トピック

世界で活躍しているネットワークオペレーターが最新のセキュリティを語る【前編】

JPAAWG 1st General Meetingレポート

  • 木村 慎治

2018年12月3日 06:00

 「JPAAWG(Japan Anti-Abuse Working Group、ジェイピーアーグ)」は、世界30カ国のネットワークオペレーターやセキュリティベンダーが参加するグローバル組織「M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)」と連携し、日本でインターネットのセキュリティについて議論するワーキンググループだ。

 JPAAWGの設立にあたり、2018年11月8日に「第18回迷惑メール対策カンファレンス」との併催で「JPAAWG 1st General Meeting」が開催された。

会場の様子

 「世界屈指のネットワークオペレーターが最新のセキュリティを語る」との副題通り、M3AAWGで活躍しているネットワークオペレーターを招いて、送信ドメイン認証DMARC、ビジネスメール詐欺、SNSセキュリティなど、最新のセキュリティ情報が紹介された。

 前編となる当記事では、午前中行われた2つのKeynoteの模様をお届けする。

 なお基調講演に先立ち、オープニングにはM3AAWG ChairmanのSeverin Walker氏(Comcast)が登壇。JPAAWGとは何か、何を目指し、何をなしていくのか、などについて説明したほか、総務省 サイバーセキュリティ統括官付 参事官の木村公彦氏は、日本の情報通信政策を所管する総務省からのメッセージとして、JPAAWGへの期待などを語っている。

M3AAWG ChairmanのSeverin Walker氏(Comcast)
総務省 サイバーセキュリティ統括官付 参事官の木村公彦氏

Keynote 1「Identity and Data Protect」

 ログインIDやパスワードなどの認証情報、そしてネット上でやり取りされるデータの保護のために、世界ではさまざまな対策が実施されている。Keynote 1の「Identity and Data Protect」では、情報漏えい、標的型攻撃やビジネスメール詐欺(BEC)などの脅威につながる、こうした問題のエキスパートである米MicrosoftのJanet Jones氏が、最新の状況と対策について解説した。

M3AAWG Vice ChairのJanet Jones氏(Microsoft)

 Jones氏はまず始めに、M3AAWGの「Data & Identity Protection Committee」について紹介した。Data & Identity Protection CommitteeはM3AAWGの中でデータおよびID保護に関するさまざまな議論を行う委員会で、年3回実施されているM3AAWGのGeneral Meetingで提供されるコンテンツの用意から、次代に向け、包括的なデータやID保護のロードマップの提供などさまざまな活動を行っている。

 「さまざまな業界におけるデータ、ID保護に関する問題を精査し、委員会として何ができるのかを考えています。つまりデータ、ID保護に関する問題を解決するための委員会です」(Jones氏)。

 Jones氏は次に、Data & Identity Protection Committeeが歩んできた道のりを、さまざまなできごととリンクして紹介した。

 Jones氏は最初に、2013年のスノーデン事件、中でも米NSA(アメリカ国家安全保障局)の「Prism Program」に関する告発を取り上げた。NSAがPrismという盗聴プログラムを用いてGoogleやApple、Facebookを利用するユーザーの情報を盗聴していたという告発だ。これらの事件をJones氏は、「なぜデータやIDを保護しなくてはいけないのか、多くの人の目を覚ました事件です。2013年は大きな転換期になりました。これらの事件があったからこそ、データおよびID保護に対する私たちの取り組みが重要であると再認識されたのです」と話す。

 2014年2月には、M3AAWGでデータ保護に関する議論が始まった。Pervasive Monitoring(大規模監視)に関するSIG(Special Interest Group)が創設され、スノーデン事件で明らかになったPervasive Monitoringは、“攻撃である、抑制しなくてはならない”という議論が進んだ。

