JPAAWG 7th General Meeting　参加レポート / 開発者向けブログ・イベント

みなさんこんにちは、デベロッパーエキスパートの小島です。

先日JPAAWG 7th GeneralMeetingに参加してきましたので、そこで得られた気づきについて少し語ってみたいと思います。

JPAAWGとは？

Japan Anti-Abuse Working Group (JPAAWG) は、インターネットを中心とした電気通信環境の利用促進を目的とし、それらの健全な発展を脅かす各種ネットワーク上の脅威に対抗するため、 Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) と連携した活動を行う組織です。
※JPAAWG公式サイト(https://www.jpaawg.org/)より引用

JPAAWG General Meetingとは？

年に一回開催される会合です。オンライン・オフラインのハイブリッド開催ですが、発表者と参加者、参加者同士のコミュニケーションを重視しているため、基本的にはオフライン参加が推奨されています。

参加者はオンオフ含めた登録者は600人以上、そのうちオフライン参加者は300名弱と盛況でした。
主な参加者としては、スポンサー企業をはじめとしたメール系のソリューションベンダー、メール送信サービスプロバイダ、メールホスティングプロバイダ、通信キャリア等で実務を担当されている方が多く、発表者のみならず参加者同士で現場担当者ならではの話を聞けるのが醍醐味です。

メールシステムシステムの運用というと、利用者からは「今まで通りに使えればそれでいい」と言われることが多いです。しかしそれを維持するためには「今まで通りのシステムのままでは駄目」であることはなかなか理解してもらえません。
昨年のgmail認証強化のニュースは、メール業界以外の方も久々メールに目を向ける大きな出来事でした。ご存知ない方に簡単に説明しますと、gmail向けに一日5000件以上のメールを送る送信者に対して、SPF,DKIM,DMARCの対応を必須としました。例えるなら今まで自由に手紙を投函できたのが、差出人の名義に間違いがないか身分証による本人確認が必須になるような変化です。
そのように周囲の状況が変化する中で、自分は今まで通りポストに投函した手紙が届いてくれるだけでいい、余計なことはしたくない、と言われても困りますよね。
そのような話でどこも同じ悩みを抱えているんだなと共感したり、先進的な取り組みをされて成果を出している方の話を聞いたりするのが楽しみです。

JPAAWG General Meetingに参加して

さてイベントの内容です。
key noteでは本家M3AAWGの方から、M3AAWGの組織について知らない人向けの簡単な紹介と最近の会合に置けるトピックの共有が行われました。先日のIETF121でDKIM2の提言が行われたという話は気になります。
そしてgoogleからセキュリティ担当の方がリモート参加され、送信制限の導入に至った理由とその効果についてお話がありました。gmailの送信制限については多くのサービスで既に対応が済んでいる時期でしたが、当事者からのお話ということで皆かつてないほど真剣に聞き入っていたと思います。

参加したセッションについては全てを取り上げることはできませんが、私が特に感銘を受けブログでの紹介についても発表者から個別に許諾をいただいたものを紹介します。IIJ古賀様による発表です。
どのメールホスティングでも、利用者のsmtpアカウントが乗っ取られてspam送信に利用される事態の対応には頭を悩ませていると思います。時間当たりの送信数が基準値に達したらそれ以上送信できないよう自動的に制限を入れる取り組みはどこも行われていると思いますが、どうしても事後対応となるためある程度のspam送信は実行され、それによるIPのレピュテーション低下は起きてしまいます。
IIJ様では、これをなんとか事前に抑止できないかという視点で取り組まれました。
まずはメールサーバのログをすべてsplunkに入れて分析を行ったそうです。その結果spam送信が実行される前にある程度共通する事前準備、事前確認と思われるパターンを見つけたとのこと。
この兆候を見つけるだけでもすごいことですが、兆候を見つけただけで制限をするわけにもいきません。まだそのアカウントはサービスに対して損害を与えていないのです。
そこで次は法務部門や事業部門を巻き込んで、事前準備の兆候を見つけたらspam送信が行われる前に制限を実施するにはどうすればよいか、原稿の規約の解釈、変更後の規約の文言の検討、それに向けて法務や事業部門が求める観点でのデータ提出を行いつつ進めていき、ついに規約の改定と事前制限の実施にこぎつけたとのこと。
法務と事業部門との関係性といえば、「こういうことをやりたいが法的に問題ないか？」という問いにyes/noを返してもらうだけ、という関わりが多いかと思います。そこを一歩進めて、事業側でこんなことをやりたいがどんな進め方をすればよいかという段階から法務にも協力してもらいつつ進めたというのが斬新でした。
そしてこの取り組みの結果、契約者アカウントによるspam送信のabuse対応工数を30%削減できたそうです。
この30%という数字が、かける金額と工数以上の成果となるかは組織によって異なると思いますが、同じような問題を抱えているサービスから見れば一歩も二歩も先を行った事例だと思いますので紹介させていただきました。

また今回はLTやその場でテーマを決めての議論も活発に行われました。その中でも印象に残っているトピックをいくつか紹介します。
特定のIPを制限する対応や海外のIPを制限する対応を行っているサービスは多いと思いますが、エンドユーザの利用しているメール送信サービスがクラウドの海外リージョンに移行した結果、突然海外IPからの接続になってしまいトラブルとなった事例が紹介されるなど、IPによる制限はどんどん効果が薄くなっているという現状が共有されました。
またgmailはIPv6に対応していますが、v6からの送信がどんどんブロックされるようになってきて、gmail宛ての送信はv4に回帰しているという話もありました。
以前RBLを運用している方に話を伺ったとき、IPv4のRBLはブラックリスト方式だがv6になったらホワイトリスト方式でなければ無理だと話されていたのを思い出しました。
LTにおいてはVadeSecure平野様による発表が圧巻でした。
内容としてはwhoisの返す結果のフォーマットには特に決まりが無く各国のwhoisサーバ毎に異なり、プログラムで処理するのが非常に面倒であること、たとえばpythonのwhoisライブラリもいくつか出ているがJPNICのwhoisの結果を満足にパースできないこと等の比較と実証なのですが、なんと59ページに及ぶスライドを不自然にページを飛ばすことも無く5分で話しきるという離れ業をやってのけました。本当に5分で終わったのか思わず時計を確認したほどです。

さいごに

JPAAWGのGeneralMeetingは一昨年は長崎、昨年は金沢、そして今年は札幌と、なかなか現地参加のハードルが高い場所での開催が多いですが、上記のような体験も現地参加でなければできないことですので、今後も参加を続けていきたいと思います。

ブログの著者欄

小島慶一

GMOインターネットグループ株式会社

デベロッパーエキスパート 2002年GMOインターネットグループ株式会社入社。 interQ、bekkoame等のホスティング商材の運用から、お名前.comレンタルサーバSDの開発、z.com webhostingを開発を担当。最近はConoHa WING,お名前RSの開発運用の傍ら、グループのホスティング商材全般と関わりを深めたいと思っている。