DATABLOCK Timeout.datablock 1h(1時間) 5m(5分)以上 confTO_IDENT Timeout.ident 5s(5秒) 0s(無効化) confTO_RESOLVER_RETRANS Timeout.resolver.retrans OSによる 1s(1秒) から 10s(10秒)程度 confTO_RESOLVER_RETRY 1(1回) から 3(3回)程度 Timeout.resolver.retry OSによる なコンフィグの代名詞として扱われがちであ 備えとしてこの機能を用いると良いだろう。 ・conncontrol これ は バ ージョン 8 . 1 3 系 より 使 用 できる 機 能 。 る。しかし最近のバージョンでは、多くの機能 ・confMAX_MESSAGE_SIZE が標準状態で利用できる状態であるため特殊 過した場合、通常はMAIL FROMコマンドを受け取 拡張機能に関する記述はRFC 1870に定められて けで設定できる。もちろんcfを直接書き換える のサーバと情報を共有する術を持っていないた ったのちエラーを返すが、delay_checksと併せて いる。クライアントからのEHLOコマンドに対する ことでも同様のことは可能であるが、保守性な 用いることにより接続を受けた時点でエラーを返 応 答として 受 付 可 能 なバイト数を宣 言 すると同 時 し、サーバ側からの強制切断も可能になる。 に、MAIL FROMコマンドにおけるSIZE変数の宣 め、複数台のサーバで処理を分散していたとし ても各サーバは独立して動くことになる。今回 どを考慮した場合ベースとなるm4マクロの定 義ファイルを用意し、それを元に各種設定を 言を受け付けるようになる。クライアントがこの拡 は詳細を省くが、この問題に対する解決として 以下に制限を超過したセッションの例を示す。なお、 張機能に対応している場合は無駄にメール本文を Milterなどを用いることにより、異なるサーバ間 緑の文字で記載しているのはサーバから受け取る 送信しなくともエラーとして認識できる。運用ポリシー 文字列で、下線の文字はクライアントから受け取る として制限をかけられない場合は仕方ないが、初期 文字列としている。 値は制限がないため1Gバイトを越えるような巨大 で起動しているsendmailプログラムの情報共 な機能を利用しない限りm4マクロを用いるだ 有や、標準にない機能の拡張も可能になる。 加えていく方法をおすすめする。 m4マクロ定義サンプル 表1に今回述べた設定を列挙したm4マクロの定 なメールも受け付けてしまうことに注意したい。 conncontrol のみ場合 今回解説する対策は、すべてサーバごとに独 立していることを前提にしている。それぞれの もコストに見合う処理能力は得られないため、 構成要素になるサーバごとの対策も実施すべ きである。 220 mx.example.com ESMTP Sendmail 略してあるため、この設定のみでは有効な設定 HELO relay.example.org 250 mx.example.com Hello relay.example.org[x.x.x.x] MAIL FROM: <user@example.org> ファイルを生成できない。実際に使用する際に 今回はタイムアウト値とリソースの制限に着目 は 環 境 に 合 わ せ た OSTYPE 、DOMAIN 、 して解説してきた。spamに対する手段として 421 4.3.2 Too many open connections. 接続は維持される。 MAILERなどの定義を追加する必要がある。 graylistingなどもあるが、この手法はクライア ントによるメールの再送間隔に依存した対策と delay_checks + conncontrol の場合 421 4.3.2 Too many open connections. ・nocanonify 義とその意味を示す。環境に依存する部分は省 まとめ サーバから接続が切断される。 処理すべきメールアドレスのドメインパートがCNAME ・ratecontrol 小林 直(こばやし ただし) なっている。そのため、業務で使用するメール を処理するサーバでこのような手法を用いる と、顧客からの重要なメールが受信できない可 株式会社インターネットイニシアティブ 能性がある。この理由により大量のアクセスが システム技術部 1 つ の I P アド レ ス に 対 して 単 位 時 間 あ た ● d n lタイムアウト値 CNAMEは用いるべきではないが、実際には、多く り の 接 続 数 を 制 限 できる 。 