第2回 スパムメール対策――必要なメールを必要な人に
藤澤 英治
株式会社CSK Winテクノロジ
2007/4/26
前回は電子メールセキュリティ全般の特徴と対策について解説しました。今回はその中からスパムメールの対策についてもう少し詳しく解説しましょう。
スパムメール配信側の実態
まず、スパムメールを送る側の実態について解説します。
スパムメールは、ウイルスに感染してリモート操作可能状態となったPC群で構成されるボットネットを使い、短時間にかつ大量に配信されます。このボットネットは、感染した数十〜数百台のPCが1人のスパムメール配信指令者に操作され、スパムメールの送信などに使われます。
このようにボットネットはISP接続された大量のPCを利用してスパムメールを送信するため、一般に知られるIPアドレスブラックリストによるスパムメール対策だけでは防ぎきれなくなってきています(ISP接続は一般にDHCPによる動的なIPアドレス割り当てを行うため、単純なIPアドレスブラックリストでは対応が厳しくなってきているのが現状です)。さらに、多くの感染PCを利用するので、短時間に大量のスパムメール配信が行われます。
また、スパムメール配信側は単純に生成したメールアドレスに対してやみくもにスパムメールを配信しているわけではありません。いかに有効なメールアドレス情報を取得してスパムメールを送りつけるかを図1に示す手順を取ることで確立しています。
 |
| 図1 スパムメール配信までのフロー |
ディレクトリハーベストアタックとは
ディレクトリハーベストアタックは有効なメールアドレスを取得するための、スパムメール配信側での重要な技術です。このアタックはメールサーバの基本的な仕組みを利用し、有効なメールアドレスを特定します。
一般的なメールサーバでは存在しないメールアドレスにメールを送信すると「User Unknown」という応答を行います。この仕組みを利用し、辞書などを用いて機械的に生成したメールアドレスリストを基に一気にメールを送信し、その結果User Unknownが返ってこなかったメールアドレスを「存在する有効なメールアドレス」と見なし、メールアドレスリストのメンテナンスを行います。
これによりメンテナンスされたメールアドレスリストは精度が高いものとなり、ほかのスパム配信業者へ売買されるケースもあると考えられます。
 |
| 図2 ディレクトリハーベストアタック |
ディレクトリハーベストアタックを受けると大量のメールを受信し、なおかつその返信も行うためメールサーバに非常に大きな負荷が強いられることになります。
User Unknownを返信しないことが解決策になり得るかというと、これは一長一短です。ビジネスの場ではメールが重要なものとなっており、ミスタイプによるメールが気付かずに「送信されたもの」として扱われることは危険であるからです。
スパムメール本文も工夫されている
スパムメールはメールの本文自体にも細工がされています。例えば「合法幻覚剤」というメッセージを伝えたい場合、単純にテキストメールにするとキーワードフィルタに引っ掛かってしまうので、HTMLメールにして「<x>合</x><x>法</x><x>幻</x><x>覚</x><x>剤</x>」と記述することでキーワードフィルタをすり抜け、ユーザーには伝えたいメッセージが届くことになります。
これは一例として挙げましたが、HTMLにない独自のタグを指定してもブラウザはタグを無視するので、実際のテキストは無数のパターンを作ることができてしまいます。よってパターンの学習による対策は難しい状況となります。
 |
| 図3 画像によるスパムメール |
また、最近のスパムメールのトレンドは画像スパムメールです。図3を見て分かるとおり伝えたいメッセージが斜めになっていたり、色が付いていたりします。画像の中に文字が書かれているためキーワードフィルタ系の対策はほとんど無意味になっています。さらに文字の色を送るメールごとに変えることによりスパムフィルタをすり抜けられるように考えられたものが最近流行しています。
このようにスパムメールを送る側も日々進化をしているのが現状です。
1/3 |
 |
| Index | |
| スパムメール対策――必要なメールを必要な人に | |
 |
Page1 スパムメール配信側の実態 ディレクトリハーベストアタックとは スパムメール本文も工夫されている |
| Page2 スパムメールの対策 Outbound Port 25 Blockingとは フロー制御とは スパムフィルタとは |
|
| Page3 スパムメール対策テクノロジー以外の判断基準 |
|
 |
電子メールセキュリティの基礎知識 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
