ニュース / トピックス
シマンテック、京都大学高倉助教授を招いてスパムメールの現状についての説明会を開催――対策アプライアンスなどの効果で90%を削減
2006年2月28日
 |
京都大学でのスパムメール対策などについて講演した、京都大学 学術情報メディアセンターの高倉弘善助教授 |
|
 |
シマンテックの電子メールセキュリティーアプライアンス『Symantec Mail Security 8260』 |
|
(株)シマンテックは28日、東京都赤坂の同社本社にて報道関係者向けの説明会を開催。京都大学 学術情報メディアセンターの高倉弘善助教授を招いて、同大学での事例を中心としたスパムメールの現状とその対策についての講演を行なった。同社製の電子メールセキュリティーアプライアンス“Symantec Mail Security 8100 Series”の導入により、90%程度のスパムメールの排除に成功したという。
高倉氏の講演に先立ち、同社技術本部テクノロジーSE2課 プリンシパル システムエンジニアの吉池克史氏により、同社が製品化している電子メールのセキュリティー対策用アプライアンス製品“Symantec Mail Security”についての、同社の取り組みと機能についての簡単な説明が行なわれた。同社の製品には、スパムメール対策に特化したSMS8100シリーズ『SMS8160』とスパム対策に加えてウイルス対策やメールファイアーウォールなど複合的な機能を備えた“SMS8200”シリーズの2系統がラインナップされている。いずれも企業内ネットワークの構成で見た場合、メールサーバーよりも外側に置かれるアプライアンスで、メールサーバーに届く前の段階でスパムメールやウイルス付きメールを阻止する。8100シリーズはネットワークプロトコルのレベルでトラフィックの絞り込みを行ない、怪しいサイトからのメールを遮断する。8200シリーズはメールサーバーより内側に置かれて、メールのボディー部分の解析などを行ない、スパムメールをはじき出し遮断する。これらのアプライアンスを導入することによって、メールサーバー側に到達するスパムメールを減らして、メールサーバーの負荷を軽減する。
 |
シマンテックが用意する2種類の電子メールセキュリティーアプライアンス製品。いずれもスパム対策機能を備えるが、対策手段は異なる |
|
 |
SMS8200シリーズを導入した企業は、300万アカウント以上の“おとり”を使い世界中で情報収集を行なう同社のセキュリティレスポンス部門から、10分おきにフィルタの更新を受けられる |
|
続いて高倉氏により、まずスパムメールの現状についての説明が行なわれた。高倉氏らはまず10社程度のスパム対策ソリューションを導入して調査を行ない、その結果を見てコンテンツベースでフィルタリングを行なう電子メールセキュリティーアプライアンス(SMS8200など)について、「ここ1〜2年で急速に性能が良くなった。5年前くらいではスパムではないメールもスパムと見なしてしまったが、1〜2年でほぼ99%正しい判定を行なうようになった」と評価した。高倉氏らが2005年9月から12月にかけて、京都大学にて行なった評価実験では、SMS8100シリーズを試験導入してスパム対策をほどこしたメールサーバーと、なにも施さないメールサーバーで比較した場合、ログサイズの比較で平日は20〜30%が、休日では50%程度がスパムメールであったという。対策によって平日は1000通ほど来ていたスパムメールが、150通程度まで減ったという。
ちなみに一時期猛威を振るっていた携帯電話でのスパムメールは、「根絶はしていないが下火」という状況にあるという。その理由について高倉氏は法整備が進んだことや、受信サーバーを通信キャリア自身が管理しているため、対策も比較的容易で損害額の積算もしやすいので、スパム送信者に直接損害賠償を要求するなどの対応が行ないやすいためとしている。スパムメールの傾向については、日本では相変わらず出会い系やアダルトサイトの勧誘・誘導や、それらを装うフィッシング詐欺メールが多いという。また日本でも大手銀行のサイトを装うフィッシング詐欺サイトが登場した事例や、正規のSSL証明書を取得し、ドメイン名も銀行を偽装したフィッシング詐欺サイトが海外で登場した事例なども取り上げて、詐欺を仕掛ける側の巧妙化が進み、ユーザーにとって危険な状況が続いていることを述べた。またターゲットを特定してのソーシャルエンジニアリング的なウイルスメールについては、その手口を紹介したうえで、受信後にユーザーに配信するまで一定時間(数時間〜1日)留め置く(検疫)ことで、フィルターのアップデートにより対応できる可能性があると述べられた。高倉氏は「1日留め置ければ、対応できる可能性が高い」として、検疫システムが有用であるとした。
