フィッシング／詐欺メールの脅威とその対策：企業責任としてのフィッシング対策（4/4 ページ）

[末政延浩，N+I NETWORK Guide]

●キーワードフィルタ

　スパムの中でよく使われる特定の言葉が電子メールの題名や本文に利用されていると、受信を拒否するというフィルタ。HTMLトリック（*4）などを利用されると簡単にすり抜けることが可能で、また、正当なメールに含まれていた場合、誤ってスパムと検知してしまう。

●ヒューリスティックフィルタ

　スパムメールの内容を実際に分析して、スパムメールのデータや送信方法の特徴などを条件として判別する。上記のキーワードフィルタのようなチェックも含まれている。ヒューリスティックにもやはり誤検知が発生するし、スパムの送信者もこうしたフィルタのチェック項目を研究して条件にかからないようにメールを送っている。

●ベイジアンフィルタ

　スパムメールと正当なメールの本文について、そこに現れる言葉や文字からベイズ推定（*5）という統計学的手法に従って、スパムらしいものとそうでないもののデータベースを作成する。そのデータベースを基に受信したメールを解析し、スパムらしさを判定する。これに対して、本文とはまったく関係のない言葉をちりばめる「スノーフレーキング」などの手法により、ベイジアンフィルタをかいくぐるスパムが現れている。

誤検知問題のあるスパムフィルタ

　前項でも少々触れたが、メールのデータの内容を分析してスパムか否かを判断するフィルタを利用すると、どうしても誤検知の問題は避けて通れない。

　これには、正当なメールであるのにスパムと判断された場合（FP：False Positive）、スパムであるのにスパムではないと判断された場合（FN：False Negative）がある（図6）。特に、個人から個人に宛てられた正当なメールがスパムと誤って判断された場合は、「False Critical」と呼ばれることもある。

図6●False Positive（フォールズポジティブ）とFalse Negative（フォールズネガティブ）。正当メールをスパムと判断する場合と、スパムをスパムでないと判断する場合。人によりスパムの判断が異なる

　これに関連してよく問題になるのは、メルマガやメーリングリストから送信されてきたメールである。一見するとスパムと判断されても仕方のないような特徴を持つにもかかわらず、ある人にとっては正当なメールであり、またある人にとってはスパムと判断されたりするため、複数の人間で統計データを共有する形式のスパムフィルタでは、FPやFNをゼロにすることはどうしても難しい。スパムと判断されたら一方的に「Junk」フォルダなどに仕分けする人も多いので、FPは特にスパム対策において深刻な問題である。

送信ドメイン認証の登場

　こうしたさまざまな対策を講じてもいっこうに減ることのないスパムに業を煮やして、業界では一昨年前あたりから、電子メールの送信プロトコルの改修までも視野に入れた対策が検討されてきた。それが「送信ドメイン認証」である。

　そもそも、電子メールの送信プロトコルにおいて、送信者が詐称されていないということが保証できれば、プロトコルのやり取りの中で渡される送信者のアドレスによって、受信する・しないを明確に判断できる。また、正当なメールを送信するときに、受信者にたしかに自分が送ったメールであることを確認させることも可能になる。確認がOKであれば、ほかのフィルタなどを通すこともなく、安心してエンドユーザーのメールボックスに配送できるのだ。FPやFNの問題も避けられる。また、ブラックリストやホワイトリストにドメイン名を指定することができる。

　送信ドメイン認証がない場合は、相手のメールサーバのIPアドレスを登録し、相手のIPアドレスが変化すればそれを常にアップデートするような作業が必要であったが、認証により送信者アドレスが信頼できればそうした煩雑な作業も必要なくなる。また、顧客にメールを送信したときも、顧客が送信元を確認することにより安心してそのメールを読むことができるのだ。

■末政延浩

　センドメール　シニアコンサルタント。ISPや企業などの電子メールサイト設計および構築に従事。オープンソースのsendmailはJUNET時代から。6年前から商用版のSendmail製品を扱う。送信者認証技術の早急な確立と適用を強く願う。

---

*4　HTMLトリック　HTMLのタグを使って関係のない文字を小さくして文字間に挿入するなどして、見かけと実際の文字列を異なるものにする手法。

*5　ベイズ推定　主観的な確率を求める方法。メールに含まれる単語のパターンからスパムらしさを計算するスパムフィルタリングや、情報の分類サービスに応用されている。