単 位 時 間 は 、 m4マクロの定義 意味 DNSサーバへの問い合わせにおける待ち時間であ confCONNECTION_RATE_WINDOW_SIZE コマンド入 力 の 待ち時 間を5 分 に 設 定 る。設定した時間を超過すると、再度DNSサーバに のケースで使用されている。インターネットへメール define(`confTO_COMMAND',`5m')dnl ( C o n n e c t i o n R a t e W i n d o w S i z e )で 設 定 する 。 define(`confTO_DATABLOCK',`5m')dnl 5 分 以 上 本 文 の 受 信 が 途 切れた 場 合エラーにする 問い合わせを行う。問い合わせるDNSサーバがネッ を送信するサーバでこの設定を用いるのは好ましくな トワーク的に遠い場所にある場合は、この値を短く いが、メールを受信するサーバではDNSサーバへの こ れ 以 外 は 、c o n n c o n t r o l と よく 似 て お り、 しすぎると再送が多発するため注意が必要である。 問い合わせ抑制のため設定するのも良いだろう。 delay_checksと併せて用いることにより接続を受 (Timeout.resolver.retrans) けた時点でエラーを返し、サーバからの強制切断も 名前解決のための問い合わせがボトルネックになる ・confTO_RESOLVER_RETRY (Timeout.resolver.retry) 数。confTO_RESOLVER_RETRANSで設定した m4マクロの変数名 sendmailにおけるcfファイルといえば、難解 の処理を抑止するものだ。本来、ドメインパートに ・confTO_RESOLVER_RETRANS DNSサーバへの問い合わせにおけるリトライの回 詳細については以下に述べる。 conncontrolで実施し、バースト的な接続に対する この機能もバージョン8.13系より使用できる。 を稼働させそれを利用させるのも良いだろう。 以下にサーバとして動作させる場合に変更を 阻止するためである。 て得られた回答を元に正規化する。この設定は、そ 場合は、同一サーバ上でキャッシュ用のDNSサーバ 定してほしい。 た め 細 か な 接 続 受 付 制 限 は 、r a t e c o n t r o l や 場合もあるだろう。sendmailは標準では、ほか である場合、sendmailはDNSサーバに問い合わせ s e n d m a i l では 設 定 ファイル で 多くの タイム サーバを作ることを念頭において解説してきた。 した接続に対して、効率良い有効アドレスの収集を 受け付けるメール本文の大きさが制限できる。この ど使用されていない。また、問い合わせ先がTCP ポート113への接続をフィルタしている場合は、無駄 ロセス全体で処理する接続受付数が対象だ。その 時に接続可能な数を制限できる。この制限値を超 せ、各サーバに掛かる負荷の軽減を図っている サーバを適切に設定せず、台数のみを増やして ・confTO_IDENT(Timeout.ident) 来 たとしても、それに 耐えうる“ 打 たれ 強 い ” スティングアタックなどユーザの存在確認を目的と (MaxMessageSize) message collect 数値の変更のみで、ルールの追加を必要とし ratecontrolやconncontrolとは異なり、sendmailプ access_dbを用いて1つのIPアドレスに対して、同 制限時間を超えた場合は接続を切断するため、ク いて解説する。 となった場合、応答を遅延させる。これは、ハーベ 時間以内に回答が得られない場合、この値の回数だ たとえば、以下のようなDNSレコードが定義されて foo.example.com IN CNAME bar.example.com bar.example.com IN A xx.yy.zz.xx この場合 user@foo.example.com のアドレスは以 はキャッシュされないため、過剰な再送は参照してい るDNSサーバの負荷になる点にも注意したい。 この場合にクライアントが受け取るエラーは以下の ようになる。 421 4.3.2 Connection rate limit exceeded. 下のようになる。 nocanonify有り user@foo.example.com (変化無し) nocanonify無し user@bar.example.com (CNAMEが展開される) けリトライを行う。相手側のDNSサーバが適切に設 定されておらずSERVFAILとなってしまう問い合わせ できる。 いるとする。 ・confCONNECTION_RATE_THROTTLE (ConnectionRateThrottle) これは1秒間に許可する接続回数。