ターゲット型攻撃でメールサービス停止の恐れも
メッセージラボ、突然やってくるスパムメールの「スパイク」に警鐘
2007/12/13
「スパムは確実に増加している。2007年は特に、特定の企業やドメインを狙うターゲット型攻撃が予想以上に増えた。1日に1000件以上のターゲット型攻撃を観測したこともある」――メッセージラボ ジャパンの代表取締役、山本誠治氏は、2007年のスパムメール動向を振り返ってこのように述べた。
メッセージラボ(MessageLabs)は、マネージド型のセキュリティ対策サービスを提供する企業だ。本社は英国だが、北米やアジア太平洋地域など世界10都市、14カ所にデータセンターを持ち、分散配置した約3000台のサーバを通じてアンチスパム/アンチウイルスサービスを提供している。
スパム検出には複数の技術を組み合わせている。トラフィックシェーピングによってメールを絞り込んだ上で、ヒューリスティック分析やサードパーティ製のセキュリティアプライアンスを用いてスパムかどうかを判断。その上で、独自開発の人工知能システム「SKEPTIC」を組み合わせることで、新たなスパムについても高い精度で判別できる点がメリットだ。また、一連のインフラはすべて冗長化しているため、大量のスパムメールが配信されてもサービスを継続できるという。
メッセージラボの観測によると、2007年の電子メール全体に占めるスパムメールの割合は、前年よりわずかに減って84.6%だった。しかし、ボットネットの蔓延にともなうターゲット型スパムの増加や、未知/新規のスパムメールの比率の増加といったトレンドが見られ、決して予断を許さない状況だという。
特に、ターゲット型スパムの増加は頭の痛い問題だという。理由の1つは、特定の企業を狙ったメッセージが記されており、その表現が洗練されているため、だまされて被害に遭う確率が高まるためだ。同時に、その企業のネットワーク帯域やサーバリソースが大量のスパムによって消費され、メールサービスの提供に支障が生じる恐れも高いという。
「スパムの量は膨大なものになっており、アプライアンス製品では処理しきれないケースが生じている。その結果、メールが滞留して何時間も使えなくなったり、場合によってはダウンすることさえある」(山本氏)
しかも、ターゲット型スパムでは、流量がどの程度あるかの予測が困難だ。常に右肩上がりで順調(?)に増えるというわけでもなく、前触れもなく突然増加し、「スパイク」が発生する。「いきなり3〜4倍、ときにはそれ以上のメールがやってくることもある。そうなると、キャパシティに余裕を見て組んでいたシステムでも対処しきれない」(山本氏)
2007年は同時に、新しい手口が次々に登場し、めまぐるしくトレンドが変わったことも特徴だったという。例えば、2007年初めに登場した画像スパムは、一時はスパムメールの大半を占める割合にまで増加したが、対策が普及すると急速に廃れた。そして代わりに、PDFやMP3ファイルを用いたスパムメールが流通している。
同社のテクニカルダイレクター、坂本真吾氏は、「技術的な対策がなされると、スパマー側はその方法でやっていても仕方がないと見切りを付ける。この結果、手を変え品を変えさまざまな形式が登場し、新しい種類のスパムの比率が高まっている」と指摘した。これは同時に、添付ファイルが増加し、メールサーバの負荷がさらに高まるという作用も生じさせているという。
山本氏によると、今のところ日本でのスパムメールの量は、他国に比べればそれほどではない。しかし、その「伸び率」は尋常ではないと述べ、いつ来るか分からないスパムメールのスパイクに備えるには、アプライアンス製品による対策では限界があると指摘している。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。