コンテンツブロッキングでスパムメールを除去

スパムメールを防ぐ技術（後編）

2009年12月01日 06時00分更新

文● TECH.ASCII.jp

進化するスパムメールに対応できるか？

　ここまでで、スパムメールを拒否するための技術としてソースブロッキングとトラフィックシェーピング、コンテンツブロッキングなどの各方式を説明してきた。アンチスパム製品はプロキシ型ゲートウェイやメールクライアントのプラグイン、あるいは「SpamAssasin」のようなオープンソースのソフトウェアなど多種多彩だが、いずれもこうしたフィルタが用いられていると考えてよい。

　注意したいのは、どの方式も万能ではないという点だ。振り分け精度やパフォーマンス、メンテナンス性などを天秤にかけるとメリットだけではなく、必ずデメリットも生じてしまう。そのため、多くのスパム対策製品のベンダーでは、複数のフィルタを組み合わせている。

多くの製品は複数のフィルタを組み合わせている

　そして、スパムメールの恐ろしい点は半端でないその量だけではなく、スパムメール対策の網をくぐり抜けるよう、日々手口が巧妙になっている点である。スパムメール対策製品を選ぶ際に特にチェックしたいのが、こうした進化する攻撃に対応できるかだ。

スパムメールは日々複雑・巧妙になっている

　スパムメールを排除するための技術なテキストメールだったスパムメールだが、用語や語句などで拒否するフィルタをかいくぐるため、記号を入れたり、表現を婉曲化するようになった。これにより、キーワードによる単純なフィルタでは素通りしてしまうことになった。また、長い文面はスパムメールらしさを特定するための条件を与えることになる。そのため、最近では短い文面にURLのみを埋め込むといった手法で、フィルタをかいくぐるものが増えている。さらに画像やPDFでのスパムメールも一時期流行し、スパムメール対策製品を巧妙にすり抜けていた。

画像やPDFを用いたスパムメールがフィルタを通り抜けた

　配信先の特定もより巧妙になっている。以前は、配信する宛先はかなり当てずっぽうであったため、Webサイトを巡回し、メールアドレスを自動収集していた。ただ、この方法だとインターネット上で公開しているアドレスしか収集できないため、スパムの配信業者は別途名簿を集めてくるという必要に迫られた。そこで、次に登場下のが、メールアドレスの@の前にありそうな文字列を付けて大量に配信し、エラーメールの戻らないメールアドレスを収集し、データベースに登録するという方法がとられるようになった。これを「ディレクトリハーベストアタック（DHA）」と呼ぶ。DHAは、収集した大量のメールアドレスの結果を元に、主に送信元スパムメールやウイルス添付メールなどを送信する。

　このようにスパムメールの検出は、ウイルスと同じくいたちごっこである。精度の高いフィルタでも、そのフィルタをかいくぐるスパムメールが現われる。この繰り返しで、両者は進化を続けてきたといってよい。そのため、ユーザーはつねに最新のスパムを検出できるアプローチを導入していかなければならない。コストを下げるためにオープンソースの製品でスパムメール対策を行なう場合は、ここが課題となる。もちろん、インターネット上のデータベースを活用したり、チューニングを施すことで最新のスパムメールに対応することも可能だ。しかし、メンテナンスや設定に管理者の労力がかかる。

　もう1つ注意したいのは、誤検知を可能な限り少なくするための収集・解析機関の存在だ。ベンダー依存型のフィルタの精度は、データベースの更新頻度にかかっている。愉快犯的な色合いの強いウイルスに対して、スパムメールは配信業者にとってみればビジネスそのものだ。そのため、日々新しい手法を駆使して、フィルタをすり抜けようと工夫を凝らす。これに対抗していくには、最新のスパムメールの情報もきちんと解析してくれる収集・解析する機関が必要になる。しかし、こうした機関を全世界的に展開しているベンダーは、それほど多くない。

（次ページ、業務に支障を与えないスパムメールの扱い方）

前へ 1 2 3 4 次へ

ツイートする

カテゴリートップへ