<   2009年 06月 ( 3 )   > この月の画像一覧

gTLD拡張に纏わる懸念。

来年スタートの「gTLD拡張」、65%の企業がドメイン・スクワッティングを懸念 COMPUTERWORLD.jp 2009年06月11日
英国のドメイン取得サービス大手Gandiが6月9日に発表した調査リポートによると、2010年に予定されているgTLD(汎用トップレベル・ドメイン)の拡張がドメイン・スクワッティング(ドメインの不法占拠)につながることを懸念している企業は、全体の65%に上っている。Gandiの調査は、1,000人以上の英国在住者を対象にしたもので、その中には大規模流通会社100社やSMBのビジネス・マネジャーが多く含まれている。

 現行のルールでは、企業/組織や個人がドメイン名を取得するときは、「.com」や「.net」、「.co.uk」のように、決められたgTLDを使用しなければならない。しかし、これに不満を持つ企業は少なくない。実際、28%の回答者が、希望どおりのドメイン名を取得できず、名前を変えたりTLDを変更したりする必要があったとしている。

 このような制約を緩和するものとして期待されているのが、来年に予定されているgTLDの拡張である。ICANN(Internet Corporation for Assigned Names and Numbers)が提案した拡張ルールにより、地名(例えば.Londonや.Paris)、企業名(.Nikeや.Coke)のほか、自由な名前(.God)をgTLDとして採用できるようになる予定だ。
 これ、非常に大きな問題なんだが、日本だとあまり話題になってないような。

「ドメイン・スクワッティング」とは、企業とか有名人とかを容易に連想させるドメイン名を第三者が登録してしまうことだ。その本人に転売することでカネを稼ごうとか、そのネームバリューに乗っかって旨みを得ようとか、そういうことを狙っているわけだ(似たもので、既存の有名ドメインに似通ったドメイン名を取り、誤解や入力ミスを狙うタイポ・スクワッティングというのもある)。

 gTLD(generic Top Level Domain)とは、ドメイン名の一番右端の、'.com' とか '.net' とかいうアレだ。昔は'com'と'net'と'org'くらいしかなかったが、2001年の改正で'info','biz','name'なんかが増えた。TLDには、この他にsTLDとiTLDとccTLD、その他、つー種類がある(ccTLD以外全部gTLDと見なすこともある)。sTLDは「スポンサー付き」というヤツで、'aero'とか'coop'なんてのが、iTLDは国際機関向け、ccTLDというのは'jp'とか'cn'とか国別に割り当てられるヤツだ。

 さて、プログラマの立場で考えると、TLDでアレコレしてるヤツはそこそこいるような気がしている。よく見かけるのは、正規表現でドメイン名のチェックをしてるようなケースだ。
 一例を挙げると、ある正規表現関係の書籍では、簡便なメールアドレスのチェックとしてこんな例を掲載している。
(?:[a-z]\.|[a-z][a-z0-9-]*[a-z0-9]\.)+(?:aero|biz|com|coop|info|museum|name|net|org|pro|jobs|travel|arpa|edu|gov|int|mil|nato|[a-z]{2})
 要するにドメイン名の一番右端はaeroとかcomとか決まった文字列(gTLD,sTLD,iTLD,その他)か、さもなきゃ英文字2文字(ccTLD)だ、つーことを前提にしてるわけだ。

 これはあくまで「簡易的」な「例」なので、こういうのをそのまま使ってるヤツはそう多くはないだろうが、webやメール関係の実装(FQDNのチェックとか)で、TLDの種類に強く依存して(=ハードコードして)判定を分けているようなケース、俺の拙い経験でもけっこうあっちこちで見かけるのである。

 gTLDに地名とか企業名とか、事実上なんでも使えるようにしてしまえ(より正確には、そういうドメインを管理するレジストラを「募集」する、といったほうがいいのか。結果的には同じことだと思うが)、つーのが今出てる「改正」案だそうだが、コレをやられると、上のようなハードコードはおそらく事実上破綻しちゃうかも。
 実際には、いろいろな運用ルールが決められて「無制限」つーことにはならないだろうが、プログラマにとって重要な「仮定」の範囲が大きく変わってしまうことに違いはない。

