脅威は電子メールだけじゃない！ Webも含めた包括的なセキュリティ対策を実現する McAfee Secure Internet Gateway

　企業を取り巻くセキュリティの脅威は、年々増加の一途をたどるとともに複雑・多様化している。旧来からのスパムメールや電子メールを介したウイルス感染といった脅威に加え、近年急増しているのがWebを介したマルウェア感染やフィッシング詐欺などによる被害だ。

　こうした課題に応えるべくマカフィーでは、電子メールもWebも含めたインターネットの脅威に対する包括的な防御を1台で実現するアプライアンス製品「McAfee Secure Internet Gateway」を提供。その実力のほどを見ていこう。

不正サイトへ誘導する「タイポスクワッティング」が急増中

　タイポスクワッティングとは「Typo（タイプミス）」と「Squatting（無断占拠）」を組み合わせた造語で、「つづり間違いのドメイン名の不正占有」を意味する。つまり、特定のWebサイトのURLに酷似した、タイプミスしやすいURLを取得してWebサイトを設置し、ユーザーを不当に誘導する行為だ。

　ターゲットとされた正規サイトの運営者に不利益をもたらすのはもちろんだが、アクセスするユーザーにとっては、誘導された先でフィッシング詐欺やマルウェア感染の被害に遭ったり、メールアドレスを収集されてスパムメールを送りつけられたりするという危険性もある。

　マカフィーでは2007年11月、このタイポスクワッティングに関する研究報告書を発表した。この報告書では、最も一般的なドメイン名2,711件を変形した190万のURLを調査したところ、そのうち12万7,381件がタイポスクワッティングされたWebサイトと思われるとしている。

　また、人気サイトのURL入力時に起こり得るタイプミスを想定した場合、14回中1回の割合でタイポスクワッティングされたWebサイトにアクセスする可能性があるそうだ。

　最近のタイポスクワッティングのターゲットとなった例としては、アップルのiPhoneが挙げられる。「iPhone」という語を含むURLは少なくとも8,000件にのぼると予想されており、それらの中にはファンサイトやクチコミサイトだけでなく、ハッキングサイトや詐欺サイトも存在するとマカフィーは指摘している。

　実際にそのようなサイトにアクセスしたところ、債務整理の案内や不審な儲け話、無料携帯電話プレゼントの通知など、多数のスパムメールが送られてきたという。

左）実在しないiPhone製品のプレゼントを偽って、ユーザーのメールアドレスを取得するタイポスクワッティングサイト「freeappleiphonesnow.com」 右）iPhoneのタイプミスを利用した典型的なタイポスクワッティング「iOhone.com」

独自のWebサイト評価技術でアクセス前に安全性を判断

　いまやほとんどの企業では、スパムメールフィルタやウイルス対策ソフトに代表される何らかのメールセキュリティ対策を講じている。しかし、タイポスクワッティングのようなWebからの脅威については、従来型の電子メールを中心とした対策では防ぐことができない。

　例えば、電子メールに添付されたウイルスを検出することはできても、実在するWebサイトに酷似したURLがメール中に記載されていた場合に、ユーザーがそのWebサイトにアクセスしようとするのを完全に止めることは現実的に難しいだろう。

　そのため、Webセキュリティ対策用のソリューションが新たに必要となる。しかし、電子メールとWebそれぞれに専用のソリューションを用意するのは導入コストも高額になるし、管理も煩雑で運用負荷が大きい。

　そこでお勧めしたいのが、マカフィーのゲートウェイ設置型アプライアンス「McAfee Secure Internet Gateway」だ。同製品は200〜1200台程度のクライアントを対象とし、Webセキュリティ機能と電子メールセキュリティ機能を統合して提供する。複雑・多様化するインターネットの脅威に対するセキュリティ対策を、1台で包括的にカバーすることができるのだ。

　McAfee Secure Internet Gatewayの最大の特徴ともいえるのが、強力なWebレピュテーション機能を提供する「McAfee SiteAdvisor」だ。McAfee SiteAdvisorはGoogleなどの検索エンジンの検索結果に表示されるWebサイトや、ユーザーがアクセスを試みたWebサイトの安全性を評価し、ユーザーに表示・警告する。McAfee SiteAdvisorが通常のWebフィルタリングツールと異なる点は、通常のWebフィルタリングツールが、「株式」や「ドラッグ」といったWebサイトのコンテンツのカテゴリーによってアクセス制御をするのに対して、Webサイトの「危険度」を判定する点だ。

　具体的には、緑（安全）、黄色（注意）、赤（警告）の3色でサイトの危険度を色分けして表示し、警告を発すだけでなくアクセスを制御することも可能だ。例えば、赤の場合は強制的にアクセス禁止、黄色の場合は注意を促すメッセージ表示後にユーザー自身がアクセスを判断するといったように、管理者が自社のポリシーに合わせて柔軟に設定できる。

McAfee SiteAdvisorによる安全性評価で「警告」が出た例

McAfee SiteAdvisorによる安全性評価で「注意」が出た例

McAfee SiteAdvisorによる安全性評価で「安全」が出た例

　評価の基準としては、スパイウェアやスパムエージェントなどの危険なダウンロードファイルを含んでいないか、フィッシング詐欺の疑いはないか、ほかの危険なサイトにリンクしていないかといったことはもちろん、過度のポップアップやトラッキングCookieの有無なども含まれる。

　McAfee SiteAdvisor用の評価では、実際に評価対象のWebサイトにアクセスしてファイルをダウンロードしたり、メールフォームに情報を入力して送信したりといった徹底的な調査を実施している。その結果、ダウンロードしたファイルがどのような挙動をしたか、対象サイトへの電子メール送信後にどれだけのスパムメールが送られてきたかといった正確な情報を取得している。

