Tweet

ターゲット型攻撃でメールサービス停止の恐れも

メッセージラボ、突然やってくるスパムメールの「スパイク」に警鐘

2007/12/13

　「スパムは確実に増加している。2007年は特に、特定の企業やドメインを狙うターゲット型攻撃が予想以上に増えた。1日に1000件以上のターゲット型攻撃を観測したこともある」――メッセージラボ ジャパンの代表取締役、山本誠治氏は、2007年のスパムメール動向を振り返ってこのように述べた。

　メッセージラボ（MessageLabs）は、マネージド型のセキュリティ対策サービスを提供する企業だ。本社は英国だが、北米やアジア太平洋地域など世界10都市、14カ所にデータセンターを持ち、分散配置した約3000台のサーバを通じてアンチスパム／アンチウイルスサービスを提供している。

　スパム検出には複数の技術を組み合わせている。トラフィックシェーピングによってメールを絞り込んだ上で、ヒューリスティック分析やサードパーティ製のセキュリティアプライアンスを用いてスパムかどうかを判断。その上で、独自開発の人工知能システム「SKEPTIC」を組み合わせることで、新たなスパムについても高い精度で判別できる点がメリットだ。また、一連のインフラはすべて冗長化しているため、大量のスパムメールが配信されてもサービスを継続できるという。

　メッセージラボの観測によると、2007年の電子メール全体に占めるスパムメールの割合は、前年よりわずかに減って84.6％だった。しかし、ボットネットの蔓延にともなうターゲット型スパムの増加や、未知／新規のスパムメールの比率の増加といったトレンドが見られ、決して予断を許さない状況だという。

　特に、ターゲット型スパムの増加は頭の痛い問題だという。理由の1つは、特定の企業を狙ったメッセージが記されており、その表現が洗練されているため、だまされて被害に遭う確率が高まるためだ。同時に、その企業のネットワーク帯域やサーバリソースが大量のスパムによって消費され、メールサービスの提供に支障が生じる恐れも高いという。

　「スパムの量は膨大なものになっており、アプライアンス製品では処理しきれないケースが生じている。その結果、メールが滞留して何時間も使えなくなったり、場合によってはダウンすることさえある」（山本氏）

スパムメールのスパイクの状況。MessageLabs「2007 Annual Security Report」より

　しかも、ターゲット型スパムでは、流量がどの程度あるかの予測が困難だ。常に右肩上がりで順調（？）に増えるというわけでもなく、前触れもなく突然増加し、「スパイク」が発生する。「いきなり3〜4倍、ときにはそれ以上のメールがやってくることもある。そうなると、キャパシティに余裕を見て組んでいたシステムでも対処しきれない」（山本氏）

　2007年は同時に、新しい手口が次々に登場し、めまぐるしくトレンドが変わったことも特徴だったという。例えば、2007年初めに登場した画像スパムは、一時はスパムメールの大半を占める割合にまで増加したが、対策が普及すると急速に廃れた。そして代わりに、PDFやMP3ファイルを用いたスパムメールが流通している。

　同社のテクニカルダイレクター、坂本真吾氏は、「技術的な対策がなされると、スパマー側はその方法でやっていても仕方がないと見切りを付ける。この結果、手を変え品を変えさまざまな形式が登場し、新しい種類のスパムの比率が高まっている」と指摘した。これは同時に、添付ファイルが増加し、メールサーバの負荷がさらに高まるという作用も生じさせているという。

　山本氏によると、今のところ日本でのスパムメールの量は、他国に比べればそれほどではない。しかし、その「伸び率」は尋常ではないと述べ、いつ来るか分からないスパムメールのスパイクに備えるには、アプライアンス製品による対策では限界があると指摘している。