第48回JPNICオープンポリシーミーティング議事録
2025年6月24日(火)13:30-17:55
場所:オンサイト(アーバンネット神田カンファレンス3D)、オンライン
司会:鶴巻悟(JPOPF運営チーム)
1. JPOPM48オープニング
中川あきら(JPOPF運営チーム)
[意見・質疑応答] なし
2. [I] 資源管理の基礎知識~IPアドレス分配とポリシー~
中川 香基(JPNIC)
[意見・質疑応答] なし
3. [I] APRICOT2025/APNIC59フェローシップ体験談
後藤 汰珠(長崎県立大学)・丸山 彩雅(株式会社QTnet)
[意見・質疑応答] C. 英語でコミュニケーションが取れていてすごいなと思った。引き続き頑 張ってください(鶴巻) C. 初日のFellows Skills Workshopで英語を学べるのはとても効果的だと 思った。機会があれば自分もぜひ参加してみたいくらい(鶴巻) C. 英語で話す姿勢についても考える機会となった。継続すると効果があり そうだと私も感じた(丸山) C. お二人ともあまり英語に自信がないと言いながら、初日にFellows Skills Workshopで突然英語ばかりとなったが、様々な国の方と話したり、後藤さ んは登壇されたり、とても頑張っていた。これからの世代につなげてい けたらいいと思う(中川香基)
4. [I] JPNIC/APNIC Update
中川 香基(JPNIC)
[意見・質疑応答] Q. WHOISやRDAPの取り扱い、データの公開非公開等に関するポリシーが活発 に話されているのはとても良いことだと思ったが、それに先立つWHOISの 利用状況、どこから大量アクセスがあるか等の現状調査はされているのか (中井) A. 今回の議論の中では具体的なデータの紹介はなかったが、リクエストがあ れば、APNICでは開示できる部分のデータ開示は行っている。気になる部 分があればML等で直接言うとデータが出てくると思う(中川香基) Q. 今回の改正が通った場合のメリット・デメリットを踏まえて議論がされて いると考えてよいか(中井) A. 良いと思う(中川香基) Q. SIGチェアの話があったが、同一のSIG内でということではなくSIG全体と して2名まで、ということか(谷崎) A. SIG全体として(中川香基) Q. では、大きい会社ではよく調整をしてね、ということか(谷崎) A. そういうイメージです(中川香基) Q. 先の発表でも話のあった、Fellows Skills Workshopは、とてもよいと思っ た。以前からあったか(谷崎) A. 今回から。APNICでも人材育成に力を入れいている。APNICのフェローが対象 だが、JPNICのフェローも参加させてもらえた。このようなセッションが今 後増えていく可能性もある。多くの方が参加できれば良いと思う(中川香基) C. (チャットより)prop-162WHOISプライバシーについて、 必要であれば、アドレスに関する問い合わせ窓口を別途設ければよいのでは。 アドレスホルダーに問い合わせできるフローもしくは、Webフォームからの requestをつくれば、とおもいますね。 多少なりともアドレスホルダーとしては仕事は増えるが、スキームを作って しまえば良いのではと思ったのでコメントでした。 Q. WHOISのAbuse登録がいずれ必須になるが、まだまだ登録が少ないというこ と。主に指定事業者を対象として啓発活動が必要になると思う。今後そう いったことを検討しているか(豊野) A. 必要だと思うが、具体的な検討には至っていない(中川香基) C. 本来この対応をしなければならない主な対象者が指定事業者になると思う ので、丁寧にリーチして、必須になることを啓発していく必要がある(豊野) Q. prop156の対応、JPNICとしてどういうことを考えているのか、教えてほしい (豊野) A. 156に関しては、APNICにプールができることになるので、JPNICからはAPNIC へ取り次ぐことを想定している(中川香基) Q. JPNICとして別途プールを設けることは考えていないか(豊野) A. 現状としては考えていない(中川香基)
6. [I] インターネット番号資源ホットトピックス
谷崎 文義(JPOPF運営チーム)
[意見・質疑応答] なし
7. [I] あなたのIPv4アドレス狙われていませんか? ~経路ハイジャックとRPKI ROA~
