Tweet

シマンテックが国内迷惑メールの状況を解説

功を奏した「OP25B」、その一方で攻撃の質は変化

2010/10/04

　シマンテックは10月4日、日本国内における迷惑メールの現状に関する説明会を開催した。説明会にはニフティの開発推進室 担当部長 木村孝氏も出席し、迷惑メール対策のいくつかは功を奏しているものの、海外発の迷惑メールが増大している現状を指摘した。またシマンテックのセキュリティビジネスユニット シニアプロダクトマネージャ 西島正憲氏は、迷惑メールを介して、Adobe PDFファイルの脆弱性を狙う悪意あるサイトへと誘導する攻撃の増加に注意を呼び掛けた。

　木村氏によると、この数年間、迷惑メールの量自体はそれほど大きく変わっていないが、発信元に違いが見られるという。2006年から2007年ごろを境に、迷惑メールの発信元が国内から海外へとシフトしているのだ。また発信元を国別に見ると、以前はほぼ半数が中国から送られてきていたが、最近では「いわゆるBRICsやアジア全般に広がってきている」（木村氏）という。

　発信元が国内から海外へとシフトした時期は、通数制限や「Outbound Port 25 Blocking」（OP25B）をはじめとする技術的な対策に加え、迷惑メールに関する法規制の強化、警察を通じた摘発といった対策を地道に重ねてきた時期と重なる。特に、ISPが運営するメールサーバへの「ただ乗り」を防ぐOP25Bは大きな効果を産んでおり、日本から発信される迷惑メールの数は激減。迷惑メール送信国ランキングは30位と、ブロードバンド接続の普及率から見て非常に低い水準にとどまるようになった。

ニフティの開発推進室 担当部長 木村孝氏

　一方で「迷惑メールを取り巻くセキュリティ環境は変化している」（木村氏）。具体的には、メールにマルウェアを直接添付する代わりに、本文に記したURLなどを介して外部サイトに誘導し、アクセスしただけで感染させる攻撃手法が広がっていると警告した。また、タイトルやサブジェクトに工夫を凝らして特定のユーザーを狙い打ちにする「標的型攻撃」や、受信者をだましてメールを開かせようとするソーシャルエンジニアリングにも注意が必要という。

　シマンテックの西島氏は木村氏の説明を受けて、PDFビューアなど、Webブラウザのプラグインを狙う攻撃が増加しているという同社の調査結果を紹介した。2009年のWebを介した攻撃のうち49％が、PDFの脆弱性を狙う悪意あるファイルを利用するものだったという。

　この種の攻撃は、迷惑メールの添付ファイルとして送られてくることもあるが、その数は減少している。やはり多いのは、Webサイトに誘導し、細工を施したPDFファイルにアクセスさせるという手法だ。特に、JavaScriptやFlashなどの埋め込みによってユーザーの利便性は高まる半面、「脆弱性も埋め込まれている」（西島氏）。また依然として「数は少ないが効果は大きい」（西島氏）標的型攻撃と組み合わせ、添付ファイルを開かせようとする手口も観測されているという。

　もう1つ、迷惑メールへの技術的対策に「送信ドメイン認証」がある。送信元のドメインが正規のものかどうかを検証し、なりすましメール（迷惑メールの大半が送信元を偽装している）の受信を防ぐ仕組みだが、いまのところ、OP25Bほど顕著な効果は上げていない。

　その理由は「普及が進んでおらず、受信拒否を判定できるまでには至っていない」（木村氏）からだ。送信ドメイン認証は、送信側、受信側、双方でサポートされないと意味がない。ISPだけでなく企業や官公庁、教育機関など、あらゆる組織での対応が求められるという。