パスワードを忘れた? アカウント作成
Close
3081 story

経済産業省が!広告!抜きspam撲滅大作戦 73

ストーリー by Oliver
効果はいかほど 部門より

Batty曰く、"経済産業省の24日の発表で、サブジェクトへの「!広告!」表記や事業者のメールアドレス表示義務などに違反しているとして、約1,100の送信元サイトに対して是正を求める警告メールを送信する措置がとられたことが明らかになったそうだ。これで、迷惑メールによる不眠症からみなさん改善されるのではないだろうか?"

情報提供された6万4000通のうち3万5000通(1100の発信元)に警告したとのこと。この中の少なくない数がUser Unknownになったんだろうな。spam以外にも3万件のオンライン通版サイトをチェックし、9000件を警告って多いな。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

経済産業省が!広告!抜きspam撲滅大作戦 More

  • インフラを見直すことはできるか? (スコア:3, すばらしい洞察)

    by bit_d (498) on 2002年05月28日 15時03分 (#98912)
    電子メールのインフラそのものが、きわどい商行為と相容れないように感じています。

    旧来からの電子メールによるメッセージ交換は相互信頼モデルで成り立っているんですよね。From:然りReply-To:然り、自身を名乗るためのフィールドは偽証しないことが当然で、間違った情報が載っていれば当然のごとく相互のメッセージ交換が成り立ちません。さらに、第三者に迷惑がかかることすらありえます。
    (RFC等のリファレンスをすぐに出すことができません...失礼)

    宣伝目的で不特定多数に電子メールを送る場合、現実世界でのダイレクトメールとは明らかに異なる事情が存在します。それは、「(仕掛け上)連絡先として電子メールアドレスを明らかにする必要が無い」点ですね。
    URLを文中に載せておけばダイレクトメールとしての目的は十分果たします。さらに、電子メールでの連絡先を隠せば、相手の意思にいちいち答える必要も無い!

    改めて考えると、電子メールの仕掛けって、商売やってる側の一方的な思惑がとおりやすい仕掛けになってるんですねぇ。なんかやだなぁ。

    送信元を偽証できず、明らかにしない限りメッセージが交換できないような新たな電子メールに関するRFCを仮に制定するとしたら、どのような問題が出てくるでしょう?

    #利用者の観点でざくっと考えたところでは、目立った問題点が思いつきませんでしたが...。

    • 送信元を偽証できず、明らかにしない限りメッセージが交換できないような新たな電子メールに関するRFCを仮に制定するとしたら、どのような問題が出てくるでしょう?
      電子メールで暗号化・署名を行うための S/MIME [ipa.go.jp] という規格が既にありますが、残念ながらあまり使われていません。

      新たに何か規格を作っても広まらなければ意味がないということでしょうね。
      --
      鵜呑みにしてみる?
      シェア
      親コメント
      • 電子メールで暗号化・署名を行うための S/MIMEという規格が既にありますが、残念ながらあまり使われていません。

        詳しくないので教えていただきたいのですが、それって、「暗号化・署名」を行う為の規格と言う事は、送信されたメールの内容を、第3者が除いたり、改竄したりできないように、また改竄されていたとしたら気付けるようにする仕組みですよね?

        送信元が予め、悪意…かどうかは解らないですが、メールアドレス等を偽証していたり、明らかにしていない事に対する防衛策にはならないのではないでしょうか?

        違っていたら申し訳ないのですが、逆にそうであるなら、もうちょっと詳しいところを聞きたいですね。
        # いや、自分で調べればいいんですけどね。(^^;

        --
        Yasuda
        シェア
        親コメント
        • S/MIME 署名された電子メールは、署名の持ち主が送ったということが保証されます(より正確には、署名の持ち主が送ったと他の人が判断したとき、署名の持ち主は言い逃れができない、ということです)。なので、 #98961 [srad.jp] に書きましたが、 S/MIME が十分広まれば、 S/MIME 署名されていない電子メールの受け取りを拒否することでメールアドレス詐称を防ぐことができます。

          もちろん、これが現状で有効な方法かというと残念ながら難しいのですが、受け取りたいと思うメールの差出人が全員 S/MIME 署名できるメーラを使ってくれればいいわけで、今後 S/MIME が広まるかどうかは利用者次第という気がします。