sendmailは接 続を受けたあとforkを実行し、1クライアントに対し ・confBAD_RCPT_THROTTLE (BadRcptThrottle) 発行されたRCPT TOコマンドに設定数以上のエラー て1プロセスを割り当てる実装になっている。そのた め、バースト的な接続を受けると短時間で大量の forkが実行され、過負荷の状態になる。この制限は i d e n tは問い 合わせない define(`confTO_IDENT',`0s')dnl define(`confTO_RESOLVER_RETRANS',`3s')dnl 名 前 解 決 の 待ち時 間は3 秒 define(`confTO_RESOLVER_RETRY',`2')dnl 名 前 解 決 の 再 送は2 回まで ● d n lリソース関 係 m4マクロの定義 意味 de fine (`co n fMA X _MES S AGE _ SIZE ' ,`10 4 857 6 ')d nl メール 本 文は1 M バイトまでに 制 限 de fine (`co n fB A D_ RCP T_ TH R OT TL E' ,`1 0' )dn l 1 0 回 の U s e r U n k n o w nまでは即 座 に 応 答 de fine (`co n fC ON N EC TION _R AT E_ TH R OTT LE ', `30' )d nl 1 秒 間 に 最 大 3 0 回までの 接 続を受け 付ける de fine (`co n fC ON N EC TION _R AT E_ WINDOW_SIZE',`1m')dnl r a t e c o n t r o l の 単 位 時 間は1 分 F EAT U RE (`ac ce ss_ d b' )dn l r a t e c o n t r o l , c o n n c o n t r o lに必 要 F EAT U RE (`dela y_ ch e cks ' )dn l r a t e c o n t r o l , c o n n c o n t r o l の 即 時 切 断 のために 必 要 F EAT U RE (`co nnc on trol' , `n o dela y' , `t ermi nat e' )dn l 制 限を超 過した 場 合 即 時 切 断 F EAT U RE (`rate co ntro l' , `nod e lay ' , `te rmin a te ' )dn l 制 限を超 過した 場 合 即 時 切 断 F EAT U RE (`noc an o nify' )d n l ドメインパートの 正 規 化を抑 制 (表1)m4マクロ定義サンプル ◎所出 :RBB TODAY(http://www.rbbtoday.com/) 2005年2月29日 ※メールアドレスおよび電話番号には架空のものがあります。11 ギガ回線を冗長化した超高速ネットワークで カブドットコム証券 安全・確実なオンライン証券取引を支えるIIJ ユーザ導入事例 カブドットコム証券株式会社 1Gbpsのインターネット接続及びIIJのマネー めセキュリティ対策にも注力。これまでファ ジド・ファイアウォールサービスの導入効果 イアウォールも自社で導入・運用してきた は大きいようだ。株式市場が開く午前9時 が、 「第三者に信頼性の高さを納得してもら 直後のピークトラフィック時には100Mbps うためには、自社で運用するのでなく、外 の帯域を超えることも少なくないが、広帯域 部の専門家に委託する必要があると判断し インタフェースに対応するファイアウォール ました。IIJであれば最新セキュリティパッ の導入により安全、快適なアクセスを実現。 チ の 適 用 や 障 害 時 の 対 応 など、ファイア 阿部氏は「市場の活況やオンライン取引の ウォールの運用管理とインターネット接続を システム全体を増強した効果も大きい」と 100Mbpsのイーサネットを2回線導入してイ 合わせて任せられます」と阿部氏は述べる。 前置きしながら、 「1Gbpsに増強したことで ンターネット接続している。 ちなみに、同社ではネットワークシステムの アクセスがより快適になり、アクセス件数 ところが、個人投資家の取引のうち、インター 設計や運用管理に際し、何重ものチェック が増えた結果、取引の拡大にも貢献してい ネット取引比率が約8割を占めるといわれる を行なうことをポリシーとしている。例えば ます。また、ログ管理を含めファイアウォー 基盤を支えるのが24時間稼動のネットワークシステムである。急増する個人投資家に快適かつ高信頼の アクセス 環境を提供するため、インターネット接続やセキュリティなどのネットワーク基盤を強化。