図1●MIMEエンティティ・ボディの構成要素 [画像のクリックで拡大表示] |
まず重要なのはスパム・フィルタを導入すること。その上で,メール本文と同様に添付ファイルのペイロードをスパム判定の対象とするように運用する。
コンテナ・スパムには,MIMEマルチパート形式で異なる種類のファイルが添付される。そこでまず,MIMEエンティティ・ボディの構成要素を解析する(図1)。これによりメール本文(Content-Type:text/plain)とPDFファイル(Content-Type:application/pdf)が添付されていることが分かる。
図2●各MIMEエンティティ・ボディから抽出したテキスト [画像のクリックで拡大表示] |
スパム・フィルタの機能にも目を向けておきたい。例えばイメージ・データの解析は,ハッシュ値と過去のサンプルを比較するのが一般的であるものの,最近のイメージ・スパムはこの手法を回避すべく,3次元的なものを使うなど画像の一部を変更している。こうした最新の動向をキャッチアップしたフィルタが必要になる。
Pump and Dumpでは,スパム送信者は受信者が添付ファイルを開きやすくするために,汎用的ファイル・タイプを使う。拡張子を偽装することはない。とはいえ,今後の手口の進歩は未知数である。スパム・フィルタの要件としては,拡張子が偽装されている場合でも解析できることが望ましい。
スパム・フィルタの処理負荷についての配慮も必要である。すべてのメールを解析すると,スパム・フィルタの処理負荷は高くなる。そこで米国では,レピュテーション・サービスやSMTPレート・コントロールなどを組み合わせ,SMTPコネクション・レベルで過剰なトラフィックを除去する方法が注目されている。過剰なトラフィックを除去した上でコンテンツを正確に解析するスパム・フィルタにかけることが,今できる最強のスパム対策と考えられている。
|