Technology
テクノロジー
新たな対策技術:スパムフィルタリングと E-mail レピュテーション
前回説明した URL フィルタリングと Web レピュテーションに引き続き、今回は、間接的な不正プログラム対策としての「スパムフィルタリング」と「E-mail レピュテーション」について説明します。
スパムメール、つまり受信者にとって不要な迷惑メールの問題は電子メールの普及とともに深刻化してきました。スパムメールの対策であるスパムフィルタリングは前回説明した「URL フィルタリング」と同様に、不正プログラム対策とは別の需要により普及しました。しかし、不正プログラムを中心とした脅威動向の変化により、スパムメール対策も不正プログラム対策に応用されるようになりました。
スパムフィルタリングには大別して2つの方法があります。送信者の情報でフィルタリングする方法と、メールの内容を判定してフィルタリングする方法です。
まず、送信者情報でフィルタリングする方法として1997年には、RBL(リアルタイムブラックホールリスト)の運用が始まりました。これは悪質なスパムメールの送信元であるメールサーバーの IP アドレスのブラックリストを作成し、各プロバイダのメールサーバーでメール受信を拒否する方法で、効果もありました。同様に、送信元メールアドレスによるフィルタリングも大きな効果がありました。
しかし、この送信者情報でのフィルタリングによるスパムメール対策が広まると、スパムメール送信者は送信者情報を詐称したり、メール送信元のコンピュータを移動したりするなどの方法でスパムフィルタリングの回避を行うようになりました。
そこで、送信元情報でのフィルタリングが回避されるケースを受けて、電子メールの内容を判定してスパムメールを特定しフィルタリングを行う方式が登場しました。
この方法ではスパムメールでよく使用されるキーワードをデータベース化します。そして検索対象メールの件名や本文中で使用されているキーワードの傾向からスパムメールを判定しフィルタリングします。この方式はスパムメールに対するヒューリスティック検出とも言えます。
一方、スパムメール送信者は、内容判定方式のフィルタリングに対して、単語の分割などのキーワード難読化で対抗しました。例えば「spam」に「s p a m」のように単語の文字と文字の間にスペースを挟ませる方法です。
また、メールの本文を画像化して表示する「画像スパム」や、メールの本文をテキストファイルや文書ファイル内に入れて添付する添付ファイルスパムなどの方法も行われました。ほかにも、本文内にはキーワードを入れず、URL のリンクを貼付することで Web サイトへ誘導するスパムメールも増加しました。
このように、不正プログラム対策が不正プログラム作者とのイタチごっこであるのと同様に、スパムメール対策もスパムメール送信者とのイタチごっこを通じて今も進化が続いています。
スパムメール対策の不正プログラム対策への応用が始まったきっかけは、自身のコピーを添付したメールを大量送信するマスメーリング型ワームの登場でした。短い時間で世界的大流行を引き起こすマスメーリングワームに対し、検出するためのパターンファイルの作成やユーザーが適用するまでの時間のギャップが問題視されたため、それを補う対策としてメール内容の判定によるスパムフィルタリングが利用されたのです。特定のメール件名、添付ファイル名、本文の内容などの条件によってワームによって送信されたメールをブロックし、ワームの侵入を防ぐ方法です。
しかし、マスメーリングワーム側も件名や本文に多数のバリエーションを使用するようになり、内容判定型スパムフィルタリングによるワーム対策は効果を失っていきました。
2004年にはボットネットが登場し、スパムメールと不正プログラムはより密接な関係になっていきました。ボットと呼ばれる不正プログラムの侵入を受けたコンピュータが、ボットネットにより遠隔からコントロールされ、スパムメールの送信システムとして使用されるケースが頻発したのです。攻撃者は自律的でコントロールしにくいマスメーリングワームよりも、コントロールが可能なスパムメール送信を不正プログラムの頒布に使用するようになり、人為的なマルウェアスパムが増加しました。
そして「Web からの脅威」の登場によって添付ファイルでの頒布は減少し、メール内の URL によって不正プログラムをダウンロードさせる Web サイトへ誘導する方法が増加しました。現在ではスパムメールによる Web サイトへの誘導が、最大の不正プログラム侵入経路と考えられています。
このような「Web からの脅威」を中心とした攻撃手法の変化へ対応するため、トレンドマイクロでは「E-mail レピュテーション」による対策を進めています。「E-mail レピュテーション」は電子メールの送信元であるメールサーバーの IP アドレスの危険度評価からブロックを行う方式であり、以前の RBL 方式を不正プログラム対策の観点から進化させたものとも言えます。単純なブラックリストである RBL とは異なり、「E-mail レピュテーション」ではスパムメールの送信元となっている IP アドレスをこれまでの実績と運用状況から評価します。例えば、長期間にわたって安定して運用されているメールサーバーは信頼できる送信元とみなせますが、その逆の存在は不審な送信元と言えます。
加えて、実際にその IP アドレスから迷惑メールが送信された実績からも評価が行われます。
これらの評価を「Web レピュテーション」と同じようにクラウド上で自動的に行うことで、ボットネットの悪用などによってダイナミックに IP アドレスを変えるスパムメールにも対応できるようになりました。侵入経路としてのスパムメールのブロックは、不正プログラム対策として Web レピュテーション同様の高い効果を挙げています。