1Gbpsのイーサネット回線で IIJの有明と大手町のアクセスポイントに接続して冗長化を図るとともに、ファイアウォールの導入、運用から監視 までを一括するIIJのマネージド・ファイアウォールサービスを導入。カブドットコム証券の生命線であるノンストップの オンライン取引をIIJのソリューションが支えている。 日本経済の復活を支える株式市場。オンラ カブドットコム証券のシステムの特徴は、勘 ように、最近はオンライン取引が急増。カ ファイアウォールの運用管理はIIJが行なう ルの運用管理をアウトソースしたことで、サー イン専業証券会社として個人投資家の活発 定系を含めたすべてのシステムを自社で開 ブドットコム証券の場合、1日当たりのアク が、それとは別にセキュリティサービスプロ ビス開発など他の業務に注力することがで な証券取引をサポートしているのがカブドッ 発・運用していることだ。というのも、ネット セスは約11万ユーザ、株式注文件数は7万 バイダに擬似アタックを依頼してセキュリ きます」と導入効果を話す。 トコム証券である。主力商品である株式関 証券のビジネスモデルは、従来の営業マン 5000件に及ぶという。 「株式市況によりアク ティホールがないことを確認するなど、 「事 カブドットコム証券ではビジネスの拡大に 連サービスに経営資源を集中的に投下し、 の代わりにネットワークを介してシステムで セスがいきなり3割増えるなど、証券の世界 業者の技術的な切磋琢磨がお客様への信頼 向け、証券と銀行を仲介するネットワークシ 取引サービスはもちろん、情報提供などの 取引するものであり、自社開発にこだわる はトラフィックの予測ができません。株式注 性向上になり、私たちの運用管理負荷の軽 ステムの提案など、IIJの技術力を生かした 付随サービスにおいても優位性の高いサービ システムこそが顧客満足度を高める最大の 文後のサーバーレスポンスを計測すると応 減につながるのです」。 今後のソリューションに期待している。 スを提供することや、従来は人間が行なっ 差別化要因になると考えているからだ。 答時間が遅くなる日もあり、100Mbpsでは てきた営業サービスや管理ノウハウを、先 この「こだわり」はネットワーク基盤にも表 帯域が不足する恐れがあったのです」。 進のIT技術力を駆使してシステム的に対応 れている。同社は前身の日本オンライン証 こうした中、IIJでは1Gbpsの大容量回線を冗 するとともに、ネット専業ならではの新しい 券がサービスを開始した1999年からインター 長構成にした超広帯域なマルチホームネット ネットワーク型のビジネス展開などを経営 ネット接続にIIJを採用している。 「さまざま ワークへの増速を提案。2004年10月から の基本方針に掲げる。 なISPがインターネット接続サービスを提供 新たなネットワークが稼動を開始している。 「前身の日本オンライン証券時代からお客 する中、都内の有明と大手町にバックボー 様の利便性を最優先にネットワークシステ ン接続のアクセスポイントを持ち、接続回 ムを展開してきました。パソコンだけでなく、 線を冗長化できるのはIIJだけでした。当時 携帯電話や電話、FAXなどのマルチチャネ はまだ取引件数も少なかったのですが、お ルをリアルタイムに連動し、24時間いつで 客様に信頼性の高いアクセス環境を提供す カブドットコム証券では、1Gbpsの回線増 も、どこにいても同じ取引環境を整備して るため、独立した2系統の接続にこだわった 強に併せてセキュリティを強化。ファイア いることもその一例です」と、システム統括 のです。2つの回線を有効に活用するため、 ウォールの導入、運用から監視まで一括し 部長の阿部吉伸氏は話す。 トップページへのアクセスは有明経由、取 てサポートするIIJのマネージド・ファイア 1株から取引できる 「プチ株」の取り扱いなど取 引データのやり取りは大手町経由といった ウォールサービスをカスタマイズし、1ギガ 引の利便性を高め、投資成績重視の姿勢は多 ように、高度なIP技術が要求されるネットワ インターフェースを装備した特別版として導 くの個人投資家から支持され、総合口座数は ーク構成にも柔軟に対応してくれたことを 入している。 20万口座、信用口座は2万1000口座を超えて 覚えています」と阿部氏は振り返る。 同 社 では 、情 報 セキュリティマネジメント いる(2004年12月末現在)。さらに、会員は毎月 当初は1.5Mbpsの専用線接続からスタート。 システムの標準規格であるISMS適合性評 1万人のペースで増え続けている状況だ。 12 信頼性の高いインターネット接続の こだわりからIIJを採用 阿部 吉伸 氏 ンライン取引の安全性、信頼性を高めるた カブドットコム証券株式会社では、個人投資家の利便性と安定性を追求した独自のサービスを提供。