松崎 吉伸(株式会社インターネットイニシアティブ)・川端 宏生(JPNIC)
[意見・質疑応答] Q. (チャットから)invalid だけでもおとしている事業者どれぐらいいるか聞 いて欲しいです。(最新のトレンドとして知りたい)松崎さんのところは どうですか? A. IIJでもRPKI ROVを導入し、ピアやトランジットにはROVを適用している。 顧客に対してはプレフィックスフィルタでがちがちにしているので、経路 広告リクエストには1つずつフィルタを開ける対応をしているので、ROVと ほぼ同レベルを確保していると考えている。世界のROVを適用した、とい う組織は、基本的にinvalidを落とす実装をしているようである(松崎) Q. 先ほどRADBがあまり信用できない、という報告があったが、一時期IRRか らフィルタを自動的に作って適用するということを聞いたことがあるが、 そこはみなさんどうされているのか(鶴巻) A. IRRからフィルタを作るときには、どのIRRを使用するのか指定できるので 信用できるものだけにする。ただ、カスタマーが登録していないこともあ り、RADBを指定せざるを得ない場合がある。ないよりはましか、事故は防 げる、けれども意図的な経路ハイジャックは防げない、といった諦めも必 要なのがIRRを利用したフィルタだと思う(松崎) C. 今すぐ落とすべきだと思うので、JPNICでAS0にぽちっと登録してよいと思 うが、JANOGで発表するとき等にはそういうポリシーを作る場はJPOPFだと いうことを宣伝してきてほしい。Unknownは通さざるを得ないとしても invalidでコントロールするのはメジャーになりつつあると思うので、 登録する方もフィルタする方もそんなに恐れることはないと思う(豊野) C. 未割り振りの部分はポリシーが通れば比較的容易に登録できると思うが、 歴史的PIの割当先にリーチしていくのは努力が必要と思う。皆様のお知恵 も借りたい(松崎) Q. ROA作成されている方は?(川端) A. 会場内挙手多数 C. IPv4の方がリーチしやすいということか(鶴巻) C. IPv6がハイジャックされた話はあまり聞いたことがない(川端) C. 松崎さんがおっしゃるように、第3オクテット0とか255とかはあまり見な い。中間が多いのを疑問に思っていた(川端)
5. [I] RIRを取り巻く動き:AFRINICやICP-2改定
前村 昌紀(JPNIC)
[意見・質疑応答] C. 選挙結果が公表延期となったのは、選挙権者の代理人手続きについての 正当性に懸念があり、それについて調べるために延期となったと聞いて いる。引き続き皆で見守っていく必要がある(松崎) C. こんな感じで、怪しい。次に想像できるのは、そういう人がCEOになって しまう可能性があるということ。そういうことを想像すると、ICP-2改定 の重要性が分かってくる。ちゃんとやれないRIRがいたら認定を取り消す ことができるのがICP-2(前村) Q. スケジュールについては、今年10末くらいに意見聴取をして、最終案が 出た後にもう一度パブコメがあるということか(鶴巻) A. そういうこと。現段階でドラフトのテキストになっていて、書き手として はもう少し精緻にしようとしている。皆さんもっと大きなことを言いた かったり、細かなプロセスを言いたかったり、様々な意見を拝聴してい る。次のドラフトの時には意見を我々がどのように拝聴・分析・検討・ 採択して反映する/しないを決定したかを書ければいいと考えている。 12月に完成することを予定していたが、少し伸びた場合3月ぐらいとなる 可能性がある(前村) Q. 最終的な文書の採択、決定はどのようなプロセスになるか。コンセンサス ベースなのか多数決なのか(鶴巻) A. まずNRO NCの中で確認をし、その過程でリーガルチェックもする。最終的 にはICANN理事会で決定する(前村) Q. AFRINICから出てくるASOが反対したらどうなるのか(鶴巻) A. AFRINICからのASOの理事は現在いない。ミーティングも開けないし、理事 会から推薦することもできないので。そこまで早くミーティングを開催で できないと思う(前村) C. 我々にとっても他人事ではないので、注視していきたい(鶴巻) C. 情報提供に注力していく(前村)
8. [I] IPアドレスリースとAbuseの現状 〜事例を通じた課題共有と調整への提言〜
中井 尚子(JPCERT/CC)