 もちろん、こんなのは企業ブランドとか商標とかを守る仕事をしてる連中の心配に比べれば微々たるものだろう。「せっかくcomもnetも押さえたのに、またぞろ使いもしねぇドメイン名押さえとくのに金がかかるのか!」と呪いの言葉の一つでも吐きたくなろうというものだ。

 個人的には、「やっぱ止めた」ってことにならないまでも、心配する必要がなくなるくらいグズグズで使いようがなくならないかなぁと淡い期待をしてるんである(爆)。
[PR]
by SIGNAL-9 | 2009-06-12 12:23 | 電算機関係の話題 | Comments(1)

空からオタマジャクシが降ってきた?

石川県で、空からオタマジャクシが降ってきた?、という事件が話題になっているそうな。

白山でもオタマジャクシ降る? 中島に続き、深まる謎 北國新聞 6/7
6日朝、白山市徳丸町の駐車場や乗用車の上にオタマジャクシ約30匹が落ちているのを、同町の石川県職員木島浩さん(49)が見つけた。いずれも死骸(しがい)で、つぶれた形状から上空から落下した可能性が大きい。県内では4日夕、七尾市中島町でオタマジャクシが降る「超常現象」が目撃されている。気象庁によると、いずれの時間帯にも竜巻などの現象は観測されておらず、謎が深まっている。
いわゆるファフロッキーズファフロツキーズ(FAlls FROm The SKIES)というやつだな。

------- 2009/06/23訂正
「ファフロッキーズ」じゃなくて「ファフロキーズ」だな。
山本弘氏のブログ読んでて気がついた…
------- 2009/06/23訂正

鳥か、突風か…意見分かれる 石川、謎のオタマジャクシ落下  北國新聞 6/9
七尾市と白山市で空から降ったり、地面に落ちていたオタマジャクシは、上空を飛ぶ鳥が吐き出した可能性があることが、時国公政日本鳥類保護連盟石川県支部長=七尾市大津町=などへの取材で8日分かった。一方、大槻義彦早大名誉教授は「局所的な突風で空に飛ばされた可能性が有力」とみており、「超常現象」の謎が深まっている。
要約するとこういうこと。

日本鳥類保護連盟石川県支部長の時国氏の見解
  • サギやウミネコなどは水田でオタマジャクシを好んで食べ、何かに驚いて吐き出すことがある。
  • サギなどがオタマジャクシを食べた直後、カラスに襲われた可能性などが考えられる。
  • アオサギなら一度に50匹程度を食べることもあり、4日夕に約100匹が空から降ったケースも、アオサギ数羽やカラスの群れが吐き出したとみれば不自然ではない。


それに対する、<「超常現象」を科学的に研究する>大槻義彦早大名誉教授の意見
  • 今回は竜巻が観測されておらず、局所的な突風でオタマジャクシが上空10~15メートルまで飛ばされた可能性が有力。オタマジャクシの密度は水と同じ程度で軽く、泥や水草は水より重い。このため、水の表面にいる軽いオタマジャクシだけが突風で飛ばされた可能性がある
  • 鳥が吐き出した可能性については「もしそうなら全国で同じ現象が起きるが、聞いたことがない」


全国でも大きな反響 石川のオタマジャクシ騒動  北國新聞 6/10
9日午後6時ごろ、中能登町能登部上の無職近江幸雄さん(78)方の玄関先に小魚10匹の死がいが散らばっているのが見つかった。フナとみられる小魚は体長2、3センチ。約15キロ離れた七尾市中島町では今月、大量のオタマジャクシが空から降ってきたのが目撃されており、住民は「今度は魚が降ってきたのか」と首をかしげている。

 発見者である孫の町職員希文さん(25)によると、魚は玄関前に駐車していた軽トラックの荷台周辺に落ちていた。この日、軽トラックは一度も動かしておらず、午後3時ごろに荷台を見たときには魚はいなかったという。希文さんは「天気も良く、風も全く吹いていなかった。変な音もしなかったし、いつからあったのか全く分からない」といぶかしがった。
おやおや、今度はフナまで降って来たのか(^^;) まあ、ある程度話題になるとイタズラつーこともあるだろうからマンマ受け取る必要もなかろうが。

