スパムを見分けるリテラシー：スパム対策最前線（1/2 ページ）

最近では、目視では追いつかないほどのスパムを受信している人が多いだろう。スパムを判定するための手段には幾つかがあり、さまざまなソフトで使われている分析手法が注目だ。

[大澤文孝，ITmedia]

　「スパムは、自分にとって役立たない情報であり、削除する時間さえ無駄だ」。日々減ることのないスパムに対し、そんな文句さえ言いたくなるのは自然なことだろう。さらに問題を大きくさせているのは、スパムによって重要な情報を見失う可能性があるということだ。例えば、数十通のスパムメールの中から本当に必要な数通のメールを目視で判断するためには、多くの時間と手間を要するだろう。

　このような背景でクローズアップされるのが、スパムを自動的に排除するための仕組みだ。しかしそのためには、「どのようなものがスパムであるのか」という基準をはっきりさせる必要がある。これが意外と奥の深いものなのだ。

　オンライン・ムック「スパム対策最前線」の今回は、スパムメールに焦点を当てて、アンチスパムソフトで採用されているスパム排除のトレンドを紹介していこう。

スパム判定基準の基本

　スパムの構造を突き詰めれば、判定基準は「データにどのような語句が含まれればスパムと判断するか」という解釈になる。スパムメールの場合には、次の2つに分類することができる。

1. 「誰から届いたものか」による判定

　最も簡単な判定基準は、「誰から届いたものなのか」を確認することだ。この判定基準には2つある。1つは、「送信元のメールサーバーを調べる方法」、もう1つは「Fromヘッダなど差出人情報を調べる方法」だ。

• 送信元のメールサーバを調べる

　スパムの傾向として、第三者中継を許してしまう設定不備のメールサーバから送信されるものが多い。このため、第三者中継を許しているメールサーバからの受信を拒否する手段が挙げられる。

　第三者中継を許しているメールサーバを調べる仕組みとして有名なのは、「DNSBL（DNS-based Blackhole List）」だ。DNSBLに対して、DNS検索を行うと、該当するメールサーバが第三者中継しているか否かを調査することができる。

　DNSBLは、インターネット上でサービスとして提供されているが、世界中に幾つも存在しているため、どのDNSBLサービスを使うのかが問題だ。多くのDNSBLサービスは、「スパムを受け取ったら誰でも登録できる」という自己申告制であり、内容が正しくない場合がある（正規のメールサーバでも登録されているなど）。そのためDNSBLを使ってスパム対策を行うと、一部のメールが届かなくなる恐れがあるため注意が必要だ。

　送信元のメールサーバを調べる方法としては、DNSBLではなく、送信ドメイン認証技術である「Sender ID」や「DomainKeys」を使って調べる方法もある。こちらは確実に偽装の発見ができるが、「Sender ID」や「DomainKeys」に対応しているメールサーバはそれほど多くないというのが実情だ。

• 差出人を調べる方法

　もう1つの方法は、「Fromヘッダ」などに書かれている「差出人」を調べて、「特定の人からのメールのスパム判定を行う」というものだ。

　「スパムと判定しない」メールアドレスをデータ化したものを「ホワイトリスト」、一方、「スパムと判定した」アドレスのデータ化を行ったものを「ブラックリスト」と呼ぶ。ホワイトリストは、「メールを受け取りたい相手」を定めるものであり、例えば、友人、知人、取引先相手などのメールアドレスを登録する。一方でブラックリストには、過去にスパムを送信してきた相手のメールアドレスを登録しておく。

　これらは、アンチスパムソフトでうたわれる機能だが、ホワイトリストはおおむねうまく機能する。しかし、ブラックリストはほとんどの場合うまく機能しない。その理由には、「スパムメールの送信元はどこにある」でも説明したように、メールの差出人が偽装される可能性があるからだ。

　多くの場合、メールアドレスの流出やウイルスによって「知人や取引先」を装ったスパムが届くことがあるはずだ。これを誤ってブラックリストに登録してしまうと、以降は該当アドレスからがメールをすべてスパムとして扱われるようになる。

2. 含まれる語句からの解析

　スパムをより正確に判定したい場合、含まれる語句を解析することになる。そうすれば、差出人が偽装されていても内容で判定することができるからだ。

　例えば、出会い系やアダルト関連のメールスパムなどは、ここには記せないような卑わいな言葉が並んでいるだろう。場合によっては、本文の語句ではなく、ヘッダを調査するのが有効なケースもある。「差出人のドメイン名」と「最初に該当メールを受け取ったSMTPサーバのドメイン名」が合致していない場合や、特定のヘッダが明らかに不正な場合の判定方法だ。

語句の判定はどのように行われているのか

　語句の判定手法について、もう少し詳細に解説していこう。