[意見・質疑応答] Q. フィッシングサイトの年次のグラフP8を見て、パーセンテージで示されて いるが、総数はどのくらいなのか、差し支えなければ聞きたい A. この場で具体的な数を持ち合わせていないが、フィッシングサイトの総数 は右肩上がり。だが、同じ内容が多数送られている場合等は1件にまとめ て対応するように工夫しているので調整数は若干減少している(中井) Q. 海外の情報として聞いたことはあったが、実際に貸し出した先がフィッシ ングサイトだとブラックリストに載って、実際には使えないアドレスにな ると思うがブラックリストで対策する方法の他、罰則を設けることが対策 となりうると思うが、罰則があったりするのか A. 貸すアドレスをクリーニングしてから出す、つまり、ブラックリストから 消してから出すことを、サービスとして謳っている業者がある(谷崎) A. 罰則については、レジストリが罰則とか、警察的な権能をもっていいか、 というと、持っていけない、という基本的な考え方としてあって、現状と してはない(中川香基) C. 罰則は難しいと個人的には思う。IPアドレスリース業者においてAbuseが 起きた場合の体制を整備するのが有効だと思う(中井) Q. (チャットより)フィッシングサイトは、脆弱性などを突いて、第三者の サーバーに相乗りされているケースと、フィッシングの為に準備された 専用のサーバー(vhost/vps/cloud含む)とどちらが報告件数多いでしょ うか A. 明らかにフィッシングが立ち上がる環境も昔と今では違って、十数年前 は乗っ取りが多かった。最近では9割以上は悪意を持ってサーバ、ドメイ ンを取得してバーチャルな環境で立ち上げ、フィッシングサイトを立ち 上げている(中井) C. 日本ではインシデントの対応をしていたなど、理解が深い方が多いと思 う。APNICではポリシーを作る人とAbuse対応する人が別なのか、WHOISに 関するポリシー検討の際に公開をやめればいい、という意見が出てきた りして、Abuse対応ができなくなるという意見を述べても提案者に理解さ れない。どう進めるのが良いか分からないが、アジア地域やUS含めて フィッシングの飛び先が多いとなると、そこに対して何らかの方法論を 考えないといけないと、前回APNICに参加していて思った(鶴巻) C. みんなもっとAPNICに行こう! ポリシーディスカッションに出てきている 人はネットワーク的な利用者が多く、それに対してWHOIS情報を多く使っ ている人達はメンバーでもなかったりする。ポリシーを作っているのは メンバーではなくコミュニティ。コミュニティには誰でも入れる。JPOPF でポリシーについての意見収集をして伝えているように、もしCERTコミュ ニティ等でもそのような活動ができるのであれば、MLに意見を投稿するだ けでもとても重要なことだと思うので、検討いただければと思う(松崎) Q. 非常に大事な話だと思って聞いているが、IPリースは定義もされていない し、認めていないのに勝手にサービスをしているという状況かと思う。 深堀していった場合に、どの段階で連絡がつかなくなるものか。リースし ている人にはたどり着くのか、そこで返事もないのか、割り振り、割り当 て、サブアロケーション等、そのあたりの肌感覚はあるのでしょうか (豊野) A. そういった観点でまとめていないが、2018年ごろから、リースの存在を知 らず、なぜこんなに増えていくのだろうかと不思議に思っていた。インシ デント対応に手が回らないのだろうと思っていた。それが数年続いたが、 今思うと、リースの存在があったかと思われる。応答は良くなってきては きていて、数か月かかっていたものが数週間程度となっている。だが、依 然としてインシデント対応の重要性が十分に伝わっていないように感じて いる。リースするに当たって対応責任まで担っていただきたいが、連携さ れていないのが現状(中井) C. 個人としての意見だが、ここから先はセキュリティコミュニティとアドレ スコミュニティとが連携して、罰則という言い方がいいのか分からない が、ペナルティ等含め、健全性維持の取り組みができればいいと思う。 リース事業者はAbuseに使われることを承知で売っている確信犯だと思っ ているので、追い詰めるなら追い詰める仕組みをみんなで作った方が良い と思っている(豊野)
9. JPOPM48クロージング
中川あきら(JPOPF運営チーム)
[意見・質疑応答] なし
以上