【2/17】今年は「濃厚」技術トーク!@ITメールセミナー スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷


セキュリティ動向チェック
 Security&Trust ウォッチ(32)

25番ポートの攻防

上野宣
2005/3/30

●先手:スパム業者の気持ち

■ @IT PR:主催セミナーのお知らせ
 「@IT メールソリューション Live! in Tokyo」
2010/2/17(水)
@秋葉原UDX

好評@IT連載「Security&Trustウォッチ」の上野氏と、BlackHat Japanでも講演経験を持つフォティーンフォティ技術研究所の村上氏の講演決定! パターンファイルが間に合わない攻撃を、技術のチカラで守るには? @IT読者がうなるほどの超テクニカルな内容でお送りします。

 普段、受け取りたくない気持ちでいっぱいのスパムメールであるが、1日に何万通ものメールを不特定多数に送るスパムメールの送り手の気持ちを考えてみることにしよう。1通、2通ぐらいならば何も考えずに送れるかもしれないが、数万通にもなると効率的に送らなければならない。

 効率的に送るならばISPと固定IPアドレスで契約し、自前のSMTPサーバかインターネット上にある間抜けなSMTPサーバから発信するのがよさそうだ。しかし、固定IPアドレスから続けざまに大量のメールを送ると、そのIPアドレスがほかのSMTPサーバでフィルタリングされるか、ブラックリストに載って中継を止められてしまうかもしれない。

 そうすると、接続ごとにIPアドレスが変わる動的IPアドレスのサービスを使う方がよさそうだ。とはいっても、契約したISPのSMTPサーバを使って大量にメールを送っていると、バウンスメールの多さや、ほかからの苦情によってスパム業者であることをISPに気付かれて契約を解除されてしまう恐れがある。

 ならばISPのネットワークの外にあるSMTPサーバを使うのがよいだろう。こちらは動的IPアドレスなので、誰が送ってきているのかが特定できないはずだ。ISPは特定されてしまうが、ISPのネットワークを丸ごとフィルタリングするようなことはしないだろう(ここでは割愛するが実際はさらにいろいろな方法がある)。

●後手:ISPの気持ち

 スパム業者の気持ちを少し考えてみたわけだが、今度はISPの気持ちになってみよう。大量にスパムメールを発信する悪名高いISPとして名が通るのは困る。また、社会的にもスパムメールのまん延はうれしくないことだ。できる限り、自ISPからのスパムメールの発信を防ぎたいはずである。

 スパムメールの発信を防ぐ方法はいくつもあるが、先に想像したようなスパム業者の気持ちを踏まえると、そのISPが割り振った動的IPアドレスからISP外部のSMTPサーバが利用できないとなると困るわけだ。つまり、ISPが管理している動的IPアドレスから外側に向かうSMTP(TCPの25番ポート)を止めてしまえばいいわけである。この方法は「Outbound Port25 Blocking」と呼ばれている。

 昨今、国内のいくつかのISPがこのOutbound Port25 Blockingを導入し始めた。該当するISPと動的IPアドレスで契約している会員は、そのISP以外のSMTPポートへの通信を行うことができなくなる。このスパムメール対策は、スパムメール先進国(?)の米国において多くのISPで取り入れられている。少し遅れて国内にもその対策を取るISPが現れてきたというわけだ。

●Outbound Port25 Blockingのメリットとデメリット

 この方法の一番のメリットは、先に述べているような外部のSMTPサーバの利用を制限することでスパム業者が発信するスパムメールを防ぐというものである。

 さらなるメリットとして、ウイルスやゾンビ(Zombie)化したPCによるメール配信を防げるという点もある。ウイルスやゾンビによるメール配信というのは、何らかの手段で不正なプログラムによってPCが乗っ取られてしまうことにより、ウイルスの感染経路としてメール配信をしたり、ボットネット(Botnet)と呼ばれるゾンビ化したPCの集合体となりスパムメール配信の手伝いをさせられてしまうことだ。

 この場合、PCの使用者はスパムメールを配信していること自体に気が付いていないことが多い。外部SMTPサーバへの接続を遮断することで、ウイルスやゾンビによる被害拡大防止にある程度の効果を上げることができる。

 メリットもあればデメリットも生まれてしまうのがセキュリティ対策の常であり、Outbound Port25 Blockingも例外ではない。

 まず挙げられるのが、外部のSMTPサーバを利用することができない。そのように対策しているのだから当然であるが、例えば自分の勤めている会社のSMTPサーバや、レンタルサーバやWebメールの業者が提供しているようなメールサービスのSMTPサーバも使えなくなってしまう。

 また、動的IPアドレスとDynamicDNSを組み合わせて常時接続のサーバを構築し、自前のSMTPサーバを立ち上げて利用するということもできなくなってしまう。Outbound Port25 BlockingをISPが取り入れることで、いままで行っていたことができなくなってしまうユーザーもいることだろう。

●外部のSMTPサーバを使う方法

 Outbound Port25 Blockingによって、外部のSMTPサーバがまったく使えなくなるというわけではない。外部のSMTPサーバを使うのは何もスパム業者だけではない。通常の使い方をしている人々も使うことが多いだろう。そんな人々は、SMTP over SSL/TLSを使う方法や、Message Submissionを使うなどの方法が残されている。