そのビジネス ITを駆使したネットワーク型の 新しい証券ビジネスを展開 システム統括部長 その後、回線の増速を重ね、2002年には 本 店 東京都中央区新川1-28-25 東京ダイヤビルディング3号館 ■カブドットコム証券のインターネット接続のネットワーク構成概要 設 立 1999年11月 資本金 25億4000万円 24 時間 365日 インターネット I I J バックボーン IIJ 有明 Security Engineer 運用/監視 BB BB 1G bps 市場の活況と相まって安全、快適な アクセス環境の整備で取引が増加 カブドットコム証券株式会社 Logging Reporting Server Server 他キャリア イーサネット B G Pを利 用した URL http://kabu.com/ IIJ 大手町 1G bps 電力系 イーサネット 社員数 47名(2004年12月末現在) マルチホーム接続 顧客投資成績重視の経営を理念に掲 げ、個人投 資家へリスク管 理追求型 のコンセプト「損をしないことを重要 視するスタイルが儲かることにつなが 価制度とBS7799認証を取得するなど、オ る」のもと、利便性と安定性を徹底的 Ro u ter1 I I J マネージドルータ Ro u ter2 I I J マネージドルータ に追求した独自サービスとともに、新 しい投資スタイルを提供している。 F ire w al l1 IIJマネージド・ファイアウォール F irew all2 IIJマネージド・ファイアウォール Swit ch S wit ch DMZ 株式会社インターネットイニシアティブ サーバ カブドットコム証券 マシンルーム お問い合わせ先 : URL:http://www.iij.ad.jp/solution/ 許 可された 許 可されて 通信 いない通 信 TEL:03-5205-4466 E-mail:info@iij.ad.jp 13 IIJ迷惑メール対策ソリューション、 キャンペーン延長のお知らせ IIJ America 「Optimal Network ソリューションセミナー」 開催のお知らせ 2004年10月より実施しております「IIJ迷惑メール対策ソリューショ AIR-EDGEスタートキャンペーン 実施のお知らせ Bフレッツ工事費無料キャンペーン 延長のお知らせ AIR-EDGE端末販売取次ぎサービスでは、当サービスを経由して 個人向けサービスIIJ4U、IIJmioの会員様限定で提供しております、 ン」のキャンペーンを、ご好評につき、2005年9月末まで延長いた IIJ America Inc.では、 「Optimal Network ソリューションセミナー 新規にAIR-EDGE端末をご購入いただき、IIJ4U AIR-EDGE接続 Bフレッツ回線工事費無料キャンペーンを、ご好評につき、6月末 します。 ∼PC脆弱性による社内LANの危機と対応∼」と題しまして、以下 オプション、またはIIJmioモバイルアクセスを利用されたお客様に、 日まで延長いたしました。同時に、NTT東日本/NTT西日本のフ IIJ迷惑メール対策ソリューションでは、受信したメールについて、 内容にて、セミナーを開催いたします。 IIJ AIR-EDGE対応サービスの利用料6ヶ月無料に相当する特典 レッツ月額利用料も無料キャンペーン実施中で、ダブルチャンス! 迷惑メールである「度合い」を判定し、その情報をメールヘッダに 本セミナーでは、参加者の皆様に企業ネットワークについての をプレゼントしております。この機会にぜひお申し込みください。 この機会にぜひお申し込みください。 付加するかたちでお客様に提供いたします。その情報を利用する 知識を深め、企業として今取り組むべき対策についてのソリュー ことで、お客様側で特に迷惑メール対策のためにハードウェアや ションをご提示することを目的としています。 ソフトウェアの追加をすることなく、迷惑メールを振り分けたり、 皆さまのご参加を心よりお待ち申し上げております。 Bフレッツ工 事 費 無 料キャンペーン概 要(IIJ4U、IIJmio会員限定) A IR - ED GEスタートキャンペーン 概 要 ■実施期間:20 0 5年 5月3 1日(火)まで ゴミ箱フォルダに格納したりすることが可能となります。 ■「O pti mal Netw ork ソリューションセミナー」概要 ■IIJ迷惑メール対策ソリューション概要 日 時:2005年4月14日(木)15: 00∼18: 00 ・受信メールが迷惑メールである可能性をパーセンテージで判定 会 場:日本クラブ 2F 検出率を実現 (*)MX Logic社資料による ・24時間監視体制の監視により、新種の迷惑メールにも迅速 に対応可能 ・IIJ Mailゲートウェイサービス(メールサーバを自社運用されている方向け) ・IIJポストオフィスサービス(メールサーバの運用管理を外注したい方向け) 【カスタマイズ・ソリューション】 お客様のシステム環境や要望に応じてカスタマイズいたします。 ■キャンペーン概要 ① 迷惑メールフィルタ キャンペーン 「IIJ Mailゲートウェイサービス」の迷惑メールフィルタ部分の 月額 料 金を2 0 0 5 年 9月末まで、無 償でご提 供します。 キャンペーン 既に「I I J M a i lゲートウェイサービス」 「I I Jポストオフィスサー 4U → IIJ4U特典ポイント 200ポイント(2,000円相当) ■特典提供条件 ・新規でAIR - ED GE 端 末をご購入いただくこと。 員:60名 ※お申 込み多 数の場 合は、先 着 順とし、 1 社あたりの参 加 人 数 調 整 にご協力をお願いする場合もございます。 15: 15「基調講演∼S ecurit y is not A ll A bout Firewalls∼」 Randy B ush Chief S cient ist , I I J A merica ( V erio Founder ) 15: 35「IIJ Americaの企業向けネットワークセキュリティへの取組み」 Y oshihiro S himazu V ice P resident I I J America 16: 00「E nabling S ecure Net work A ccess f rom Remot e O f f ice & Mobile PCs」 G eorge B illman V ice P resident B igFix,Inc. 16: 25「I I J A mericaのソリューション ∼LA Nマネージサービスとケーススタディのご紹介∼」 K ohei Nishioka S enior Manager I I J A merica ・I I J m i o F i b e r A c c e s s / S Fサービス( 固 定 I P 割り当て ) ・I I J m i o F i b e r A c c e s s / D Fサービス( 動 的 I P 割り当て ) 詳細 URL 今なら、N T T の Bフレッツ月額 利 用 料 が 無 料!! 4月末日までです!この 機 会をお 見 逃しなく。 ・NTT東日本:http://ww w.flets.c om /mi sc / mar ut ok u_ opt .h tm l ・NTT西日本:http://flets- w.co m/bfle ts / クセスのサービスコードを申告いただくこと。 ション、またはIIJm i oモバイルアクセスを利用いただくこと。 ※ 当キャンペーンに 関するお 問い 合わせは、直 接 N T T 各 社まで ■特典提供月 ・端末受領月の翌々月に特 典をプレゼントいたします。 IIJサポートセンター URL:http://www.iij4u.or.jp/ ■IIJ A IR - E D GEサービス一覧 http://www.iijmio.jp/ (*) ・IIJ4 U AIR -E D GE接 続オプション :月額 31 5 円( 税込 ) TEL :03-5205-4433(年中無休9:00∼19:00) ・IIJm i oモバイルアクセスサービス :月額3 15円( 税 込 ) (*) IIJ4U 基本料金840円( 税込 )が別途かかります。 SLA遅延時間*の実績 ■注意事項 ・ 特典の提供にあたり、IIJとウィルコムとの間で、お客様情報の交換をいたします。 遅延時間の統計(2004年5月∼2005年2月) SLA Latency Value IIJは知り得た情報を、特典提供以外の目的で使用することは一切ありません。 ・ 端末の販売は、 ウィルコムのECサイト「MCDirect」にて行っております。端末の います。 Office & Mo b ile PCs」は英語でのプレゼンテーションとなります。 http://www.iij4u.or.jp/campaign/b_flets/ ダ ブ ル チ ャ ン ス 開通業務、発送等は、 ウィルコムの委託会社である株式会社マスターピースが行 17: 00 懇親会 ・ 当キャンペーンのご利用はIIJ4U、 またはIIJmio会員に限ります。まだサービスに ご契約いただいていない場合は、入会手続き後にお申し込みください。 ※セッションタイトルは、事前に変更される場合がございます。 35ms 保証値(30ms) 30ms 25ms 20ms 15ms 12.54ms 13.70ms 13.82ms 13.49ms 13.36ms 12.94ms 13.06ms 13.87ms 13.91ms 12.42ms 10ms 2004/05 2004/06 2004/07 2004/08 2004/09 2004/10 2004/11 2004/12 2005/01 2005/02 端末販売について 移 行 にかかる初 期 費 用を無 料 にいたします 。 