連載
» 2018年09月10日 05時00分 公開

セキュリティ・アディッショナルタイム(25):動く標的を追いかけて――「Spamhaus」約20年の歩み

「脅威インテリジェンス」の重要性が認識されるようになる前から、ほぼ20年にわたって、スパムメールの送信元IPアドレスや悪意あるドメイン名をリスト化し、コミュニティーに提供し続けてきたSpamhausプロジェクト。その狙いをあらためて尋ねてみた。

[高橋睦美,@IT]

 長年にわたってスパムメールの送信元IPアドレスや悪意あるドメイン名をリスト化して提供し、ブロックやフィルタリングに活用できるよう支援してきたのがSpamhausプロジェクトだ。セキュリティ業界で「脅威インテリジェンス」の重要性が認識されるようになる前から、ほぼ20年にわたってコミュニティーに情報を提供し続け、脅威の変化に伴って、その取り組みを拡大させてきた。

Spamhausプロジェクト チーフデータサイエンティストのCarel van Straten氏

 メールソリューション企業のTwoFiveが2018年7月19日に開催したイベント、「TwoFive Voyage」に合わせて来日したSpamhausプロジェクトのCIO(最高情報責任者)、Emanuele Balla氏とチーフデータサイエンティストのCarel van Straten氏に、同プロジェクトの歩みと狙いを聞いた。

 Spamhausプロジェクトと聞くと、いわゆる「RBL」(Realtime Black List)のイメージが強いかもしれない。故意、あるいは過失でスパムやウイルスメールの発信元となったIPアドレスの情報をリスト化したもので、通信事業者やセキュリティ企業に提供されてきた。2008年からはIPアドレスだけではなく「ドメイン名」にも対象を拡大。スパム送信だけではなくbotやそれを操るC&Cサーバ、マルウェア配布に利用されるドメインをリスト化して提供する他、マルウェア解析などにも手を広げているという。

 現在Spamhausでは1日当たり18億件に上るSMTP接続を解析する他、約300万のドメインについてレピュテーションを評価して「DBL」(Domain Block List)として提供している。さらに、新規に登録されるドメインに特化した「ZRD」(ゼロデイリスト)というデータセットも用意している。なぜなら、「新規に登録されたドメイン、未知のドメインは、高い確率で悪意ある行動に用いられる」(Straten氏)からだ。

 また面白い取り組みとして、特定のIPアドレスにひも付いているドメイン名やインフラのデータセットを収集し、提供する「Passive DNS」も公開した。いわば、DNSの逆引き的なサービスと表現できるだろう。もともとはSpamhausの内部調査用に構築してきたデータセットで、WebインタフェースやAPIを介して利用可能だという。

常に変化する攻撃手法に追随し、提供データセットを拡大

 このように提供するデータセットを拡大してきた理由についてBalla氏は「脅威は常に変化している。攻撃と防御はいたちごっこで、今はセキュアな環境が実現できていたとしても、明日もそうとは限らず、また異なる脅威が登場する恐れがある」と述べた。

 Straten氏はその一例として、メール閲覧環境の変化に伴って増えてきた攻撃手法を挙げた。「今では多くのユーザーがスマートフォンでメールやWebを確認するが、スマホの画面はとても小さく、アクセスしているページのURLが全て表示されない。本当のドメイン名は『amazon.comnonisesaito』なのに、画面では『amazon.com……』としか見えないことを利用してユーザーを誤認させる手法が増えており、セキュリティを保つのはより難しくなっている」

 また、フィッシングサイトやマルウェア配布に使われる悪意あるドメインは、今や「使い捨て」にされることが多い。攻撃者は次々新たなドメインを申請し、登録して使ってはまたすぐ別のドメインに乗り換えていく。「ただ、攻撃者が多数のドメインを登録し、次々に切り替えて利用する場合でも、わずかな痕跡は残る。われわれはそうしたクラスタを継ぎ合わせ、解析することでリアルタイムにレピュテーションを構築し、新規に登録されたドメインでも30分後にはレピュテーションを提供できるようにしている」(Balla氏)

 同プロジェクトでは、長年にわたる解析のノウハウを機械学習に反映させることで、こうした作業を迅速に行っているそうだ。「日々約50万件に上るドメインを解析する作業を人手のみでやっていくのは困難だ。しかも攻撃者側も、彼らの作業を自動化している。それに追い付いていくには自動化が不可欠だ」(Straten氏)

 こうして作成したデータは、コミュニティーやセキュリティベンダー、JPCERT/CCも含むさまざまなセキュリティ機関にも提供し、直接/間接的にユーザーを支援している。

 「たった1人で全ての脅威を見渡せる人はいない。だからこそ、Spamhausプロジェクトも含めたさまざまなプレイヤーがデータを作り、互いに補完し合うことが大切だ。1つの選択肢だけに頼るのではなく、さまざまなデータソースをつないでいくことで、より良い対策が実現できるだろう」(Balla氏)

 残念ながら今の時点では、攻撃者側が多くのドメイン名登録料を支払ってでも、その投資に見合った効果が得られてしまっている。「経済的な優位性は今、攻撃者側にある。数年前まではドメイン名取得もVPSの購入にも費用がかかったが、今は悪意ある人物がより迅速に、より安価に攻撃を行えるような環境がある。Spamhausでは、スパムを送信してもフィルタリングされ、容易には届かないようにするといった対策を通じて、悪意ある行為をコストが高くつくものにしたい。引き続き、より良いデータセットの提供に取り組んでいく」(Straten氏)

もし想定を上回るDDoS攻撃を受けたなら……? 自らの経験を踏まえた3つのアドバイス

 さて、Spamhausというと、2013年3月に発生した、当時としては史上最大規模のDDoS攻撃のターゲットになったことを思い起こす方もいるだろう(参考)。Balla氏は、その時のことを「50Gbps級の攻撃に耐えられるインフラを構築していたが、それを上回る規模の攻撃を受けてしまった」と振り返る。

 このケースは世界中で大きく報道されたが、「公表されないだけで、多くの金融機関などがDDoS攻撃のターゲットになっている」とBalla氏は述べる。決して人ごとではないというわけだ。

 では、どんな対策を取るべきだろうか。自らの経験を踏まえて、Straten氏は3つ紹介した。

 「まずは、自分がターゲットになることを想定し、もしDDoS攻撃を受けたらどのように守るか、どこに連絡をとってどう対処するかを準備しておくことだ」

 また、ネットワークインフラに関する問題で専門的な知識が要求されることから、「全て自力でやろうとせずに、知識を持つ専門家の力を借りることが2つ目のアドバイスだ」(Straten氏)

 もう一つは意外なようだが「警察に届けること」(Straten氏)だという。「情報を提供しなければ、警察も動けない。DDoS攻撃は国境をまたいで仕掛けられることが多いからこそ、法執行機関や警察との連携が重要になる。後の調査に備えるという意味でも、事前に専門チームや適切なコミュニティーと連絡を取れるようにしておくことが大切だ」

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。