スパムメール、つまり受信者にとって不要な迷惑メールの問題は電子メールの普及とともに深刻化してきました。スパムメールの対策であるスパムフィルタリングは前回説明した「URL フィルタリング」と同様に、不正プログラム対策とは別の需要により普及しました。しかし、不正プログラムを中心とした脅威動向の変化により、スパムメール対策も不正プログラム対策に応用されるようになりました。
スパムフィルタリングには大別して2つの方法があります。送信者の情報でフィルタリングする方法と、メールの内容を判定してフィルタリングする方法です。
まず、送信者情報でフィルタリングする方法として1997年には、RBL(リアルタイムブラックホールリスト)の運用が始まりました。これは悪質なスパムメールの送信元であるメールサーバーの IP アドレスのブラックリストを作成し、各プロバイダのメールサーバーでメール受信を拒否する方法で、効果もありました。同様に、送信元メールアドレスによるフィルタリングも大きな効果がありました。
しかし、この送信者情報でのフィルタリングによるスパムメール対策が広まると、スパムメール送信者は送信者情報を詐称したり、メール送信元のコンピュータを移動したりするなどの方法でスパムフィルタリングの回避を行うようになりました。
そこで、送信元情報でのフィルタリングが回避されるケースを受けて、電子メールの内容を判定してスパムメールを特定しフィルタリングを行う方式が登場しました。
この方法ではスパムメールでよく使用されるキーワードをデータベース化します。そして検索対象メールの件名や本文中で使用されているキーワードの傾向からスパムメールを判定しフィルタリングします。この方式はスパムメールに対するヒューリスティック検出とも言えます。
一方、スパムメール送信者は、内容判定方式のフィルタリングに対して、単語の分割などのキーワード難読化で対抗しました。例えば「spam」に「s p a m」のように単語の文字と文字の間にスペースを挟ませる方法です。
また、メールの本文を画像化して表示する「画像スパム」や、メールの本文をテキストファイルや文書ファイル内に入れて添付する添付ファイルスパムなどの方法も行われました。ほかにも、本文内にはキーワードを入れず、URL のリンクを貼付することで Web サイトへ誘導するスパムメールも増加しました。
このように、不正プログラム対策が不正プログラム作者とのイタチごっこであるのと同様に、スパムメール対策もスパムメール送信者とのイタチごっこを通じて今も進化が続いています。
スパムメール対策の不正プログラム対策への応用が始まったきっかけは、自身のコピーを添付したメールを大量送信するマスメーリング型ワームの登場でした。短い時間で世界的大流行を引き起こすマスメーリングワームに対し、検出するためのパターンファイルの作成やユーザーが適用するまでの時間のギャップが問題視されたため、それを補う対策としてメール内容の判定によるスパムフィルタリングが利用されたのです。特定のメール件名、添付ファイル名、本文の内容などの条件によってワームによって送信されたメールをブロックし、ワームの侵入を防ぐ方法です。
しかし、マスメーリングワーム側も件名や本文に多数のバリエーションを使用するようになり、内容判定型スパムフィルタリングによるワーム対策は効果を失っていきました。
2004年にはボットネットが登場し、スパムメールと不正プログラムはより密接な関係になっていきました。ボットと呼ばれる不正プログラムの侵入を受けたコンピュータが、ボットネットにより遠隔からコントロールされ、スパムメールの送信システムとして使用されるケースが頻発したのです。攻撃者は自律的でコントロールしにくいマスメーリングワームよりも、コントロールが可能なスパムメール送信を不正プログラムの頒布に使用するようになり、人為的なマルウェアスパムが増加しました。
そして「Web からの脅威」の登場によって添付ファイルでの頒布は減少し、メール内の URL によって不正プログラムをダウンロードさせる Web サイトへ誘導する方法が増加しました。現在ではスパムメールによる Web サイトへの誘導が、最大の不正プログラム侵入経路と考えられています。
このような「Web からの脅威」を中心とした攻撃手法の変化へ対応するため、トレンドマイクロでは「E-mail レピュテーション」による対策を進めています。「E-mail レピュテーション」は電子メールの送信元であるメールサーバーの IP アドレスの危険度評価からブロックを行う方式であり、以前の RBL 方式を不正プログラム対策の観点から進化させたものとも言えます。単純なブラックリストである RBL とは異なり、「E-mail レピュテーション」ではスパムメールの送信元となっている IP アドレスをこれまでの実績と運用状況から評価します。例えば、長期間にわたって安定して運用されているメールサーバーは信頼できる送信元とみなせますが、その逆の存在は不審な送信元と言えます。
加えて、実際にその IP アドレスから迷惑メールが送信された実績からも評価が行われます。
これらの評価を「Web レピュテーション」と同じようにクラウド上で自動的に行うことで、ボットネットの悪用などによってダイナミックに IP アドレスを変えるスパムメールにも対応できるようになりました。侵入経路としてのスパムメールのブロックは、不正プログラム対策として Web レピュテーション同様の高い効果を挙げています。
記事提供:トレンドマイクロ
New Topics
Special Ad
| ウマいもの情報てんこ盛り「えん食べ」 | |
 |
「えん食べ」は、エンジョイして食べる、エンターテイメントとして食べものを楽しむための、ニュース、コラム、レシピ、動画などを提供します。 てんこ盛りをエンジョイするのは こちらから |
Hot Topics
IT Job
今週のIT求人情報
その他 IT求人情報はこちら
Interviews / Specials
Follow japan.internet.com
ネット選挙
Popular
Access Ranking
Partner Sites