Web屋のネタ帳

結論：

• spamhaus.orgはスパムそのものの発信源とはまったく無関係なIPアドレスを誤ってではなく確信犯的にブラックリストに登録してしまうことがよくある。これはいわばテロ行為といわざるを得ない。
• しかし利用者の多くは「spamhaus.orgに載ってるIPは多かれ少なかれ迷惑メールの発信元となったIPアドレスなのだ」と思って利用している（そりゃそうだ）。spamhaus.orgの運営チームとその利用者の間にはこの点で大きな認識のズレがあり、利用者の多くはそれに気づいていない。

さて、「またspamhausの話か」と飽きてる読者もいるかも知れないが、こういう報道↓があったので。

迷惑メール対策ブラックリストの功罪について「Spamhaus」と国内ISPが議論(InternetWatch 2006/11)
－ ISPがRBLの弊害を報告、無実の顧客がとばっちりを受ける事例も －

筆者が「spamhaus.orgをはじめとするIPアドレスベースのブラックリスト(RBL)を使ってはいけない」という11月始めに書いた記事にも大いに通じるところがある。この件の続編をそのうち書こうと思っていたのだが、ちょうどいいので書くことにする。

上で紹介したinternet watchの記事には、次のような内容がある。

また、KDDIの対応に対してSpamhaus側が「KDDIはスパマーを支持している」と判断し、「報復」（Spamhausは「エスカレーション」と表現）処置として全く関係のないアドレスを含むブロック単位でRBLに登録したものもあったとしている。

KDDIのケースではないが、いままさに起きている「報復」の実例をここに紹介しよう。

SBL47194（12月4日現在の画像こちら）では、日本のGMOインターネットグループという企業が管轄するIPアドレスが、スパム送信元としてブラックリストされている。

しかし、本文をよーく見てみよう。そもそも、どのIPアドレスから、どんなスパムが送信されたというのか？

20060708 A prime example of how GMO is a spammer paradise:

1 - whois hiding
2 - fast NS changing

aerujan is a deaiscam, currently being spammed from OCN
Received: from host (p5046-ipad64marunouchi.tokyo.ocn.ne.jp [219.165.12.46])
http://5596.jp/?onanie
HTTP request sent, awaiting response... 302 Found
Location: http://aerujan.com/? [following]
Connecting to aerujan.com[222.12.154.219]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: /pc/? [following]

（以下は筆者による日本語訳）

2006年7月8日。GMOがいかに迷惑メール業者にとってパラダイスであるかの主な一例。
1 - whois情報を隠している
2 - NS（ネームサーバの登録）をちょこまか変更している

aerujanというのは出会い系詐欺（のサイト）だ。最近ではOCNから発信している。
Received: from host (p5046-ipad64marunouchi.tokyo.ocn.ne.jp [219.165.12.46])
http://5596.jp/?onanie
HTTP request sent, awaiting response... 302 Found（HTTPリクエストを送るとHTTPステータスコード302で別サイトにリダイレクトされる）
Location: http://aerujan.com/? [following]（リダイレクト先）
Connecting to aerujan.com[222.12.154.219]:80... connected.（リダイレクト先であるaerujan.comに接続中。。。接続！）
HTTP request sent, awaiting response... 302 Found（またリダイレクト）
Location: /pc/? [following]（転送先。http://aerujan.com/pc/? にリダイレクト

ここでおさらい。そもそもSBL47194で登録されているのは 210.157.4.96/27 つまり 210.157.4.96 から 210.157.4.127 までの32個のIPアドレスである。しかし、上で引用した文章にあるIPアドレスにはどれも該当しない。

実はこのSBL47194は、

• 210.157.4.96/27 から出会い系サイトの迷惑メールが発信されたという事実はどこにもない（そのことが記されていない）。

にもかかわらず、

• GMOインターネット（の中核事業のひとつであるお名前.com）が提供するWhois情報代行サービスによって、aerujan.comというドメイン名のWhois情報が見えなくなっている。これはスパマーの正体を暴くうえで障害だ。

ということが問題であるとして、

• ***@gmp.jp または ***@gmo.co.jp つまりGMOの従業員が使っていそうなメールアドレスのメールサーバ＝mx.gmo.jp＝210.157.4.112 を狙って、それを含む 210.157.4.96/27 というIPブロックすべてをブラックリストに登録しましたよ