　ロボットを使って網羅的に調査を行うことで膨大かつ詳細な情報を集め、その分析結果をMcAfee SiteAdvisorにフィードバックすることにより、実に95％以上のWebサイトの安全性を判定可能としているという。

　なお、他社製品も徐々にこうした仕組みを搭載しつつあるが、McAfee SiteAdvisorはWebで無償提供されている個人顧客向けバージョンにおいてすでに全世界で1億人以上の利用実績があり、評価の正確性および評価対象の網羅性で一歩抜きん出ているといえよう。

メールセキュリティの新たな脅威「画像スパム」

　McAfee SiteAdvisorをはじめとした強力なWebセキュリティ機能を提供する一方で、McAfee Secure Internet Gatewayは、電子メールの脅威に対する多彩なセキュリティ機能も備えている。その一例がスパムメール対策だ。

　スパムメールの増加が企業に与えるダメージはすでに周知のとおりで、スパムフィルタリングなどの対策もかなり進んできたように思われる。しかし、スパムメールはより悪質に、巧妙になりながら相変わらず猛威を振るっている。

　特に近年増えているのが、複雑な画像をHTMLメールに組み込んだ「画像スパム」だ。マカフィーのデータによると、インターネット上を流れるメールの約90％がスパムメールであり、さらにそのうち約40％が画像スパムだという。

　キーワード検出などのフィルタリングで排除できる単純なテキストだけのスパムメールと異なり、画像スパムは従来の対策による検出が難しい。それでも、初期の画像スパムはOCR（Optical Character Reader）技術によって画像中のテキストを抽出し、フィルタリングすることができた。

　しかし、スパマー側の技術も進化しており、OCRによる検出を困難にする巧妙なスパムが続々と生み出されている。例えば、スパムフィルタを混乱させるために意図的にカラフルな背景を配置したり、文字を大きく波打たせて正確な読み取りを回避したり、人間には判読可能だがOCRでは検出できないように難読化した文字を使用する手法などが挙げられ、これらが複合的に使われているのが最近の傾向だ。

人間の目では判読できるが、OCRの処理では検出できないように難読化された画像スパム

検出困難な最新の画像スパムも逃さずブロック

　McAfee Secure Internet Gatewayでは、従来のスパムメール対策では検出困難な画像スパムも逃がさずブロックするために複数のスパムメール検出技術を実装している。以下のような技術を複合的に組み合わせてスパムメールの判定を行うことで、より精度の高い画像スパム検出およびブロックを可能としている。

●送信者IPレピュテーション

　メール送信元のIPアドレスが信頼できる相手かどうかを判断。スパム活動を検出したIPアドレスはブラックリストに登録され、該当するIPアドレスから送信された電子メールは、メールサーバで受信される前に自動的にブロックされる。

●画像の特性空間

　色数、ピクセル単位の画像のサイズおよび高さ、そのほかの要素など、画像に含まれる情報を計測。難読化技術などの画像スパム固有の内部特性の有無を検証することにより、スパムメールかどうかを判定する。

●ドメイン名によるレピュテーション

　画像にWebサイトへのリンクが含まれている場合、URLを既知のスパムサイトの情報と照合。スパマーが新たに登録したドメインを追跡して監視リストに追加し、該当ドメインからスパム活動が開始された場合はすぐに同ドメインからユーザーを保護する措置を行う。

●メッセージの構成

　メッセージの形式、レイアウト、構成などから、マカフィーが独自に開発した分析ルールによってスパムメールを検出する。

●ヘッダルール

　画像スパムにも、メッセージの内容や送信者についての多くの情報を含んだプレーンテキストのヘッダが存在することから、受信したスパムメールのヘッダを継続的に分析する。

●画像ハッシュ

　実画像の電子署名を作成する画像ハッシュを使用する。この技術は処理が速く計算効率が高いが、スパマーが同じ画像を数日間送信し続ける場合のみ有効。

　さらに、McAfee Secure Internet Gatewayでは、毎分アップデートの有無を確認し、アップデートがあれば分単位で自動的にスパムルールやフィッシングURL DBのアップデートを適用する「ストリーミングアップデート機能」を搭載している。これにより、新種のスパムメールが登場した場合にも瞬時に対応可能で、マカフィーによると最大98％という高いスパム検知率を実現しているという。

今後はブレードサーバや仮想化技術も含めた統合管理へ

　McAfee Secure Internet Gatewayでは、レポート出力などの管理者向け機能が標準で提供されているため、アプライアンス単体でもスムーズな運用管理が可能となっている。

　さらに、導入済みのクライアント向けウイルス対策ソフトなどほかのセキュリティ製品と組み合わせて運用する場合や、より大規模な環境でMcAfee Secure Internet Gatewayを複数台導入する場合などは、マカフィーのセキュリティ統合管理ツール「McAfee ePolicy Orchestrator（ePO）」を活用することで、一元的な管理が実現する。ePOはMcAfee Secure Internet Gatewayにバンドルされており、マカフィー製品だけでなく他社も含めた主要なセキュリティ製品の統合管理が可能だ。

　なお、マカフィーでは将来的に、より高いパフォーマンスが必要な大規模ユーザーのニーズにも対応できるブレードサーバ版の製品提供や、アプライアンスの機能を既存のサーバ上に統合可能とする仮想化技術への対応なども予定しており、今後もMcAfee Secure Internet Gatewayのさらなる進化が期待される。

ホワイトペーパー サイバー犯罪の3つの傾向──McAfee Virtual Criminology Report第3号 世界トップのセキュリティ専門家が協力して作成した、サイバー組織犯罪やインターネットの世界的な動向に関するマカフィーの年次報告書である。