 Jones氏は、「まず始めに推奨したのがメールのためのTLS(通信内容の暗号化)です」と振り返る。

 この推奨の中には、「Opportunistic TLS(日和見暗号化)を使用してプロバイダ間のメールフローを保護する」というものがあった。Opportunistic TLSは、受信側のメールサーバーが暗号化に対応していなければ平文で通信するというものだ。Opportunistic TLSについてJones氏は、「2014年にMicrosoftとYahoo!がOpportunistic TLSに対応したことで、メールの暗号化が急速に拡大しました」と語る。

 ではOpportunistic TLSだけで十分かどうかといえば、それはNOであるとJones氏。2015年7月には、メール経路の中間で攻撃を行う者への対策を採るべきだという文書を発表し、次に「Perfect Forward Secrecy」という暗号の仕組みも推奨した。

 2016年には、暗号化されたメール通信を確立するためのポリシーとルールを定義したドラフトを、GoogleやMicrosoft、Yahoo!などと一緒に作成した。さらに2017年には、ID保護について、多要素認証やパスワードの暗号化など、いくつかの推奨を発表した。

 また2018年、新しいメールセキュリティのスタンダードがIETFに採用された。それがMTA-STS(SMTP Mail Transfer Agent Strict Transport Security)で、送信中の情報をより保護できるとして、Jones氏は「M3AAWGとしても業界としてステップを進めることができるメールセキュリティのスタンダードだ」と強調した。各企業も導入に動いているという。

 Data & Identity Protection Committeeでは今後も、データおよびID保護に長期的に取り組んでいく。新しいメールセキュリティの実装に関して業界パートナーとの作業を継続する、次のTLSであるバージョン1.3の作業を継続するなど、Jones氏は具体的な取り組みを挙げた上で、イベントへの出席者に対しJPAAWGやM3AAWGへの参加を呼びかけた。

 「皆さんとコラボレーションできることを楽しみにしています」と述べ、Jones氏はKeynoteを締めくくっている。

Data & Identity Protection Committeeが今後フォーカスしていくこと。ID保護や非eメールのメッセージングセキュリティにもフォーカスを当てていきたいという(出典:M3AAWG)

Keynote 2「Global Threat Intelligence Landscape」

 Keynote 2では、海外のISPやセキュリティベンダー、政府機関などへデータやセキュリティ製品を提供する企業からリサーチャーを招き、最近のメールセキュリティに関する調査結果やトレンドなどの解説が行われた。

「GDPR and lack of whois Harmless after all?」

 最初に登壇したのはSpamhaus Technology社 CIOのEmanuele Balla氏だ。2018年5月から適用が始まった、GDPR(General Data Protection Regulation:EU一般データ保護規則)による影響についての紹介を行った。

 GDPRは、EUにおける個人情報の処理および移転に関して満たすべき法的要件を規定する法だ。GDPRが施行されたことにより、多くの影響が出ていると言われているが、果たしてそれは本当なのだろうかと、Balla氏は疑問を呈する。

 「GDPRにより津波のようにスパムが押し寄せると言われましたが、実際にそのようなことはありません。そしてもう1つ、GDPRによりドメイン登録数が減少したとも言われています。悪いドメインの登録が減ったのだから良いことだという人もいます。これは本当でしょうか?」とBalla氏。

 Balla氏は、hancitorというマルウェアが感染を拡大させるためのドメインを例に挙げた。ドメインは日を追うごとに増え、ある時に異なるドメインに移動する。従って、「現時点でまだ長期的な経過は分かりません。これまでの数年間、新しく登録されたドメインには信用を与えてはいけないということを学んできました。多くの攻撃者はドメインを登録し、しばらくそれを置いて、ある程度日がたってから使います。われわれがまだ対応できていないようなことが、これから起きる可能性があります」と話した。

「Messaging Abuse and Threat Trends」

 次に、Cloudmark社 Vice President/Product ManagementのKevin San Diego氏が登壇した。San Diego氏は、脅威のトレンドについて日本とそれ以外の地域を比較しながら紹介した。