          // こんなことを書いているぼく自身、まだ PGP の鍵を持っていなかったりしますが……いろいろ事情があるのです。
          --
          鵜呑みにしてみる?
          シェア
          親コメント
          • S/MIME 署名された電子メールは、署名の持ち主が送ったということが保証されます(より正確には、署名の持ち主が送ったと他の人が判断したとき、署名の持ち主は言い逃れができない、ということです)。

            なるほど。
            何となく解ってきました。

            まだ微妙に納得しきれないところがあるのですが、とりあえずこの記事 [atmarkit.co.jp]でも読んで、もうちょっと自力で勉強してきます。(^^;

            でも、未練がましく納得いかない部分を書いておくと、S/MIMEでなりすまし、改竄は防げたとしても、元から存在しないようなメールアドレスで届くspamがS/MIMEで暗号化されて届く事はないのだろうか…と。

            署名とか鍵とかを、どこかの信頼できる第3機関で取得しなければならない、あるいは登録してあるということなら、わかるんですけどね。

            しかし、この納得いかない部分って言うのが、なんとなく自分の理解力の無さをさらけ出しているようで、ちょっと恥ずかしいな…。(笑)

            --
            Yasuda
            シェア
            親コメント
            • S/MIMEでなりすまし、改竄は防げたとしても、元から存在しないようなメールアドレスで届くspamがS/MIMEで暗号化されて届く事はないのだろうか…
              S/MIME (PGP ではなく)では、鍵は認証機関が発行するので、信頼できる認証機関から発行された鍵で署名されたメールだけを信用するようにすればいい、と思います。

              信頼できる認証機関以外から発行された鍵を使って署名されたものも同列に扱ってしまったら、署名の意味がなくなります。

              どの認証機関を信用するかについては、 SSL のときと同じように考える必要があります(って、どれだけの人が「SSL の認証機関としてどこを信用するか」について考えた上で結論を出しているかは疑問ですが……)。
              自分の理解力の無さをさらけ出しているようで
              それを言われてしまうと、既に恥をかいてしまった [srad.jp]身としてはちょっと悲しい……。
              --
              鵜呑みにしてみる?
              シェア
              親コメント
      • S/MIMEは偽証でないことを証明する技術であって、偽証を防ぐためのものではないでしょう。
        世界の全ての人がS/MIMEのメール以外うけとらないように強制するならば話は違いますが、現実的ではありませんね。

        現状より優れたインフラを考えるのは簡単ですが、実際に世界的に広まったインフラを変更もしくは置換することは恐ろしく難解なように思えます。

        # IPv6のように
        シェア
        親コメント
        • 世界の全ての人がS/MIMEのメール以外うけとらないように強制するならば話は違いますが、現実的ではありませんね。
          #98912 [srad.jp] に書かれているような from 詐称の被害に自分が遭わないようにするためには、 S/MIME 署名されていない電子メールの受け取りの拒否を他の人にまで強制する必要はないと思います。別の問題と勘違いされていませんか?

          今から新しい仕組みを作って広めるのと、 S/MIME 署名されていない電子メールの受け取りを拒否しても害がない程度まで S/MIME を広めるのとの労力を比較したら、今新しい仕組みを作ることの利点はないと思う、というのがぼくが #98920 [srad.jp] で言いたかったことです。
          実際に世界的に広まったインフラを変更もしくは置換することは恐ろしく難解なように思えます。
          という発言には賛成です。現状より優れたインフラを考案することよりもずっと難しいでしょう。ただ、現状より優れたインフラを考案するのが簡単と言えるかどうかはぼくにはわかりません。
          --
          鵜呑みにしてみる?
          シェア
          親コメント
          • from 詐称の被害に自分が遭わないようにするためには、 S/MIME 署名されていない電子メールの受け取りの拒否を他の人にまで強制する必要はないと思います。
            from詐称の被害、の定義によると思います。
            私は以前自分のメールアドレスが広告メールのfrom詐称に使われたことがあります。このようなメールを他人が受け取らないようにするためには他人にもS/MIMEを使ってもらわないとダメなような気がします(方法があればご教授いただけるとありがたいです)。

