「機器に頼り切り」はダメ、実害経験者が語るスパム対応

11月28日、29日に渡って都内で開催された「Email Security Conference 2006」で、日商エレクトロニクスが自社のスパム実害経験を語った。

» 2006年11月30日 10時43分 公開
[高橋睦美,ITmedia]

 「アンチスパム装置に頼っているだけではだめ。常に現状を把握し、何が起こるか想定しておかなければならない」――11月28日、29日に渡って都内で開催された「Email Security Conference 2006」のセッションにおいて、7月に実際にスパムの被害を受けたという日商エレクトロニクスセキュリティ事業部部長の石田弘也氏は、自社の対応についてこのように述べた。

 石田氏によると同社は、今年7月、2度に渡って大量のスパムメールを受け取り、電子メールのやり取りに支障が生じる事態に陥った。「トヨタやソニーのように世界的に有名というわけではない弊社でも、被害に遭うときは遭う」(石田氏)。さまざまなIT機器を取り扱う代理店として対策は講じていたものの、数カ月の間に受信トラフィックが10倍にも膨らむことまでは想定外だったという。

 一度目のスパム攻撃では、アンチスパム装置が障害に陥った。業務上必要なメールが誤って削除されるケースに備え、怪しいメールを検疫する設定にしていたところ、検疫処理能力がスパム受信に追いつかなくなり、メール送受信に遅延が生じたという。当初はメール遅延の理由がよく分からず、障害を切り分けて対処を行うまでに約3時間を要したということだ。

 その約1週間後にあった2度目のケースでは、監査用に導入していたメールフィルタ装置に障害が生じた。いわゆる「勧誘系」のスパムメールとDHA攻撃がやってきて、エラーによって跳ね返ってくるバウンスメールが大量に発生してしまい、フィルタ装置が倒れてしまったという。

 なお、送られてきていたスパムメールの中身は英語で、「この銘柄に投資しませんか」といったありがちな勧誘内容が記されていた。またフィッシングメールも含まれていたという。特に2度目のスパムについては、送信元のIPアドレスを見るとISPに割り当てられていたものも多く、おそらくボットを利用して送信されたものではないかと石田氏は推測している。

 なお日商エレクトロニクスでは、2006年4月に受信していたメールの数は約50万通で、うちスパムと判定されたのは47%にとどまっていた。しかしわずか3カ月のうちに受信数は約543万通に急増し、スパム率も94%に至っているという。

 石田氏はこの経験を踏まえ、「今後は企業でも、メールのバーストやスパムメールの急増に備えた設計が必要になるだろう」と述べた。同時に、機器に頼り切るのではなく、常に各機器のパフォーマンスを見て現状把握しておく必要があるという。

抜本的対策はない?

 このセッションには、シマンテックの安元英行氏(システムエンジニアリング本部エンタープライズSE部、エンタープライズSE第2グループグループリーダー)やニフティ経営戦略グループ担当部長の木村孝氏も参加し、それぞれベンダーやISPとしての立場から意見を述べた。

 安元氏は、メールアドレスを不正に収集することを目的としたハーベスティング攻撃(Directory Harvest Attacks:DHA)の結果、エラーとなって返ってくるバウンスメールが大量に発生し、DoS状態に陥る可能性について触れた。また、ボットネットとスパムの相関、フィッシングメールの増加といった最近の傾向踏まえたうえで、「管理者としては、社員に対するリテラシー教育をきちんとしていく必要がある」と述べた。

 「Windows Vistaなどのセキュリティ機能によって、警告のポップアップ画面が出てくるようになるが、これが本当にOSが出したものか、それとも悪意あるソフトウェアが表示させているものかを見分けていくことが非常に困難になってくるだろう」(安元氏)

 また木村氏は、ISP側が施してきた流量制御Inbound/Outbound Port25 Blocking(IP25B/OP25B)、各種のフィルタといった対策を踏まえ、スパマー側でも「別の(主に海外の)ISPに逃げる」「レートを抑えて送信する」「意味のない文字列を追加してベイジアンフィルタを破る」といった具合に次々と対策を講じている現状に触れた。特に最近では、画像を用いたスパムが増加しているほか、フィルタで判断を下しようがないほど短い文章の迷惑メールが見られるという。

 「技術的にIP25Bのような対策を施しても、単にスパマーが海外に逃げるだけで終わってしまううえ、ボットのように手に負えない技術も出てきている。その意味でいたちごっこであり、根本的な解決策にはならない」(木村氏)

 また石田氏は、企業の立場からはフィルタなどの装置を入れるくらいしか手はないと述べた上で、「ユーザーとISP、ベンダーそれぞれが、できることを少しずつやっていくしかない」とした。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