MC ダイレクト事務局(株式会社マスターピース内) 詳細・お申し込み 受付時間 10:00∼18:00(年中無休) IIJ America セミナー事務局 TEL:0077-75-211/FAX:0077-75-212 URL:http://www.iijamerica.com/japanese/seminar.html URL:http://www.iij.ad.jp/antispam/ ・I I J 4 U Bフレッツ接 続オプション( 動 的 I P 割り当て ) ・端 末 受 領月の翌月1 5日までに、I I J 4 U A I R - E D G E 接 続オプ 加される場 合 、2 0 0 5 年 9月末までにお申 込みいただければ、 IIJインフォメーションセンター(9:00∼17:30 土日祝祭日を除く) 対象 サービス ・ご購入時に、IIJ4 U P PPログイン名、またはIIJ mi oモバイルア ビス」をご利 用 中 の お 客 様 が 迷 惑メールフィルタ機 能を追 詳細・お問い合わせ ・ベーシック ・ファミリー1 0 0 ※ 特 典は、特 典 提 供 条 件を満たしたお 客 様 に 限りプレゼントいたします 。 詳 細を必ず W e b ページでご確 認ください 。 定 ※ご挨 拶、基調講演と「Enabling Secure Network Access from Remote ② 迷惑メールフィルタ 料6ヶ月無料に相 当 )の下 記 特典をプレゼント! 参加費:無料 15: 00 ご挨拶 I sao Momot a P resident & CE O I I J A merica 【メールアウトソースサービス】 ・マンション ・ニューファミリー 典 :2, 000 円分( IIJ A IR -E D GE対 応サービスの利用 145 West 57th Street, 2nd Fl, New York, NY 10019 ■プログラム ■IIJ迷惑メール対策ソリューションラインアップ ■特 mio→ご利用料金から2,000円割引 ・迷惑メール対策の世界的な動向、技術情報をいち早くフィード バック 回線工事費無料 ・ハイパーファミリー N e w ! Mean Value ・多くの導入実績を誇る米国M X L o g i c 社のフィルタリングエ ・複数のエンジンを併用して判定精度を高め、最高98%(*)の 2 0 0 5 年 6月3 0日( 木 )まで 特典 取 次 品目 ぜひこの機会に御社でも迷惑メール対策機能をお試しください。 ンジンを採用 受付締切 E-mail:mcdinfo@m-piece.com *IIJ国内バックボーン全体の平均往復遅延時間 ●お詫び: 遅延時間の計測におきまして、特定の一部区間(全69区間中3区間:2005年3月現 在)が計測対象から外れていたことが判明しました。対象区間及び期間は以下の 通りとなります。 1. 東京NOC-有明NOC(2004年 6月より、2005年2月実績は 0.52ms) TEL:212-440-8080 2. 有明NOC-大阪第一データセンター (2000年10月より、2005年2月実績は11.72ms) E-mail:seminar@iijamerica.com 3.大阪NOC-大阪第一データセンター(2000年10月より、2005年2月実績は 0.43ms) お申し込み・キャンペーン詳細 TEL:03-5205-4466 http://www.iij4u.or.jp/campaign/airh/ E-mail:info@iij.ad.jp ※お申し込みの際は、IIJ4U PPPログイン名、またはmioモバイルアクセスの なお2005年2月分より、計測対象に上記区間も含めた数値となっております。 サービスコードが必要になります。 SLAの詳細は URL:http://www.iij.ad.jp/SLA/ 14 15 IIJ バ ッ ク ボ ー ン マ ッ プ ( 2 0 0 5 年 3 月 現 在 ) JAPAN 埼玉 第1DC JPNAP ASIA 仙台 第1DC 西東京 21Gbps Thailand 東京 柏 第1DC Korea 千葉 東京 第2DC Malaysia 札幌 第1DC Indonesia A-Bone 東京 Singapore Philippines 有明 China Taiwan 11Gbps Hong Kong dix-ie 横浜 第2DC 浜松 富山 横浜 横浜 第1DC 名古屋 第1DC 金沢 U.S.A. New York (NYIIX) PAIX 1Gbps 京都 大阪 第1DC 京都 第1DC 東京 大阪 IIJ New