Cloudmark Vice President/Product ManagementのKevin San Diego氏

 San Diego氏が紹介したのは、スパムの発生率やスパムメッセージに占めるフィッシングメッセージの数、マルウェアのメッセージ数などで、グラフを交えながら世界と日本での比較を行った。

 「スパムの発生率は約30%で日本でも世界でも変わりませんが、日本ではここ数か月でスパムメッセージが増えています」とSan Diego氏。

 次にSan Diego氏は、ドメインのなりすましを防ぐ「DMARC」について触れ、「日本では株式が取引されている企業の95%がDMARCを利用していません。アメリカではFortune500の企業のうち51%がDMARCを利用しています。フィッシングの被害を減らすためにはこのようにSPFやDKIM、DMARCといったドメイン認証を、送信するメッセージに対して適用することが必要だと思います」と指摘した。

 最後にSan Diego氏は、ビットコインやApple、LINEなどを利用したクレデンシャルフィッシング詐欺(IDやパスワードなどの認証情報を盗み出す詐欺)についても注意を促し、セッションを締めた。

「Phishing Trends ISITPHISHING.AI」

 Vade Secure社 CTOのOlivier Lemarie氏は最初に、フィッシング詐欺についてのトレンドを紹介した。クレデンシャルフィッシング詐欺が増えており、その対象も個人から企業に移っている。Lemarie氏は「これは大きな波の最初の段階だ」と指摘する。

Vade Secure CTOのOlivier Lemarie氏

 フィッシングに関する技術も進化し、特にコンテンツの中身が高度化しているという。Lemarie氏は2枚の画面キャプチャを見せ、どちらが本物のWebサイトか挙手を求めたところ、多くの出席者が偽物のほうに手を挙げた。

 すなわち、「コンテンツの質がとても高くなっています。こうしたフェイクを見抜くトレーニングをお勧めしますが、人間をだますほどのものになっていることを理解するべきです」とLemarie氏は話す。

 Vade Secure社では、3年ほど前からメールセキュリティにAIや機械学習を取り入れているが、「AIや機械学習は魔法のつえではない」とLemarie氏。AIや機械学習は既存の技術レイヤーを補完するものとして使っており、「これらを利用すればすべてが解決するわけではありません」と指摘する。

 「セキュリティ業界においてもAIと機械学習はより重視されるようになっていくでしょう。なかなか対応の難しいところもありますが、サイロ化している既存の保護をつなぐ意味でも非常に有用なのです」とLemarie氏は語った。

「Text Messaging Updates:SMS Spam and RCS Safety」

 当セッションの最後には、WMC Global社 Vice President of Threat IntelligenceのJaclyn Abrams氏が登壇した。

WMC Global Vice President of Threat IntelligenceのJaclyn Abrams氏

 Abrams氏は攻撃が進化していると前置きした上で、「これまでメールでだけ起きていた現象がテキストメッセージでも起きています。フィッシング攻撃やトロイの木馬、スクリーンロギングなど、さまざまな攻撃がモバイルデバイスでも起きているのです」と指摘した。

 スマートフォンは急速に普及しており、テキストメッセージのほうがメールよりもターゲットにリーチしやすい、開かれやすいという状況もある。キャリアがいかに注意をしても、送られてくるスパムの数があまりに大量なため、ユーザー自身も注意深く見ていく必要がある。「これは日本でも特に注意すべき問題だと思います」とAbrams氏は強調する。

 さまざまな攻撃がある中では「Socially Engineered Swatting」がアメリカでは問題になっているという。これはまったく無実の人が“罪を犯している”などと虚偽の通報をする攻撃だ。

 また、新たな脅威としてRCS(Rich Content Suit)を挙げた。RCSはアプリケーションと同様の機能をテキストメッセージングにもたらすが、なりすまし防止や不正対策などさまざまなことを考える必要があるとAbrams氏は語った。