TOP
連載一覧
@IT Special
セミナー
eBook
ブログ
アットマーク・アイティ ITエキスパートのための問題解決メディア
Loading
@IT総合トップ >
@ITspecial
Tweet
このエントリーをはてなブックマークに追加

pr


 2010年2月17日、東京・秋葉原UDXで「@IT メールソリューション Live! in Tokyo 2010」(主催:アイティメディア株式会社 @IT編集部)が開催された。基調講演では、トライコーダ 代表取締役の上野 宣氏が、「1通のメールがあなたのマシンを乗っ取る」と題して、電子メールを使った攻撃やアカウントの乗っ取り事例を紹介した。

 スポンサーによるセッションも4つ開催されたが、本稿では、デジタルアーツ 開発部 取締役COOである高橋 則行氏が行った「セキュリティソフトの高速化や圧縮技術を、開発責任者が自ら語る」をレポートしよう。


スパムリサーチャーの素朴な発想から生まれたメールフィルター

●検知率99%以上、誤検知率0.0000686%のm-FILTER

高橋 則行氏
デジタルアーツ 開発部 取締役COO
高橋 則行氏

 セッション1では、デジタルアーツの高橋COOが、2007年から企業向けに提供している電子メールフィルタリングソフト「m-FILTER」の開発時のエピソードを披露した。

 m-FILTERは、送受信制御や全文アーカイブ、スパムメール対策をオールインワンで提供するメールプロキシとして動作する。

 同社は、専用のラボでスパムメールの収集を行っており、数多く流れたスパムメールをヒューリスティック分析で類型化している。「スパムメールにはさまざまな種類が存在するが、スパムメールをブロックするためには流通量の多いものからリスト化していくとよい」という判断だ。

 類型化されたスパムメールの中で、2009年7月から12月にかけて、上位1、2位を占めたのがNewsletter型と短文誘導URL型だ。

 Newsletter型は、その名のとおりニュースメールのような体裁をとるスパムメールで、全体の2割近くを占める。英語のものが多いが、日本語で書かれたものも少なくないという。ニュースの形をとるため、内容にバリエーションが多いが、スパムメールの仕掛け方(手法)に変化が少ないのが大きな特徴だ。

 一方、短文誘導URL型は、短文のメッセージにURLが添えられたスパムメールで、7月から9月にかけて猛威を振るい、11月以降終息した。当初は、Yahoo! Groupsの正規サービスを利用していたが、9月からはURLだけを記述する形に変化した。

 一般的なフィルタリングソフトは、ブラックリストやキーワードマッチング、添付ファイルの近似性マッチングなど、似たような技術を採用している。しかし、デジタルアーツのスパムメールリサーチャーの1人は、「人間が目で見れば簡単に判別できるような、既存のスパムメールに似たスパムメールを効率よく検知するにはどうすればいいか」という課題を突き詰めていった。

 スパムメール送信者は、とにかく大量のスパムメールを送ることで成功率を上げようとする。そのため、共通のテンプレートや専用ツールを利用することが多い。これに着目したのがデザインテンプレートフィルターだ。スパムメールのデザインテンプレートを判断材料に使うことにより、記述内容やURLといった特徴点に変化が生じても、スパムメールを検出することが容易になったのだ。

 m-FILTERは、検知率99%以上、誤検知率0.0000686%の実現に成功した。1日あたり440万通の電子メールが処理可能となっている。そのベースとなっている判断技術が、リサーチャーの素朴な発想から得られているというのは非常に興味深い話だった。

さらに詳しい資料を、TechTargetジャパンでご覧いただけます。
電子メールに潜むさまざまな脅威や課題を解決!
さらに詳しい資料を読む⇒

 関連リンク: デジタルアーツ

基調講演 1通のメールがあなたのマシンを乗っ取る

●Twitterのアカウントはなぜ突破されたのか?

上野宣氏
トライコーダ 代表取締役
上野 宣氏

 上野氏は、電子メールを使った攻撃手法が、無差別攻撃から特定の企業や個人を狙った標的型攻撃へとシフトしていると示唆する。この手の攻撃は、狙われる確立は低いものの、被害が甚大になるのが特徴的だという。

 その例として、2009年7月に発生したTwitterの機密漏えい事故を紹介する。事の発端は、TwitterスタッフのGmailアカウントが盗まれたことだ。スタッフの名前やTwitterアカウントからGmailのアカウント部分(@よりも前の部分)を推測した攻撃者は、Gmailのパスワードリセット機能を悪用する。

 この機能では、パスワードをリセットする手順を、アカウント取得時に入力したGmailとは別のメールアドレスへと送信する。その際、ユーザーにどのメールアドレスに送ったのかを教えるために、「***@h******.comに送信された手順をご覧ください」というメッセージを表示する。

 攻撃者は、h******.comの部分をhotmail.comと推測し、Gmailのアカウント部分から連想されるhotmailアカウントを調査した。すると、そのhotmailアカウントはすでに無効(空き)になっており、正規の手続きで取得できてしまった。

 まんまとTwitterスタッフのGmailにアクセスした攻撃者は、メールアーカイブを検索し、ほかのWebサービスのパスワード通知メールを発見する。そして、同一パスワードを複数のWebサービスで使いまわしていると推測し、Gmailのパスワードを元のパスワード(と思われるもの)に戻しておいたのだ。

 この結果、Twitterスタッフが利用していたさまざまなWebサービスのアカウントが乗っ取られ、Twitterのサーバのパスワードも盗まれてしまった。

 最後に上野氏は、「多くのユーザーが、複数のWebサービスで同様もしくは似たようなアカウント名を利用し、パスワードを使いまわしています。1通の電子メールからすべてのマシンが乗っ取られる可能性があることを念頭においてください」と警鐘を鳴らした。


提供:デジタルアーツ株式会社
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2009年03月31日

■ ホワイトペーパーダウンロード

さらに詳しい資料を読む⇒電子メールに潜むさまざまな脅威や課題を解決!

経営者からシステム管理者を対象に、電子メールが抱える課題と、「m-FILTER」で実現する企業リスクの大幅低減とコスト削減の解決策をご紹介します。
提供:デジタルアーツ

■ ゴールドスポンサー


株式会社 CSK Winテクノロジ


シーティーシー・エスピー株式会社


センドメール株式会社


デジタルアーツ株式会社


ミラポイントジャパン株式会社


■ シルバースポンサー


エヌ・アール・アイ・セキュアテクノロジーズ
株式会社

■ 主催


@IT編集部
@ITトップ|@IT Special インデックス|会議室|利用規約|プライバシーポリシー|サイトマップ


Copyright © ITmedia, Inc. All Rights Reserved.