York IIJ Palo Alto JPNAP 大阪 MAE-WEST ATM 10Gbps 有明 IIJ San Jose 神戸 1Gbps Equinix GigE Exchange 福岡 第1DC 沖縄 岡山 1Gbps 大阪 IIJ Ashburn IIJ L.A. 1Gbps 広島 福岡 1Gbps Equinix GigE Exchange MAE-EAST ATM LA IIX STM-1 : 150Mbps STM-4 : 600Mbps STM-16 : 2.4Gbps STM-64 : 9.6Gbps vol. 69 MARCH/APRIL 2005 発行 株式会社インタ−ネットイニシアティブ マーケティング部 T E L : 0 3- 5 2 0 5 - 6 3 6 0 E-mail:info@iij.ad.jp ◎ iij.news のバックナンバーをご覧いただけます。 URL:http://www.iij.ad.jp/iijnews/ ◎最新のバックボーン情報は、http://www.iij.ad.jp/network/をご覧ください。 株式会社インタ−ネットイニシアティブ 本 社 東京都千代田区神田神保町 1-105 神保町三井ビルディング 〒 101-0051 T E L : 0 3 -5 2 0 5 -4 4 6 6 E - m a i l : i n f o @ i i j . a d . j p 関 西 支 社 大阪府大阪市中央区北浜 4-7-28 住友ビルディング第 2 号館 5F 〒 541-0041 T E L : 0 6 -4 7 0 7 -5 4 0 0 E - m a i l : i n f o @ o s a k a . i i j . a d . j p 名 古 屋 支 社 愛知県名古屋市中村区名駅南 1-24-30 名古屋三井ビルディング本館 3F 〒 450-0003 T E L : 0 5 2 -5 8 9 -5 0 1 1 E - m a i l : i n f o @ n a g o y a . i i j . a d . j p 札 幌 支 店 北海道札幌市中央区北三条西 3-1-25 北三条ビルディング 7F 〒 060-0003 T E L : 0 1 1 -2 1 8 -3 3 1 1 E - m a i l : i n f o @ s a p p o r o . i i j . a d . j p 東 北 支 店 宮城県仙台市青葉区花京院 1-1-20 花京院スクエアビル 15F 〒 980-0013 T E L : 0 2 2 -2 1 6 -5 6 5 0 E - m a i l : i n f o @ t o h o k u . i i j . a d . j p 北 陸 支 店 富山県富山市牛島新町 5-5 タワー 111 10F 〒 930-0856 T E L : 0 7 6 -4 4 3 -2 6 0 5 E - m a i l : i n f o @ h o k u r i k u . i i j . a d . j p 中 四 国 支 店 広島県広島市南区稲荷町 2-16 広島稲荷町第一生命ビル 11F 〒 732-0827 T E L : 0 8 2 -5 0 6 -0 7 0 0 E - m a i l : i n f o @ c s . i i j . a d . j p *この冊子の内容はサービス形態・価格など予告なしに変更することがあります。 (2005 年 4 月作成) *表示価格には、消費税は含まれておりません。 * IIJ、IIJ4U、IIJ-MC、IIJ-Tech、SEIL は株式会社インタ−ネットイニシアティブの登録商標または商標です。 *記載されている企業名あるいは製品名は、一般に各社の登録商標または商標です。 九 州 支 店 福岡県福岡市中央区天神 1-1-1 アクロス福岡西 10F 〒 810-0001 T E L : 0 9 2 -7 2 5 -6 5 3 3 E - m a i l : i n f o @ k y u s h u . i i j . a d . j p 沖縄営業所 沖縄県那覇市久茂地 1-7-1 琉球リース総合ビル 8F 〒 900-0015 T E L : 0 9 8 -9 4 1 -0 0 3 3 E - m a i l : i n f o @ o k i n a w a . i i j . a d . j p 豊田営業所 愛知県豊田市西町 4-25-13 フジカケ鐵鋼ビル 5F 〒 471-0025 T E L : 0 5 6 5 -3 6 -4 9 8 5 E-mail:info@toyota.iij.ad.jp IIJ - MKTG 001 AA - 0504 EK - 03500 SA
© Copyright 2024 Paperzz