記事が正確に事実を伝えているとして、縁起物なんでちょっとだけ大槻教授に突っ込んでおくと;
  • 「もしそうなら全国で同じ現象が起きるが、聞いたことがない」という反論は大槻氏自身の「局所的な突風」説にもそのまま当てはまるのではないか。オタマジャクシも突風も全国にあるわけだし(笑)
  • 「聞いたことがない」大槻先生は鳥類の生態のプロとは思えないが、時国氏は鳥類に詳しいヒトのはず。その人が「鳥が吐き出すことがある」と言ってるんだからどっちの意見の方がもっともらしいかはいうまでもなかろう
  • つーか、突風でオタマジャクシが飛ばされた事例なんてのを大槻先生は「聞いたことが」あるんだろうか?
いや、別に大槻説がオカシイといってるんじゃないんだが。

 過去のファフロツキーズの事例では、まさに雨のように降ってくる、というものが多くあるが、今回のものはオタマがせいぜい100匹と非常に少ない。この程度の量なら鳥(の群れ)がゲロしたもの、という説明でも物理的(量的)に無理は感じない。

 つーか、この両説の合わせ技、つまり「鳥さんがゲロったオタマが風で流されたのかも」つーあたりが妥当な推測なんじゃなかろうか。 そりゃあもしかしたら本当の「超常現象」、UFOのウチュージンがMJ12との陰謀契約の元、オタマミューティレーションを行っているとか、失われた超古代文明の遺産が発動し、オタマだけが選択的に通り抜けられる謎の空間断層が発生つー可能性も無いわけじゃなかろうが(爆)

 裏づけのない個人的印象なんだが、どうも話が以前あった「ガードレールの謎の金属片」に似てるんだよな。この時と同じ感想の繰り返しになるけど、マスコミがフォーカスして「超常現象」に祭り上げたから目立ったんであって、「普段から見えているけど観えていない」、実際には大騒ぎするほど珍しいことではないんじゃないか、という気もする。

 近く水気が無いように思える場所にオタマの死骸が落ちているなんてことは実はよくあることなのかもよ。普段は気が付かないだけで。
[PR]
by SIGNAL-9 | 2009-06-10 17:36 | 奇妙な論理 | Comments(0)

スパム考

 ブログが放置状態なのは、別に死んだわけではなく、ちょっと仕事が立て込んでるからなんである。

 おまけに、これが例の美脚の会社なんである。

 色香に迷って必要以上の仕事までやっつけてしまった事に味をしめたらしく、テキは交渉相手として美脚を前面に立ててきたんである。こちらも慈善事業ではないんである。おまけに美脚は一点差二死満塁ノーストライク3ボールからの強打なんである。ヤリたくても絶対にヤラせてくれないのである。だけどムゲにはできないんである。男の悲しいサガなんである。

 さて。

 なんだか物凄く久しぶりにメール関係の仕事なのである。何を今更だが、スパムが多いねぇ。
 McColoロックアウトのつかの間の蜜月も、はや追憶のかなたって感じだ。

 設計し始めてまっさきに思ったのは、「もう、一段のフィルタリングじゃやってられない」ということである。

 昔(っても数年前)だったら接続時点にブラックリストで蹴るなり、コンテンツフィルタを入れるなりで充分だったように思うんだが、今時のスパムの量を考えると、フィルタリングを多段にする構成でないとやっていけないような気がする(多少のfalse-positiveは許容できるという幸せな場合は例外にして)。

 最低でも
  1. SMTP接続時点のフィルタ(お金のある会社ならスパム除去サービス)
  2. コンテンツフィルタ
  3. ユーザのMUA(付随するSPAM/ウィルス対策ソフト)
の三段構成くらいで考えないとマズいんではないか。

