進化するスパムメールに対応できるか?
ここまでで、スパムメールを拒否するための技術としてソースブロッキングとトラフィックシェーピング、コンテンツブロッキングなどの各方式を説明してきた。アンチスパム製品はプロキシ型ゲートウェイやメールクライアントのプラグイン、あるいは「SpamAssasin」のようなオープンソースのソフトウェアなど多種多彩だが、いずれもこうしたフィルタが用いられていると考えてよい。
注意したいのは、どの方式も万能ではないという点だ。振り分け精度やパフォーマンス、メンテナンス性などを天秤にかけるとメリットだけではなく、必ずデメリットも生じてしまう。そのため、多くのスパム対策製品のベンダーでは、複数のフィルタを組み合わせている。
そして、スパムメールの恐ろしい点は半端でないその量だけではなく、スパムメール対策の網をくぐり抜けるよう、日々手口が巧妙になっている点である。スパムメール対策製品を選ぶ際に特にチェックしたいのが、こうした進化する攻撃に対応できるかだ。
スパムメールを排除するための技術なテキストメールだったスパムメールだが、用語や語句などで拒否するフィルタをかいくぐるため、記号を入れたり、表現を婉曲化するようになった。これにより、キーワードによる単純なフィルタでは素通りしてしまうことになった。また、長い文面はスパムメールらしさを特定するための条件を与えることになる。そのため、最近では短い文面にURLのみを埋め込むといった手法で、フィルタをかいくぐるものが増えている。さらに画像やPDFでのスパムメールも一時期流行し、スパムメール対策製品を巧妙にすり抜けていた。
配信先の特定もより巧妙になっている。以前は、配信する宛先はかなり当てずっぽうであったため、Webサイトを巡回し、メールアドレスを自動収集していた。ただ、この方法だとインターネット上で公開しているアドレスしか収集できないため、スパムの配信業者は別途名簿を集めてくるという必要に迫られた。そこで、次に登場下のが、メールアドレスの@の前にありそうな文字列を付けて大量に配信し、エラーメールの戻らないメールアドレスを収集し、データベースに登録するという方法がとられるようになった。これを「ディレクトリハーベストアタック(DHA)」と呼ぶ。DHAは、収集した大量のメールアドレスの結果を元に、主に送信元スパムメールやウイルス添付メールなどを送信する。
このようにスパムメールの検出は、ウイルスと同じくいたちごっこである。精度の高いフィルタでも、そのフィルタをかいくぐるスパムメールが現われる。この繰り返しで、両者は進化を続けてきたといってよい。そのため、ユーザーはつねに最新のスパムを検出できるアプローチを導入していかなければならない。コストを下げるためにオープンソースの製品でスパムメール対策を行なう場合は、ここが課題となる。もちろん、インターネット上のデータベースを活用したり、チューニングを施すことで最新のスパムメールに対応することも可能だ。しかし、メンテナンスや設定に管理者の労力がかかる。
もう1つ注意したいのは、誤検知を可能な限り少なくするための収集・解析機関の存在だ。ベンダー依存型のフィルタの精度は、データベースの更新頻度にかかっている。愉快犯的な色合いの強いウイルスに対して、スパムメールは配信業者にとってみればビジネスそのものだ。そのため、日々新しい手法を駆使して、フィルタをすり抜けようと工夫を凝らす。これに対抗していくには、最新のスパムメールの情報もきちんと解析してくれる収集・解析する機関が必要になる。しかし、こうした機関を全世界的に展開しているベンダーは、それほど多くない。
(次ページ、業務に支障を与えないスパムメールの扱い方)
この連載の記事
-
第18回
TECH
従来機種より2倍速いHDE「tapirus」の新モデル -
第18回
TECH
誤送信対策に特化!キヤノンITSのGUARDIAN CorrectMail -
第15回
TECH
メールの情報漏えいとアーカイブについて知る -
第14回
TECH
メール誤送信対策の決定版!HDE Secure Mail FINAL -
第12回
TECH
ファイル偽装を許さないクリアスウィフトの新アプライアンス -
第11回
TECH
ダウジャパン、誤送信防止対応のTerrace Spam Watcher A500 -
第11回
TECH
メールアーカイブ導入の背中を押すミラポイント -
第10回
TECH
スパムメールを防ぐ技術(前編) -
第9回
TECH
なぜ日本だけ?誤送信対策に注力するプルーフポイント -
第8回
ビジネス
舞台はメールからSNSへ! 脅威のターゲットが変貌と警告 - この連載の一覧へ