メールインフラの生々しい運用
•
15 likes•11,670 views
[2019/05/27開催「IIJ Technical NIGHT vol.7」の講演資料です] 現代の迷惑メールは広告のような「単に迷惑である」域を超え、脅迫やネットバンキングアカウントの詐取などの直接的な金銭獲得の手段として利用されています。 本セッションでは運用者から見た迷惑メールの特徴と、設備面での迷惑メールとの戦いを紹介します。 ▼講演者 ネットワーククラウド本部 アプリケーションサービス部 運用技術課 脇坂 優樹
Recommended
More Related Content
What's hot
What's hot (20)
Similar to メールインフラの生々しい運用
Similar to メールインフラの生々しい運用 (18)
More from IIJ
More from IIJ (20)
メールインフラの生々しい運用
- 1. 1© Internet Initiative Japan Inc. Session2:メールインフラの⽣々しい運⽤ IIJ Technical NIGHT vol.7 「まだまだ現役!モダンなメールシステムと迷惑メール最前線!」 2019年5⽉27⽇ 株式会社インターネットイニシアティブ ネットワーククラウド本部 アプリケーションサービス部 運⽤技術課 脇坂 優樹
- 2. 2 ehlo 脇坂 優樹 • おおざっぱに:IIJ セキュアMX サービスの「なかのひと」 • 2016年新卒⼊社以降メール系サービス運⽤担当 • 設備構築したり • 迷惑メールと戦ったり • ⼤学時代はもう少し低いレイヤーの⼈だったはず(でした) • ネットワークとかストレージとか • いろんなレイヤから不具合を⾒つけ出してくるのが得意に
- 3. 3 list おはなしすること 我々は何と戦っているのか? • Spam メール実例 • 迷惑メール • フィッシングメール • ウィルスメール • 脅迫状 • Spam メール到達率を上げる⼯夫 迷惑メールと戦う設備と⼈ • vs ウィルスメール • vs 迷惑メール • vs 業務メール • 管理者はどう戦えばいいのか
- 5. 5 我々は何と戦っているのか? 古典的な「迷惑メール」 出会い系 • 今も昔もいっぱいくる。 • 単なる迷惑な spam の⼤部分はこれ。 違法商品販売系 • 偽ブランド品 • TVに刺すカード • クスリ 迷惑なだけ、実害はあまりない 本画像は講演時のみ掲載とさせていただきます
- 6. 6 我々は何と戦っているのか? もはや⾒た⽬ではわからない「フィッシングメール」 「カードご利⽤履歴」「注⽂内容ご確認」 • クレジットカードの利⽤やオンラインショッピングの 利⽤通知を送ってくる • リンクから偽のログイン画⾯に誘導する アカウントに不審なアクセスが • Amazon や Apple 等のログイン通知を装う メールボックスの使⽤量が90%を超えました • メールサーバ管理者を装って送ってくる • 本物もあるので厄介・・・ カードやアカウントの不正利⽤が⽬的 本画像は講演時のみ掲載とさせていただきます
- 7. 7 我々は何と戦っているのか? もはや⾒た⽬ではわからない「フィッシングメール」 「カードご利⽤履歴」「注⽂内容ご確認」 • クレジットカードの利⽤やオンラインショッピングの 利⽤通知を送ってくる • リンクから偽のログイン画⾯に誘導する アカウントに不審なアクセスが • Amazon や Apple 等のログイン通知を装う メールボックスの使⽤量が90%を超えました • メールサーバ管理者を装って送ってくる • 本物もあるので厄介・・・ カードやアカウントの不正利⽤が⽬的 本画像は講演時のみ掲載とさせていただきます
- 8. 8 我々は何と戦っているのか? 進化していく「ウィルスメール」 「請求書」「送り状」「写真」 • MS Word や Excel を隠れ蓑にしたマクロウィルス • 実体はマルウェア本体をダウンロードするスクリプト • 難読化のパターンを変えればハッシュも変わる Loveletter の類 • 有名⼈を騙って送ってくる • 写真付けました!→ 中⾝は javascript 暗号化 zip / rar の中にウィルス • アンチウィルスを突破するため暗号化 • パスワードはメール本⽂中に書いてある やめよう、パスワードzipメール ダウンローダだけが来ることが多い 本画像は講演時のみ掲載とさせていただきます