            #自分が出すメールは全部S/MIMEで送るからそれ以外は信用しないで、というのも無理でしょ?
            シェア
            親コメント
            • おっしゃる通り、 from を詐称した電子メールが自分のメールボックスに溢れかえることを防ぐには、自分が署名なし電子メールの受け取りを拒否すればいいですが、他人に自分を騙った電子メールを出されることを防ぐ方法は、
              • 他人にも署名なし電子メールの受け取りを拒否してもらう(拒否までしなくてもいいけど、署名なし電子メールは初めから疑ってもらう)か、
              • 自分から出すメールは全部署名付きにするからそれ以外信用しないで、と広報しまくるか
              くらいしかないですね。

              #98961 [srad.jp]でぼくは、「from 詐称の被害にもいろいろあって、 #98912 [srad.jp] に書かれているような種類の from 詐称の被害に遭わないためには、自分だけ署名なし電子メールの受け取りを拒否すればよい」という意味のことを書いたつもり……だったのですが、よく読んだら #98912 にはどんな種類の被害とは書いてませんでしたね。失礼しました。
              --
              鵜呑みにしてみる?
              シェア
              親コメント
        • S/MIMEは送信者偽証を行うと本文の復号ができないんですよね。
          送信そのものについて信頼性を与える仕掛けではないと私は理解しています。

          最初の発言が舌足らずだったと思っているんですが、

          現状より優れたインフラを考えるのは簡単ですが、実際に世界的に広まったインフラを変更もしくは置換することは恐ろしく難解なように思えます。
          まさにこのあたりが、現状の不都合を解消するために新しい技術を導入する際の難しさであると私も考えています。

          # IPv6のように
          IPv6については、アドレスの枯渇、セキュリティ問題に対する打開策としてこれから加速しそうな雰囲気が(少しずつですが)感じられますね。
          電子メールでも、法的ではなく技術的に迷惑な運用を不可にする方法ができれば、省庁による「しのぎの削り合い(笑)」とか見せられなくてスマートでいいなぁ...、と思ったわけです。
          シェア
          親コメント
      • うわー、大間違い。ぼくは今まで S/MIME という言葉を間違って「電子メールに対する署名や暗号化の仕組み」という意味で書いていましたが、 S/MIME というのはそういう仕組みのうちの一つの名前なんですね。 PGP [iijlab.net] でももちろんいいです。

        個人で使うには、 CA に証明書を発行してもらわずにすむ PGP のほうがいいと個人的には思います。

        // 恥ずかし……。
        --
        鵜呑みにしてみる?
        シェア
        親コメント
        • でも,PGP だと fingerprint などで鍵の正当性を確認しない限り発信元詐称はできてしまう。
          だから,見ず知らずの人から届いたPGP署名メールが,それが本当にその人から発信されたモノかをその場で判断することは出来ません。
          シェア
          親コメント
          • そうですが、 PGP の理想的な運用形態では、その問題を「信頼の輪」(web of trust)で解決することができると思います(違いましたっけ……少々自信喪失)。

            PGP が広く使われるようになったら、信頼の輪って実際どの程度役に立つのでしょうね。「信頼」できる精度を保ったままどの程度広い送信元をカバーできるのかに興味があります。

            // そのためにも、 PGP を広める必要があるわけで……やっぱりインストールしようかなあ。
            --
            鵜呑みにしてみる?
            シェア
            親コメント
    • 送信元を偽証できず、明らかにしない限りメッセージが交換できないような新たな電子メールに関するRFCを仮に制定するとしたら、どのような問題が出てくるでしょう?

      その「送信元を偽証できない仕組み」、「明らかにしなければならない仕組み」の実現方法しだいだと思いますが、現時点の私では、信頼できる第3機関に、全メールアドレスの証明書を発行してもらう以外に思いつきません。

      そういったDBの構築・運用が可能かどうかはまた別にして、ユーザーの視点で見ると、メールアドレスを変更するだけでも、証明書の再発行など時間と手間がかかってしようがないです。

      私は技術的な面には疎いので、これくらいしか思い浮かばないのですが、他にもっとよい方法はないでしょうか?

      --
      Yasuda
      シェア
      親コメント
      • でも,たとえば「送信元を偽証するメール」そのものに罰を科すとか,できないもんでしょうか?
        シェア
        親コメント
        • でも,たとえば「送信元を偽証するメール」そのものに罰を科すとか,できないもんでしょうか?