 |
BotプログラムをベースにしたBotネットワークによるスパム配信の仕組み。Botと指令サーバー間のやり取りも、最近では暗号化されているという |
“Bot(ボット)”プログラムによるスパム配信については、Botネットワークを使ったスパム配信の仕組みを説明したうえで、Botネット管理者やスパム発信者による対策(分業化、Botに対する指令の暗号化)も進んでいて、またBotを仕掛けられたコンピューターが20万〜30万もあるため対抗策が追いつかないという。またBotによるスパム発信の対策として、ISPが導入している“Outbound Port 25ブロック”についても、Botが侵入したパソコンの情報を調べて、ISPが用意する正規のメールサーバーを使ってスパム中継を行なうように動作することで、対策をすり抜けて発信が行なわれている。これに対抗するにはメールサーバー側での発信総量制限などがあるが、根絶はできないと問題の多さも指摘した。
 |
Outbound Port 25ブロックによる対策と、Botネット側の回避例。侵入したパソコン内でISPのメールサーバーを利用するための情報を収集。これを元に正規のルートでスパムを送信すると、対策をすり抜けられてしまう |
このほかに、スパムメールによる偽装フィッシング詐欺サイトへの誘導方法の事例(HTMLメールを使ったURL偽装、MIMEエンコード等)や、スパムを送りつけるメールアドレスの収集法について述べられた。高倉氏はスパムが企業や組織に与える悪影響について、スパムメールの分だけ情報資産が無駄に消費されているわけで、対策を講じなければ資産が無駄に消費されるだけでなく、勤務環境を悪化させ従業員の作業効率にも悪影響を与えると述べて、経営者側がスパム対策の必要性(対策のための予算や人員配分)を理解する意識を持つことが必要であると強調した。またスパム送信の踏み台に使われたある事例では、指令サーバーからの指示で児童ポルノサイトへの誘導メールが国連機関や米国の人権保護団体などに配信された事例を紹介。送信元が偽装アドレスではなく実際に踏み台に使われたマシンのアドレスであるため、どこから送られたか一目で分かるにも関わらず、送った相手から何の連絡もこなかったとして、「苦情がこないのはかえって不気味で怖い」と述べた。
 |
児童ポルノサイト勧誘の踏み台に使われた事例。苦情がこない分不気味で怖かったとのこと |
これらの事例を元に、スパムメールの根絶は困難であるとしたうえで高倉氏は、京都大学がアプライアンス導入に踏み切った理由を、サーバー+ソフトウェアベースでのスパム対策では、Botに対抗できなかったり管理が困難などの問題があったためとした。同大学では、まずSMS8100シリーズを導入して、スパム送信元と推定されるサーバー150万件からのメールに対し、トラフィック量を制限(2分間に1通)することで帯域制限による対策を行なったという。これにより前述の平日20〜30%、休日50%のスパムメールの遮断に成功した。しかしそれでも積極的な着信拒否までは踏み込んでいないため、1日150通程度はすり抜けてくるという。そのため学内のユーザーからは、「あまり減った気がしない」という声が挙がっていると述べ、対策の難しさを示した。
 |
京都大学でのSMS8100シリーズ導入によるスパム減少の事例。しかしユーザーの満足度はそれほどでもないようで、対策の難しさを感じさせる |
一方でスパムの増大でメールサーバーの処理能力強化のための増設を計画していたところ、SMS8100シリーズ導入によってスパムの大量遮断に成功したため、結果としてサーバー増設の必要がなくなったという、ポジティブな成果も披露した。そのうえでSMS8200シリーズも導入し、メールに対するコンテンツ検査も行なうことで、スパム判定の精度を上げたり、学部ごとに異なるポリシーを適用可能にするなど対策を向上させる。もっとも高倉氏はアプライアンスを利用する点については、ソフトウェアベースでの対策と異なり「正しいメールを弾いていないかが見えず、見えないことへの恐怖はある」、また8200シリーズの設定の難しさなども取り上げて、アプライアンス側の改善も促した。
 |
京都大学での今後のスパム対策構成例。2段構えのアプライアンスを導入することで、ユーザーへのスパム配信を阻止する |
(編集部 小西利明)
| ![ASCII24 - [Main Menu]](/images/2005/news_menu_01.gif)
![[Menu 2]](/images/2005/news_menu_02_blogmag.gif)
![[PR]](/images/2003/pr_icon.gif){kind=icon}