ということなのである。「えっ？つまりそれって意図的な業務妨害じゃないの？」と思ったあなた、そのとおりです。

なお、筆者はＧＭＯインターネットの回し者ではなく、縁もゆかりもビジネス上のご縁もいまのところ一切ないことを宣言しておく。また、前提として知っておいていただきたいのだが、 whois情報の代行はお名前.comの独特のサービスでもなんでもない。世界で始めてレジストリサービス（ドメイン名登録サービス）を始め、現在もレジストリ業者として大手といえるNetwork Solutions社（現在はベリサイン社傘下）においてもやっていることであり、他の大手レジストリ業者も同様のサービスをやっている。

whois情報の代行サービスそのものについても、何の前提もなく思いつきで実行されたものではない。 やってもいいかどうか、かなり議論されたうえで実際にサービス化されているのである。その件に関する資料はいろいろあるのだが、とりあえず2003年モントリオール会議のときのワークショップのメモがJPNICにあったので紹介。

• ICANNモントリオール会議：Whoisワークショップ ＜1日目＞(JPNIC 2003/6)
• ICANNモントリオール会議：Whoisワークショップ ＜２日目＞(JPNIC 2003/6)

まとまってはいないが、少なくとも、whois情報のあり方についてはいろんな人がよってたかって議論をしたという経緯があったということはわかっていただけると思う。

にもかかわらず、SBL47194では、2001年という非常に古い段階でのICANNの合意書を引用しつつwhois情報代行サービスの存在を悪者扱いしようとしている。2001年の後にも議論がいろいろあって、今があるんだというのに。

もちろん、意見を言うのは自由だ。本当にwhois代行サービスを問題と考えるなら、それ相応の議論の場において意見を言って状況を変化させることを試みるべきだろう。にもかかわらず、今の状況が自分達にとって不満だからブラックリストという武器を取ろう！という考えは、我こそは正義と叫んで爆弾抱えて突入する人とどっこいどっこいであり、要するにテロである。

いや、それどころか 「spmahaus.orgの提供するIPアドレスのブラックリストは、スパムの発信源となったIPアドレスだ」、と信じて利用しているユーザーに対する裏切り行為とも言える。 しかし、smaphaus.orgは「それは誤解だ」と強弁するだろう。SBLのトップページには次のようにあるからだ。

The SBL is a realtime database of IP addresses of verified spam sources and spam operations (including spammers, spam gangs and spam support services), maintained by the Spamhaus Project team and supplied as a free service to help email administrators better manage incoming email streams.

（以下筆者訳）
SBLは、スパムの発信源またはスパム活動の場である（つまり、スパマー、スパムギャング、スパムサポートサービス）と確認されたIPアドレスのリアルタイムなデータベースです。データベースはスパムハウスプロジェクトチームによってメンテナンスされており、電子メール管理者にとって流入するメールをコントロールする手助けとなるサービスを無償で提供しています。

GMOインターネット社は、上で言うところの「スパムサポートサービス」だ、だからわれわれのブラックリストに入ってていいんだ、という理屈。

くりかえすが、多くのユーザーは「spamhaus.orgのSBLに登録されているIPアドレスは迷惑メールの発信源である」という認識でそれを利用している。がしかし、実際にspamhaus.orgのメンバーがブラックリスト登録する判断基準からすると、そこには無視してしまうには大きすぎる認識のズレがあるということは知っておくべきだ。特にspamhaus.orgの情報を使用するように設定した製品やサービスを提供している企業の中の人！それでもあなたは、spamhaus.orgをデフォルトで使うようにしたままでリリース/出荷/提供しますか？

see also:

• SBL47194（12月4日現在の画像こちら）
• スパム・メール対策にブラックリスト方式を使う場合の注意点 (ITpro 2006/4/10)
• spamhaus.orgをはじめとするIPアドレスベースのブラックリスト(RBL)を使ってはいけない (2006/11/6)
• 出したメールが相手に届かない!? メールの不達問題とスパム対策の関係 (InternetWatch 2006/11/9)
• 迷惑メール対策ブラックリストの功罪について「Spamhaus」と国内ISPが議論(InternetWatch 2006/11)
• 迷惑メールのレピュテーション（スコアリング）サービスも実はRBL上の誤ったデータに大きく左右されてしまう(2006/12/17)