MMSのプロトコルはSMTP、GRX網で接続　モバイルメッセージングのデータ保護

EVENT

2021年02月25日に開催

インターネットでのセキュリティ分野で話題の、電子メールのパスワード付きZIP添付書類（PPAP）問題について語る「パスワード付きzip添付メール問題を考える」。ソフトバンク株式会社の北崎氏、株式会社インターネットイニシアティブの櫻庭氏、株式会社 TwoFiveの加瀬氏が「データ保護・誤送信防止のメール技術とは？」をテーマに語ります。最後に、北崎氏によるモバイルメッセージングの状況について。前回の記事はこちらから。

スピーカー

北崎恵凡

ソフトバンク株式会社

櫻庭秀次

株式会社インターネットイニシアティブ / JPAAWG 会長 / IAjapan 迷惑メール対策委員会委員長

加瀬正樹

株式会社 TwoFive 開発マネージャー

モバイルメッセージングの世界

加瀬正樹氏（以下、加瀬）：ありがとうございます。それでは最後に北崎さんらモバイルの世界でのデータの保護のテーマで話してもらえればと思います。よろしくお願いします。

北崎恵凡氏（以下、北崎）：それでは、モバイルメッセージングの世界について、北崎から紹介したいと思います。なかなかインターネットメールとモバイルメッセージングでは住む世界が違かったり、あまり情報が公開されない状況だと思っているので、少しでも役に立てればと思い、今日はモバイルメッセージングの状況について情報共有したいと思います。

情報のやりとりをする場合、まずその情報の取り扱いについて整理して、それを相手にどうやって渡すかという議論がされると思います。そのため、まず情報の機密区分の整理、ルールを整備して、その次にどういう手段で情報を相手に渡すかの議論がなされた前提で、一手段としてモバイルメッセージングを使ってもらう手助けになればと思います。

一般的に、インターネットメールはオープンで分散協調システムと言われますが、機密情報を安全に相手に届ける場合には、これを否定しないとなかなか難しいのが現状かと思います。オープンの部分については、相互接続型にすべき。分散は集中管理しないと難しい。協調は同じプロトコルだったり、同じ手順で受け渡しする部分も、独自にすれば当然それをハックするのは難しくなるので、この要素についてそれぞれ検討していく必要があると思います。

現在はゼロトラストモデルが流行っていると思いますが、ファイアウォールを設定したり、信頼された部分と信頼されていない部分にネットワークを分けるような、境界防御モデルがもともとあったと思います。2010年ぐらいから、すでにゼロトラストモデルが言われていますが、やはりエドワード・スノーデン事件が発端となって、議論が活発化しているように思います。こういったクラウドが流行ったり、そういった事件によって改めて情報を渡す手段について考える機会になっていると思います。

ゼロトラストという観点から、攻撃ベクトルの所在を検討するのがセキュリティの一般的な考え方かと思います。一般的なインターネットでのメールの送受信の図としては、今表示している図がよく使われるかと思いますが、モバイルメッセージングの世界ではどのような絵が使われるかというと、次になります。

SMSとかMMSとか、最近はRCSというモバイルメッセージングのサービスがありますが、今日はSMTPのプロトコルが使われているMMSの事例についてご紹介したいと思います。

MMSの中でSMTP、送信者と受信者が別のキャリアで、どのような手順でメッセージを届けているかの部分は、MMSのアーキテクチャの中でMM4のインターフェイスで定義されています。ここで、SMTPのプロトコルが使用されています。

実際にどういう手順で接続するかですが、GSMAの中に「IR.21」という相互接続協定が定義されていて、基本的にこの協定書をお互いのキャリアが結び、それから接続し始めるかたちです。

では実際に、データや情報をどのようにやりとりしているのかが2つ目となりますが、一般的なインターネットとは切り離された、GRX網というもので接続されています。

どこのレイヤーで暗号化したり、相互認証するかの話になりますが、IPsecで接続したり、mTLSでお互いを認証して、通信網を確立する手順が踏まれることが一般的です。

もう1点はキャリア間が直接相互接続すると、キャリアが増えるごとに相互接続協定を結ばないといけないので、けっこう手間が増えます。そのため、一般的にはMMSのHub事業者を介して、データをやりとりする。このHub事業者に複数のキャリアが接続していれば、Hub経由でメッセージ情報がお互いにやりとりできる形式をとっているのが一般的かと思います。

以上、モバイルメッセージングの世界のご紹介でした。

質疑応答

加瀬：ありがとうございます。ちなみに、北崎さんに質問ですが、mTLSというのは、別にモバイルだけではなく、SMTPの世界でも使おうと思えば使えるものなんですかね？

北崎：ほかの例で言うと、クライアント証明書を使った、相互認証の仕組みでも見ます。一般的には、クライアントはサーバーの証明を検証する手続きをします。実際にはクライアント証明書を事前に渡していないといけませんが、サーバーサイドから見ると、誰がどのクライアントからつないできたかを、クライアント稼働のあとに証明書を要求する手続きで。一般的なmutualな認証方式だと思ってもらえればいいかと思います。

加瀬：櫻庭さんが説明したサーバー間のSTARTTLSやMTA-STSはどのぐらい……TLSは先ほどのグーグルの紹介があったと思いますが、MTA-STSはどのぐらい普及していたり、標準的に使われていますか？

櫻庭秀次氏（以下、櫻庭）：知っている方は知っているとおり、JPドメインの送信の認証技術の設定状況を調査していて、その中でMTA-STSの設定状況を一緒に調査しています。メールのセキュリティの環境の調査の一環でです。それによると、MXレコードの中で……数パーセントもありません。1パーセント未満ですが、数十ぐらいのドメインは設定されています。

そのため、まったく使われていない技術というわけではありません。先ほどはグーグルが送ってきたレポートですが、ほかにもマイクロソフトが同じようにTLSRPTのレポートを送ってくる事業者さんですし、こういった事業者が増えれば、TLSの通信状況や設定状況がわかってくるようになる。それで普及が進んでいくのではと期待しています。

加瀬：ありがとうございます。最後にオーディエンスから「櫻庭さんの資料で話が出ていたDANEは、どのぐらい普及していますか？」という質問がありましたが、いかがでしょうか？

櫻庭：ちょっとTLSAのレコードまでは現状調査していませんが、ヨーロッパ方面からDANEの普及条件についても何度か説明があって、僕の記憶だと、同一程度、1割ぐらいというデータは見たことがあります。これも、まったく使われていない技術、というわけではないと思っています。

加瀬：ありがとうございます。時間になりましたので、このセッションはここで終わりにしたいと思います。お二人とも、ありがとうございました。

Published at 2021-06-17 15:00