 SMTP over SSL/TLSというのは、その名のとおりSSL(Secure Sockets Layer)やTLS(Transfer Layer Security)を利用したSMTPで、盗聴や改ざん、なりすましといったことを防ぐ目的で導入されることが多くなってきた方法である。このSMTP over SSL/TLSは、TCPの465番ポートで提供されているサービスなので25番ポートのブロックには引っ掛かることはない。

 Message Submissionはメール投稿の際にTCPの587番ポートを使うSMTPである。単にSMTPサーバを587番ポートで立ち上げてしまうと、ほかのSMTPサーバが25番ポートに対してアクセスしてくるため対応できなくなってしまうが、Message Submissionではメールの投稿のみ587番ポートで受け、配送に関してはこれまでどおり25番ポートを利用している。これによってMessage Submissionに対応していないSMTPサーバとの整合性を取っている。

 ここで挙げた2つはどちらも良い方法であるが、MUA(Mail User Agent)がこれらに対応している必要があるため、残念ながらすべての人がこの方法を利用できるというわけにはいかない。対応しているMUAに乗り換えるか、対応するためのソフトウェアを追加するなどの措置が必要となる(一般的にMUAはOutlookやBecky!などのメールクライアントソフトを指す)。

●それでもスパムは配信できてしまう

 このOutbound Port25 Blockingによって、動的IPアドレスからのすべてのスパムメール配信を防ぐことができるかといえばそうではない。これをすり抜ける方法が数々あるのだ。スパム業者に利用されたくないのでその方法は詳しく書きたくないが、例えば動的IPアドレスと固定IPアドレスのサービスを組み合わせて一工夫することで実現できてしまう。

 また、いまのところOutbound Port25 Blockingは動的IPアドレスに対しての対策なので固定IPアドレスで契約しているユーザーには当然ながら関係がない。また固定IPアドレスで提供しているサービスに対してこの方法を導入することは難しいであろう。

 この方法はスパムメール配信に対して一定の効果を上げるが、自ISP内のネットワークに対してのみ有効な方法なので、スパム業者がOutbound Port25 Blockingを実施していないほかのISPに乗り換えてしまえばそれまでという対策である。

 インターネット全体を通して多大な効果を上げるためには、すべてのISPがこの方法を取り入れる必要がある。とはいえ、ユーザーの利便性を損なうことになるのでサービスを生業とするISPとしては簡単に導入を決断するわけにもいかない。

 セキュリティ対策に積極的に取り組む姿勢を強調してプロモーションを行うことで、乗り換えユーザーを獲得するという方法論もあるかと思うが、ほとんどのユーザーがセキュリティ対策に疎い現状としてはそれは期待できないところである。また、こういう対策は“いたちごっこ”になりやすいので、焼け石に水ではないかといった考えも生まれてしまうことであろう。

 しかし、受け取るメールの9割が迷惑メール(≒スパムメール)という筆者の意見としては、ぜひとも1社でも多くのISPに導入していただきたい。また、インターネットの存在によって多からず少なからず利益という恩恵を受けている企業であるISPには、社会貢献の一環としての導入を前向きに検討していただきたい。

 もちろん、この方法以外にも迷惑メールを防ぐ対策はある。多くの方(特にISPやASPでのメール運用に携わる方)に知っていただき、さらに新たな対策を研究し広めていただければと思う。「zilwan ――迷惑メール対策について建設的に話し合うML」といったメーリングリストもあるので、迷惑メールを防ぐ立場として参加してみてはいかがだろうか。

 
Profile
上野 宣(うえの せん)
1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。

Security&Trust記事一覧

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
操作もマニュアルも分かりやすい!
ユーザー視点で開発されたPC管理ツール
New!
【CTC事例】約30の基幹システムを統合!
膨大なバッチジョブを制御した方法は?
「どこでもオフィス」で業務効率アップ!
PHP研究所モバイルシンクライアント事例
コスト削減・信頼性向上をまとめて満たす
“高信頼Linux”を構築する方法とは?
世界に通用するストレージの作り方とは?
製品に込めた思いを富士通の開発者に聞く
急速に広がるHyper-Vでのサーバ仮想化
そのベストプラクティスをデルが解説
@IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  企業の仮想化に足りない“発想”とは?
仮想化運用管理のキモは意外なところに!
New!
  操作もマニュアルも分かりやすい!
ユーザー視点で開発されたPC管理ツール
New!
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する

  セキュリティを知り尽くす上野氏が登壇!
@ITメールソリューションLive! in Tokyo
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?
  世界に通用するストレージの作り方とは?
製品に込めた思いを富士通の開発者に聞く

  OSSで手間も時間も、障害も減った――
「マピオンの事例」オープンソース活用法
  「ノートPCの持ち出し禁止」で大丈夫?
情報漏えいを防ぐ管理手法とインフラは?
  1日の処理を1秒に――MySQLの達人が語る
「コスト削減」できるチューニング

  ドキュメント作成を自動化して、SEの作業
効率を大幅アップ! Visio 2007の魅力
  急速に広がるHyper-Vでのサーバ仮想化
そのベストプラクティスをデルが解説
  @IT主催セミナーで語られた、「担当者に
求められるセキュリティ対策」をレポート

  @IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています

→@IT Special ヘ