フィッシング／詐欺メールの脅威とその対策：企業責任としてのフィッシング対策（3/4 ページ）

[末政延浩，N+I NETWORK Guide]

なぜスパムはなくならない？

　企業においてここまで一般的な問題となったスパムだが、なぜなくならないのだろうか。その大きな理由は、スパム送信にかかるコストの低さである。同じことを本当の郵便で行おうとした場合、国内で送ると1通あたり50円かかり、100通程度送信すると1カ月分のADSL回線のコストと同等になる。100通の電子メールを送信することなど、ADSL回線を使えば一瞬で終わってしまう。

　また、送信者がわかれば受信拒否も簡単にできるはずだが、送信者を突き止めることを難しくしている原因の1つに、SMTPという電子メール送信用プロトコルの柔軟さがある（図4）。匿名の電子メールを送信することが容易なため、本当は誰が送ったのかという判断が難しい。

図4●SMTPの柔軟さと送信者アドレスの詐称。SMTP通信での送信者アドレス・宛先アドレスと、電子メールのヘッダ上のFromやToのアドレスは必ずしも一致する必要はない。また、送信者アドレスが本当に送信側に属しているものかを検証できない

既存のスパム対策と進化するスパム送信技術

　スパム送信者はスパムの受信を拒否されないよう、また、送信している本人を追跡されないようにするために、さまざまな技術を駆使する。こうしたスパムに対抗するため、さまざまな対策が考え出され、実際に利用されている。

　次に、既存のスパムの送信技術や対策について簡単に説明する。

●オープンリレーを利用したスパム送信

　以前は、管理者の設定ミスによりオープンリレー（中継送信可能な状態）になっているメールサーバを使った第三者不正中継で迷惑メールを送ることが、代表的なスパムの送信手段だった。受信側から見ると、送信しているサーバは第三者中継を行うまったく関係のないメールサーバであるため、送信者がわかりにくいというものだ。

●DNSブラックホールリスト

　スパム対策として有名なものに、「DNSブラックホールリスト」がある。これは、スパムを送信してくる可能性のある、または過去に送信したホストのIPアドレスやドメイン名、ホスト名などをDNSに登録し、ユーザーはメールを受信したときにその受信元のIPアドレスやホストがそのDNSに登録してあるかどうかをチェックするというものである。

　リストのアップデートは人手によって行われる場合が多い。自社のサーバが設定ミスなどでオープンリレーになっていて、いつの間にかスパム送信に利用された結果、このリストに載ってしまい、正常なメールも含めて送信できなくなるという問題も起きていた。

●ブラックリスト

　最も簡単な方法であるが、メールサーバにブラックリストを設定して、特定のドメインやIPアドレス、特定の送信者などからのメールを受信拒否するというものである。リストのアップデートは管理者の手動操作になる。送信者のアドレスが詐称できるため、送信者のドメイン名でブラックリスト化しておくということはできず、どちらかといえば、スパムを送られた後の対策となる場合が多い。

●ホワイトリスト

　ブラックリストとは正反対に、受信したい相手のドメイン名やIPアドレスなどをリストするもの。ホワイトリストにリストされている以外の送信者から送られてきたメールについては、ほかの対策（スパムフィルタ）を実施してスパムかどうかをチェックするが、ホワイトリストに入っているものについてはそうしたチェックを行わずに受信する。送信者が詐称できるため、やはりこれも現実的に送信元IPアドレスベースでのチェックしか有効ではない。

●グレーリスティング

　少しトリッキーな対策で、ホワイトリストやブラックリストにはない送信元からの接続については、とにかくいったん切断するという処理を行う（図5）。正当なメールの場合、一度切断してそれが5xx（永続的な）エラーでなければ、15〜30分程度の時間を置いて何度か再送されてくる。時間を置いて同じ送信元から配送されてくれば、そのメールを受信する。

図5●グレーリスティング。ブラックリスト、ホワイトリストいずれにも載っていないホストからの接続は一度切断する

　スパムの送信は、正当なメール送信にはない癖があって、一度接続に失敗するとだいたい送信をあきらめて次のターゲットに移り、再送されることはほとんどない。または、再送間隔が非常に短かったりするため、この手法でスパム送信をかなり食い止めることができる。ただし、正当なメールでも一度は受信を拒否するため、メールの配送に時間がかかり、ユーザーがその遅延を許容できるかどうかという別の問題もある。

●ダイヤルアップ／ISPアカウントからのスパム送信

　オープンリレーか否かにかかわらず、固定IPを持つメールサーバから送られてくるメールは、接続元のIPアドレスで判別がつく。つまり受信側は、スパムが送られてきたらすぐにそのIPアドレスからのメールを受信しないように設定すればよい。だが、スパム送信者はそれに対して、固定IPのサーバを利用して送信するのではなく、ダイヤルアップ回線やブロードバンド回線を使ってISPに接続した後、直接宛先メールサーバへ接続して送信してくる。

　ダイヤルアップや通常のブロードバンドでの接続では、動的にIPアドレスが割り当てられる。つまり、接続するたびに異なるIPアドレスが得られるので、受信側がブロックしたらいったん回線を切断し、接続し直してスパムを再送するなどということが行われている。こうなると、送信元のIPアドレスによりブロックすることはかなり難しくなる。