このページの本文へ

こうして守れ!メールのセキュリティ 第13回

コンテンツブロッキングでスパムメールを除去

スパムメールを防ぐ技術(後編)

2009年12月01日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

進化するスパムメールに対応できるか?

 ここまでで、スパムメールを拒否するための技術としてソースブロッキングとトラフィックシェーピング、コンテンツブロッキングなどの各方式を説明してきた。アンチスパム製品はプロキシ型ゲートウェイやメールクライアントのプラグイン、あるいは「SpamAssasin」のようなオープンソースのソフトウェアなど多種多彩だが、いずれもこうしたフィルタが用いられていると考えてよい。

 注意したいのは、どの方式も万能ではないという点だ。振り分け精度やパフォーマンス、メンテナンス性などを天秤にかけるとメリットだけではなく、必ずデメリットも生じてしまう。そのため、多くのスパム対策製品のベンダーでは、複数のフィルタを組み合わせている。

多くの製品は複数のフィルタを組み合わせている

 そして、スパムメールの恐ろしい点は半端でないその量だけではなく、スパムメール対策の網をくぐり抜けるよう、日々手口が巧妙になっている点である。スパムメール対策製品を選ぶ際に特にチェックしたいのが、こうした進化する攻撃に対応できるかだ。

スパムメールは日々複雑・巧妙になっている

 スパムメールを排除するための技術なテキストメールだったスパムメールだが、用語や語句などで拒否するフィルタをかいくぐるため、記号を入れたり、表現を婉曲化するようになった。これにより、キーワードによる単純なフィルタでは素通りしてしまうことになった。また、長い文面はスパムメールらしさを特定するための条件を与えることになる。そのため、最近では短い文面にURLのみを埋め込むといった手法で、フィルタをかいくぐるものが増えている。さらに画像やPDFでのスパムメールも一時期流行し、スパムメール対策製品を巧妙にすり抜けていた。

画像やPDFを用いたスパムメールがフィルタを通り抜けた

 配信先の特定もより巧妙になっている。以前は、配信する宛先はかなり当てずっぽうであったため、Webサイトを巡回し、メールアドレスを自動収集していた。ただ、この方法だとインターネット上で公開しているアドレスしか収集できないため、スパムの配信業者は別途名簿を集めてくるという必要に迫られた。そこで、次に登場下のが、メールアドレスの@の前にありそうな文字列を付けて大量に配信し、エラーメールの戻らないメールアドレスを収集し、データベースに登録するという方法がとられるようになった。これを「ディレクトリハーベストアタック(DHA)」と呼ぶ。DHAは、収集した大量のメールアドレスの結果を元に、主に送信元スパムメールやウイルス添付メールなどを送信する。

 このようにスパムメールの検出は、ウイルスと同じくいたちごっこである。精度の高いフィルタでも、そのフィルタをかいくぐるスパムメールが現われる。この繰り返しで、両者は進化を続けてきたといってよい。そのため、ユーザーはつねに最新のスパムを検出できるアプローチを導入していかなければならない。コストを下げるためにオープンソースの製品でスパムメール対策を行なう場合は、ここが課題となる。もちろん、インターネット上のデータベースを活用したり、チューニングを施すことで最新のスパムメールに対応することも可能だ。しかし、メンテナンスや設定に管理者の労力がかかる。

 もう1つ注意したいのは、誤検知を可能な限り少なくするための収集・解析機関の存在だ。ベンダー依存型のフィルタの精度は、データベースの更新頻度にかかっている。愉快犯的な色合いの強いウイルスに対して、スパムメールは配信業者にとってみればビジネスそのものだ。そのため、日々新しい手法を駆使して、フィルタをすり抜けようと工夫を凝らす。これに対抗していくには、最新のスパムメールの情報もきちんと解析してくれる収集・解析する機関が必要になる。しかし、こうした機関を全世界的に展開しているベンダーは、それほど多くない。

(次ページ、業務に支障を与えないスパムメールの扱い方)


 

カテゴリートップへ

この連載の記事
  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌
  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!