第2回 スパムメール対策――必要なメールを必要な人に
藤澤 英治
株式会社CSK Winテクノロジ
2007/4/26
スパムメールの対策
前述のとおりスパムメールを送る側の実態から浮かび上がるスパムメールの特徴は次のようになります。
- 不特定なPC(IPアドレス)から
- 短時間に
- 工夫のされたメールが
- 大量に配信される
では、スパムメール対策はどのようなものがあるでしょうか。スパムメール対策と聞くとスパムフィルタのみを想像しがちですが、そのほかのテクニックとして次の3つのトレンドが挙げられます。
- Outbound Port 25 Blocking
- フロー制御
- スパムフィルタ
それぞれのテクニックを紹介しましょう。
Outbound Port 25 Blockingとは
「Outbound Port 25 Blocking(OP25B)」はスパムメールを送信させないようにするための対策です。
先に述べたとおり、スパムメールを実際に配信するPCはスパム配信者に乗っ取られた、一般のISPに接続しているPCです。通常のメールを送信するときにはISP内部にあるメールサーバを利用してメール送信を行いますが、スパムメールは乗っ取ったPCから直接各企業のメールサーバに接続を試みますので、そのときに利用されるTCP/IPの25番ポートをブロックし、ISP外のメールサーバには直接接続させないことでスパムメールの送信を阻止します。
ただし、世界中の大小さまざまなISPでこの対策を取れるかというと疑問です。日本では多くのISPが実施しているようですが、世界的にはまだまだという現状です。
では、スパムメールを受信するタイミングでの対策を見てみましょう。
フロー制御とは
「フロー制御」は、いままでスパムメール対策としては見過ごされていた機能といってもよいかもしれません。いままでのスパムメール対策はとかくスパムフィルタのみを話題にしていたからです。実はスパムメール対策でフロー制御まで行う機能を実装している製品はまだあまり多くはありません。いくつかのベンダは数年前から手掛けていますが、ユーザーの認識においてはスパムフィルタの方が一般的になっているようです。
フロー制御とは先に挙げた特徴の「不特定なPC(IPアドレス)」「短時間に」「大量に配信される」の3つに対しての対策となります。フロー制御の効果的な適用はネットワークの最もインターネット寄りの「エッジ」と呼ばれる部分に配置する方法です。
通常ですとスパムメールを受け取ってから、その内容を基に判定を行いますが、フロー制御においては大量に送られてくる前述の特徴を基に判断し、スパムメールの受け取り拒否を行います。
各ベンダの実装方法により対策は異なりますが、以下にその一例を挙げます。
- 1秒間に同じサイト(IPアドレス)から20通のメールが送られてきたならば、そのサイトからのメールを2時間受け取らないように制御する
- 1分間に同じサイトから送られてくるメールの受信者の80%以上がUser Unknownであったならば、そのサイトからのメールは2時間受け取らないように制御する
このようにメールのフロー(流れ)を制御することで、ディレクトリハーベストアタックなどのスパムメールに対して劇的な効果を上げることができます。ただし、これはあくまでも例であり、実際の導入には自社のメールの通常の流量と性質を基にして調整する必要があります。
スパムフィルタとは
「スパムフィルタ」は1通1通のヘッダを含めたメール内容を基に判断を行うテクノロジーです。そして、この判断基準となるテクノロジーは多種多様なのが実情です。皆さまは一度ならずともスパムメール対策製品のカタログなどを見ていることと思います。そのカタログにはいくつかのスパムフィルタを多重に通すことでスパムメールの判断を行っているものが多いかと思います。以下にいくつかの代表的なスパムフィルタを説明します。
●パブリックブラックリスト
スパムフィルタの中では古くから使われていたと考えられるテクノロジーです。RBL(Real-time Black List)などと呼ばれ、スパムメールを配信したと思われるIPアドレスを報告するとリストに反映される仕組みです。しかし、現在のスパムメールの特徴は不特定のIPアドレスで、しかも頻繁に送信者アドレスが変わるような現状ではほとんど無力となってきています。
●キーワード
スパムメールの一例で挙げましたが、メールに書かれるキーワードのマッチングにより判定するテクノロジーです。キーワードフィルタはスパムフィルタの黎明(れいめい)期である1998〜1999年ごろには効果を発揮していましたが、いまとなっては前述のとおりこの手法だけでスパムメールを判定するには厳しい状況です。
●ベイジアン
ベイズの定理を応用して対象となるメールの解析と分類を行います。判定は統計的な情報を基に自動的に行うため上記のキーワードフィルタよりも判定度は高くなります。また、対象となるメール(スパムメール、誤判定メール)を学習させることで判定率は上昇します。このテクノロジーは、サーバ上でのスパムフィルタやクライアントソフトウェアなどでも多く実装されています。
●ヒューリスティック
ヘッダを含めたメール全文を判定材料として、人間がルール化することでスパムメールをフィルタリングするテクノロジーです。各ベンダが提供するスパム判定データベースには、専門家がルール化した情報を基にスパムスコアを付けるようにしているものがあります。キーワードフィルタは各個人または企業が設定しますが、キーワードだけでなくメールのヘッダ情報なども含めたさまざまな情報からルールを設定します。
●コラボレーション
個々のスパムメールを受け取ったユーザーが「何がスパムメールであり、何がスパムメールではない」という事実を報告し、その報告を基にメール本体の解析と判定を行うテクノロジーです。Web 2.0の基本原理である「より多くの人が利用することによって自動的に、より良いサービスを提供することができる」【注1】をスパムメール対策に適用したものとも考えられています。しかし、報告する人が少ない場合には精度も低くなりますが、実際には世界中からの報告を基に解析しているベンダもあり、精度も非常に高くなってきています。
| 【注1】 Tim O'Railly “What is Web 2.0” 09/30/2005より http://www.oreillynet.com/pub/a/oreilly/tim/news/2005/09/30/what-is-web-20.html 原文では“a key Web 2.0 principle: the service automatically gets better the more people use it.” |
 |
2/3 |
 |
| Index | |
| スパムメール対策――必要なメールを必要な人に | |
| Page1 スパムメール配信側の実態 ディレクトリハーベストアタックとは スパムメール本文も工夫されている |
|
 |
Page2 スパムメールの対策 Outbound Port 25 Blockingとは フロー制御とは スパムフィルタとは |
| Page3 スパムメール対策テクノロジー以外の判断基準 |
|
 |
電子メールセキュリティの基礎知識 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
