プロファイリングで悪質メールを見抜くIronPort

米IronPort Systemsの海外営業担当副社長、シュレイ・バティア氏が来日。メールによる脅威の傾向と同社の対抗策について語った。

[高橋睦美，ITmedia]

　企業にとっても個人にとっても、電子メールは欠くことのできないアプリケーションの1つになっている。

　しかし、「今日の電子メールには根本的な問題がある。SMTPプロトコルの仕組みでは、『Sender』が必ずしも本当の送信者を示すとは限らない。偽の電子メールで受信者を騙すのは非常に簡単だ」と、米IronPort Systemsの海外営業担当副社長、シュレイ・バティア氏は指摘する。

　バティア氏は技術的な問題以外に、もう1つ重要な問題が生じているとした。

　「かつて、悪質な電子メールを送り付けるのは学生であることが多かった。彼らには頭脳と時間はあったが、リソースはそれほどない。だから、多くのリソースを持つアンチウイルス企業が対抗することができた。しかし、今は違う。ウイルスやスパムを送信するのはそれによって利益を得る犯罪者たちであり、背後には組織犯罪がかかわっている。彼らには資金もリソースも豊富にある」（同氏）

米IronPort Systemsの海外営業担当副社長、シュレイ・バティア氏

　さらにバティア氏は、この傾向は今後も増加するだろうと予測した。というのも、スパムやウイルスの送信によって得られる利益が莫大になっているからだ。米国政府の調査によると、スパムやウイルスなどのサイバー犯罪によって攻撃者が得た金銭的利益は、薬物取引によるそれを上回る規模になっているという。

　また、同社の日本法人であるアイアンポートシステムズの代表取締役社長、原田英昭氏は、「米国に比べると日本国内のスパム流通量はまだ少ないが、それでも2005年に入ってからは増加、それも日本語のものが増加しつつある。またISP側のOutbound Port25 Blockといった対策によって携帯向けのスパムメールは減ってきたが、代わりにPCを用いたスパムメールが増えてきた」と述べ、2006年にはさらに増加するとの見通しを示した。

約100種類の属性情報を元に判断

　IronPortではこうした状況に対し、電子メール専用のセキュリティアプライアンス「IronPort Cシリーズ」と、全世界に張り巡らせている電子メールの評価システム「SenderBase」といったテクノロジーを組み合わせて対抗していくという。

　SenderBaseは、電子メールやWebのトラフィックを観測し、さまざまな属性情報を収集してプロファイリングを行うデータベースの総称だ。いわゆる評価（レピュテーション）システムの1つだが、トップISP10社のうち8社をカバーしており、その規模や内容の正確さは他の追随を許さないという。

　SenderBaseでは、メール送信サーバのIPアドレスをはじめ、メール送信の量、ドメイン名やそれを取得してからの期間、国籍、そのドメインでメールを送信し始めた時期など、約100種類に及ぶ属性を収集し、推移を記録している。RBL（Real-time Blackhole List）も併用できるが、単純に送信元アドレスだけで判断するのではなく、さまざまな要素を加味してスパム／フィッシングなどの悪質なメールかどうかを判断する仕組みだ。

　例えば「トヨタ自動車を名乗るメールが手元に届いたとして、そのIPアドレスは果たしてトヨタ自動車が所有しているものか、所有期間はどのくらいか、送信元の国はどこか、はたまたそのアドレスから1日にどのくらいのメールが送信されているかといった複数の要素を勘案してメールのスコアリングを行う」（バティア氏）。単純にブラックリストと付き合わせる場合に比べ、正確で公平な仕組みだという。

　また、先日登場したSober亜種のように、ほんの数時間で全世界に広まる感染力の高いウイルス／ワームに対しては「Virus Outbreak Filter」テクノロジーで対抗する。

　SenderBaseで収集したトラフィックの傾向を分析し、「同じタイトルで、同じサイズの添付ファイルが付いたメールが特定の時間内に大量に発見された場合は異常であると判断し、当該メールを隔離するようアプライアンスに指示する。そして、ウイルス対策ベンダーがシグネチャを作成し終えるまでの間システムを保護し、シグネチャが完成したら改めて駆除を行う」（バティア氏）

　フィッシングメールについても同様に、SenderBaseを参照して送信元のIPアドレスを調べることにより、本物かどうかの判断を下す仕組みだ。これに、送信元ドメイン認証の一種であるDKIM（DomainKeys Identified Mail）を組み合わせることも可能という。

　SenderBaseによる判断は、ゾンビ化されたマシンやボットネットによるスパム送信にも有効だという。トラフィックの傾向を平時から把握しておくことで、突出したトラフィック増加を検出した場合はそこからの通信を絶つことにより、「たとえスパマーが次々に新しいIPアドレスを使い、動き回ったとしてもそれを把握し、ブロックできる」とした。