 一般的にコンテンツフィルタは計算コストが高い。
 電話で言えば、「いちおう電話には出てから相手の話の内容を判定して蹴る・蹴らないを決める」ようなものだ。スパムの量があまりに多いと運用がキツいはずである。典型的には、このコンテンツフィルタがボトルネックになってメール配信が遅延してしまうという危険性も無視できないくらいだ。

 かといってSMTP接続時点のフィルタ(例えばDNS-RBLみたいなブラックリスト方式)だけで済むか、というとこれが中々難しい。

 一例を挙げると、良くある接続時点フィルタ方式に「接続元のホスト名が逆引きできなかったらフィルタ」という考え方がある。

 この「逆引き」条件に関しては、ネット上でも賛否いろいろ議論があるが、俺の結論としては「海外相手に手広く通信してる場合にはヤバすぎて、いきなり拒否はできない」ということなんである。

 いろいろな人が言っているように、逆引き名(PTR)は絶対に付けなきゃいけないわけではないし、どうもこの「慣習」自体が存在しない国もあるようだ。DNSクエリだってコケることはある。

 根がマジメな上にある程度法律の網もかかっていて、OP25Bなど対策をとっている日本のISP/NSPならいざ知らず、海外のネットワークに一律適用するのは慎重にならざるを得ない。

 ところがこの「逆引き失敗」というのは、もっとも効果の大きなルールなのである。

 引き合いに出して恐縮だが、有名どころでS25Rというものがある。
 浅見秀雄さんが考えられたS25R(Selective SMTP Rejection)方式は、少ないルールで高い効果が期待できる実に巧妙な方法である。
 このS25Rにも「ルール0:逆引き失敗」というルールが取り入れられている。

 試しにS25Rのルールを手元のログに適用してみると、「ルール0:逆引き失敗」の対象になるだろうメールは全体の45~50%に上る(もちろん大半がスパムである)。これは残りのルール全部(名前が引けた場合に動的IPと思しきネーミングだったらフィルタ)で引っ掛ける総和とほぼ等しい。

 S25Rの他のルールは正規表現で逆引きホスト名を判定する方法なので、甘目辛目の調整もできるが、このルールだけはそうもいかない。
 で仕方なく、ルール0の適用を諦めるとなると、せっかく良く出来ているS25Rルールでもブロック率が半減してしまう…、という悲しいことになってしまうかもしれないわけだ。

 この辺の問題もあるので、現行のS25Rは、いきなり拒否ではなく再試行要求を返しておいてリトライしてきたものを救済する(ブラックではなく、いわゆるグレイリスト方式)という考え方になっているようである。これとピッティングを合わせて自動化したのが佐藤潔さんのtaRGreyだろう。

 リトライの挙動だけで救済すると、ちゃんとメールサーバを使ってくるスパム(最近の出会い系なんかみんなそうだ)が抜けてしまうので、多少辛めに色をつけてもいいかもしれない。