          できない事はないとは思いますけどねぇ…。

          でも、結局、事後対処になっちゃいますよね。
          もちろん、抑止力がある事は認めますけども…。

          まともにMUAの設定のできない方々もたくさん、インターネットを使用されているので、副作用として、そういう方々がばんばん引っ掛かりそうな気も…。(^^;

          --
          Yasuda
          シェア
          親コメント
          • 抑止力の効果は結構大きいと思います.(1万円以下の科料,とか
            だと,駄目でしょうけど.^^;;)

                  まともにMUAの設定のできない方々もたくさん、インターネッ
                  トを使用されているので、副作用として、そういう方々がばん
                  ばん引っ掛かりそうな気も…。(^^;

            ま,そういう人は,「立件しない」ってことで,運用で対処できるか
            ら,大丈夫でしょうけど.
            (ご本人にも,いい教訓になるでしょうし.)
            シェア
            親コメント
          • >まともにMUAの設定のできない方々もたくさん、インターネットを使用されているので、副作用として、そういう方々がばんばん引っ掛かりそうな気も…。(^^;
            こういう方のために、OutlookExpressのデフォルト設定をS/MIMEにしてしまえばいいんですけどね。
            htmlメールをデフォルトにしていたこと(今はどうなの?)にくらべれば、はるかにまともだし、OS付属メーラとして果たすべき義務だとおもいますけどね。
            シェア
            親コメント
    • 思いついたままですが、
      • 携帯の場合は、指定したアドレスのみ受信し、それ以外はサーバーでエラーで返す様な機能を実現する。新たなアドレスのメールを受信するリストに加えたい場合はサーバーの設定を変え、全てのアドレスを受信する。新たなアドレスのメールを受信し終わったら、サーバーへの登録と、指定したアドレスのみ受信する設定に戻す。これらの操作は容易に行えるようにする。
      • PCの場合は、受信前にメールのサイズやサブジェクトを表示し、サイズが大きく広告だと判るものはダウンロードせずに削除。サイズが小さい物はダウンロードしてから削除した方が簡単。
      などで、かなりマシになると思います。
      シェア
      親コメント
      • PCの場合は、受信前にメールのサイズやサブジェクトを表示し、サイズが大きく広告だと判るものはダウンロードせずに削除。サイズが小さい物はダウンロードしてから削除した方が簡単。
        昨今のネットワークインフラを考えれば、受信してしまってから捨ててもそれ程コストは変わらない、というか、一旦受信してからの方がコストは安いかも。
        もちろん通信コストは受信しない方が安いかもしれませんが、サイズやサブジェクトで受信する/捨てるを判断するのであれば、ちゃんと読まなきゃいけないけど、受信したメールを見て判断するのであれば、ぱっと一目見れば「あ、これステ」ってのが判断できるので、人件費(?)は安くつく.....かもしれない。
        シェア
        親コメント
    • この話題がどこまで伸びるかはわかりませんが、とりあえずサマライズしてみます。

      SPAM周辺の対策として、私の問いかけから出てきた話題としては

      • 運用によりカバーする(メールサイズ、キーワードマッチング等)
      • 法規制(偽証行為、プロトコル単位の規制)
      • プロトコルレベルのコントロール(ダイアルアップ接続からのSMTPカットアウト等)
      • 個人特定のための署名技術(S/MIME、PGP)
      がありました。

      思うに、最後の署名技術を除くすべてが「今よりもやりにくくなる」方向に話が行ってしまうように思えるんですよね。
      あと、署名技術については「届いたメールの発信者が信頼に値するかを検証する」ために有効な技術であると思います。

      では、さらに一歩踏み込んで「発信者が応答に対し信頼できることを証明できない限りメール発信ができない」ような技術的な仕掛けって考えられないですかね。PKI技術とメールインフラが密接にかかわらないと無理な気がしてきました...。
      #98912 [srad.jp]を書いたときにはまだあいまいだったのですが、だいぶ考えがまとまりました。同時に、本人が激しく不勉強であることを実感しましたのでさらに勉強したいと思います。

      #あ~なんかちょっと優等生的な発言でちょっと自分でイヤ~ンな感じになってしまいました(笑)。
      #slashdotの発言経験が少ないのでよくわからないのですが、こういうサマライズとかまとめ的発言とかってどうなんでしょう?あっていいですか?