- 9. 9 我々は何と戦っているのか? 進化していく「ウィルスメール」 「請求書」「送り状」「写真」 • MS Word や Excel を隠れ蓑にしたマクロウィルス • 実体はマルウェア本体をダウンロードするスクリプト • 難読化のパターンを変えればハッシュも変わる Loveletter の類 • 有名⼈を騙って送ってくる • 写真付けました!→ 中⾝は javascript 暗号化 zip / rar の中にウィルス • アンチウィルスを突破するため暗号化 • パスワードはメール本⽂中に書いてある やめよう、パスワードzipメール ダウンローダだけが来ることが多い 本画像は講演時のみ掲載とさせていただきます
- 12. 12 迷惑メールと戦う設備と⼈
- 13. 13 迷惑メールと戦う設備と⼈ vs ウィルスメール 複数エンジンで不得意分野をカバーしあう • シグネチャ型はどうしても最初は抜ける • セキュア MX では3エンジン搭載しているが、 出始めはだいたいどれか1つでしか検知できない キャンペーンへの対策 • 先に軽量設定でスキャンして⼤部分を撃ち返す • 確実にクロなものは強制的に bounce 抜けた分はスパムフィルタでもカバー • マルウェア本体は違ってもメールの構造が似ていれば ⽌められる • アンチスパムエンジン⾃体もマルウェアを判別できる The Internet AntiVirus A AntiVirus B AntiSpam Y AntiSpam X メールボックス フィルタ 隔離box
- 14. 14 迷惑メールと戦う設備と⼈ vs 迷惑メール やっぱり複数エンジンでカバー • アンチウィルス以上に得意・不得意がわかれる • 中⾝が頻繁に変わるので出始めが勝負 • 正規メールの誤判定率をどう抑えるかが悩みどころ 物量に負けない隔離システム • 「誤判定あるしとりあえず隔離」と設定されてしまう • ⼤規模キャンペーンでも捌ける分散ストレージを導⼊ • フィルタと疎結合にして⾼負荷時の配送遅延を防ぐ ベンダとの連携 • ハニーポットで観測された spam を⾃動で即通報 • 定期的なミーティングで傾向や検知状況を情報交換 The Internet AntiVirus A AntiVirus B AntiSpam Y AntiSpam X メールボックス フィルタ 隔離box
- 15. 15 迷惑メールと戦う設備と⼈ vs 迷惑メール ちなみに・・・ Q. キャンペーンってどれくらいの量の迷惑メールきますか A. 平時の数⼗倍くらいの量が数時間継続します 旧システムで⾳を上げたのはディスク保存のある隔離部分 • 新システム検証時に本番同等規模の検証環境で徹底的に負荷をかけて実験 • 実験時に問題を洗い出して本番構築時にチューニング • バージョンアップのたびに性能検証 検証でシステム壊しすぎて当時の上司に「破壊神」と⾔われた
- 16. 16 迷惑メールと戦う設備と⼈ vs 業務メール!? False Positive は是正が⼤変 • spam はハニーポットからいくらでも提供できる • 顧客の業務メールは明⽰的に同意がないと提供不可 • 業種によってスタイルがバラバラ Spam を全部とめるだけなら簡単 • 怪しいのは全部⽌めればいい! • 業務メールを巻き添えにするのを気にしないなら メールマガジンは spam なのか? • 業務上必要なメールマガジンもある • 欲しい⼈と欲しくない⼈の両⽅居る • ⾃分で購読したのに忘れてて迷惑メール扱いする⼈も • From が毎回違って多くの⼈に送られる → spam の挙動に類似 安否確認メールは特に厄介 • 普段観測されないドメインから • リンク付きのメールが • 短期間に⼤量に送信される →どうみても spam にしか⾒えない!
- 17. 17 迷惑メールと戦う設備と⼈ メールシステム管理者はどう戦えばいいのか • ⼤前提として、AntiVirus/AntiSpam 両フィルタは必要 • フィッシング対策に送信ドメイン認証でフィルタ • 既知の業務⽤ドメインは認証通過すれば ok にする • 本物ドメインを詐称したF/N はありえなくなる • 似たような偽ドメインは通過するので万能ではない • ⾃社ドメインは (最低でも) SPF を設定する SPFのないドメイン、詐称⽤に狙われてます • 受信者が冷静に対処できるよう教育を
- 18. 18 まとめ • メールは攻めやすく守りにくい • 攻撃側から⾒ると安価な攻撃⼿段 • 防御側から⾒るとコストばかりかかる • 攻撃者はさまざまな⼿段で⾦銭奪取を試みている • フィルタ回避・到達率向上のための⼯夫がされている • 正しい知識を持ち、攻撃⼿段に応じた対策が必要 • やっぱり最後の弱点は⼈間 • ここまでやっても抜けるときは抜ける • 最後は受けとった⼈間が冷静に対処できるか 戦いは続く・・・