 SMTP接続時(つまりDATAコマンドの前)に、スパム判別に使えそうな特徴はいくつかあるように思う。例えば;
  1. Sender(MAIL)が異常
    1. Senderのチェックは相手の事情もあるのでムゲにキツクはできないし、ドメイン名でハジこう(例えば「これは出会い系のドメインなんでNG」みたいな)としても、ドメイン名は新規にいくらでも取れるので、ブラックリストが爆発的に増えてしまう。運用が難しい上にさほど効果が期待できない。
       だが、Bot相手ということなら、いくつか引っ掛けられそうな特徴がある。
       例えば「外から来たメールなのに、こっちのメールアドレスを名乗っている」、なんてのがそうだ。外部からの正規の転送ということはありうるが、情報漏洩の防止の観点から、そういうこと自体禁止、という会社も多いだろう。
    2. さらにヒドイのは「Sender=Recipentというメール」が無視できないほど多い。手抜きもいいところである。Bot作る奴ももう少し丁寧に作ったらどうか(爆)。
  2. Recipient(RCPT)が異常
    1. 宛先のドメイン名にこちらのサーバの名前(経路途中の内部サーバ名も含めて)をそのまま使っている。例えばドメイン名がfoo.co.jpで、メールサーバがmx1.foo.co.jpだったりすると、hogehoge@mx1.foo.co.jpなんて宛先で送ってこようとする(hogehoge@foo.co.jpが正解)。仕様上は合法かもしれないが、マトモな人が送ってくるメールだったらちょっと考えられない。
    2. 奇妙な記号で始まっている。例えば正しいメールアドレスがhogehoge@foo.co.jpの場合、この前に縦棒(|hogehoge@foo.co.jp)を付けてくる。おそらくパイプを利用した悪さか何かを狙ってるのだろうと思うが、単なるバグかもしれない(笑)。どっちみち内部配送でエラーにするので、入り口で蹴ってしまっても差し支えなかろう。このバー始まりのメアドというのは、想像していた以上に多いので、何か特定のBotの仕業なのかもしれない。
  3. ローカルパート(@の前)が16進くさい。
    1. a123bfcf.f8845cda@foo.co.jpみたいな。これもかなり多い。「正しいメールアドレスのローカルパートには数字が含まれない」なんて確信が持てるのなら、正規表現一行でかなりのスパムが弾けるだろう。
  4. HELO(EHLO)がマトモでない
    1. FQDNでなかったり、ヒドイのになるとlocalhostとか[127.0.0.1]とか、フザケルなと言いたくなる様な名前を名乗ってくるものがある。MUAの実装や相手のメール環境による可能性もあるが、フツーはあまりなかろう。
  5. Message-IDをつけて来ない
    1. これはDATA文の前ではないのでSMTP接続時の特徴ではないが、意外と判りやすい特徴なので挙げておく。メッセージIDはフツーはMUAか最初に踏んだMTAがつけるので、相手がフツーのメール環境だったら付けてくると期待してもあながち間違いではなかろう。必ず付けなさいというルールは無いかもしれないが、これが付いていないということは普通のMUA/MTAを使用しないで、こちらのメールサーバに直接繋いでいる可能性が高い。つまりマトモなショーバイ相手ではない(おいおい)ので、リトライ救済を前提としてなら蹴ってしまって構わないかもしれない。

 もちろん、どれも単一の合致でクロ判定ができるようなものではないので、重み付けで使うというのが正解だろう。何点か取得したら積極的に救済しないとか、一時的にグレイリストに入れる、みたいな。

 また、この種の特長は「汚いネットワーク」を探すことにも使えるかもしれない。
 ためしに受信ログから上に挙げたような特徴の加点方式で怪しげなIPを抜き出してみて、SenderBaseなどでチェックしてみると、かなりの高確率でPoor評価と一致し、イモヅル(CIDR)で「汚いネットワーク」を見つけることができるようだ。状況によってはテンポラリなブラックリストとしても利用できるかもしれない(総量からいえばゴミみたいなものなので効果としてはあまり期待できないが)。

 このようなヌルい方法だと、ユーザの手元に到達してしまうスパムはほぼ絶対に減らないが、SMTP接続レベルのフィルタは単に後段のコンテンツフィルタの負荷低減のためだけ=コンテンツフィルタの無制限なスケールアウト(笑)やフィルタリング起因の配信遅延の抑制程度にはなる、という見切った設計でもいいのではあるまいか。

 いずれにしても、
  1. 今やフィルタリングは「単一」ではなく「多段」で考えた方がよさそうだ
  2. スパムの手口も多様化してるし、false-positiveの許容度・許容できるコストも千差万別なので、フィルタリング方法・条件に万能薬はない。状況に合わせた調整が必要(ぶっちゃけ、どこぞのRBLを使ってるからOKとかS25Rで万全、なんてわけにはいかないということ)
というのがここ最近の感想なんである。

…しかし、全世界でスパムで悩んでいる人から募金すればゴルゴ13を雇って主要スパマーを始末してもらうくらいできるんじゃなかろうか(爆)

メールで御質問いただいたので、9/17に追記。
[PR]
by SIGNAL-9 | 2009-06-09 00:00 | 情報保護・セキュリティ | Comments(0)