      シェア
      親コメント

  • ドメイン保有者に・・・ (スコア:2, 興味深い)

    by nayuta (1257) on 2002年05月28日 18時54分 (#99027)
     結構ドメインとってるところがおおいんだし、どうせならwhoisかけてそのドメインの保有者に内容証明郵便とかを送ってほしかった(笑)。
     まあ、でも別にドメインの保有者がサイト運営してると限ったわけじゃないし・・・むずかしいのかな・・・?
    --
    ---------- ------ ISHII Nayuta

  • これで (スコア:1)

    by officepig (3266) on 2002年05月28日 14時50分 (#98907) 日記
    !広告!付き迷惑メールは急増するわけですね(笑)

  • 矛盾 (スコア:1)

    by Technical Type (3408) on 2002年05月28日 15時19分 (#98922)
    でも総務省の特定電子メールの送信の適正化等に関する法律 [srad.jp]を遵守し、「未承諾広告」と入れた spam を、経済産業省が「!広告!が無い」と取り締まったら、もう漫画の世界ですね。

    お上はアテにならないので、procmailでSPAM除け(「!広告!」をフィルタする) [oucc.org]にあるように、サブジェクトに広告の文字が入っているのは /dev/null 行きにできるような機能を提供しろとプロバイダに要求しようかな。

    • Re:矛盾 (スコア:1)

      by Technical Type (3408) on 2002年05月28日 15時22分 (#98924)
      わかったぞ! 総務省案潰しのための既成事実作りか!
      シェア
      親コメント

    • Re:矛盾 (スコア:1)

      by wanabee (2827) on 2002年05月28日 15時35分 (#98935) 日記
      でも総務省の特定電子メールの送信の適正化等に関する法律 [slashdot.jp]を遵守し、「未承諾広告」と入れた spam を、経済産業省が「!広告!が無い」と取り締まったら、もう漫画の世界ですね。
      総務省のものと経済産業省のものと両方遵守すればオプトアウトな広告メールは実質的に送れなくなります。
      しかも両省とも面目を潰されずに済みます。
      広告業者以外みんな幸せになれていいことじゃないですか。
      --
      今年の目標考え中
      シェア
      親コメント

  • 具体的な作業手順は? (スコア:1)

    by SteppingWind (2654) on 2002年05月28日 15時28分 (#98929)

    2か月間で64000通を処理した訳ですから, 1日あたり1000通の内容を確認したことになりますよね. 担当者の人数にもよりますが, ギリギリ人手で処理できそうな気もするんですが(後に屍がころがっているかもしれませんが), 機械的なルールに基づいて何らかのツールを使ってチェックしたなら, そのツール等の具体的な内容を公開してもらいたいですね.

    RFCじゃないですけど, 具体的な実装例があるのと無いのでは, 判断基準の明確さが大違いですから.

    • Re:具体的な作業手順は? (スコア:1)

      by seldon (5637) on 2002年05月28日 17時06分 (#98980)
      機械的なルールに基づいて何らかのツールを使ってチェックしたなら, そのツール等の具体的な内容を公開してもらいたいですね.
      そういうものを公開すると、そのツールをすり抜けるように工夫したspamが氾濫する罠(^^;
      シェア
      親コメント

      • Re:具体的な作業手順は? (スコア:1)

        by oku (4610) on 2002年05月28日 17時56分 (#99003) 日記
        そういうものを公開すると、そのツールをすり抜けるように工夫したspamが氾濫する罠(^^;
        論理的に通り抜け不可能なフィルタを書いてしまえばいいのではないでしょうか? 例えば
        • 総務省の条件に照らして適切であること
        • 経済産業省の条件に照らして適切であること
        の両者を論理積にすれば通り抜けできないと思うのですが。
        シェア
        親コメント
  • これは継続的に同じようにやってもらえるものなのでしょうか?
    まさか、今回だけってことはないよね?

    この「迷惑メール」のところって、なんだか各省があれやこれやとバトルを繰り広げて、自分のテリトリーにしたがっているじゃないですか。たしかに、このアイテムだと特殊法人とかNPOとか作れそうでしょ?

    (財)電子媒体広告事業者協会

    とかね。

    今回は各省の縄張り争いの具にされているだけのように見えるんですが。
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー