図1●MIMEエンティティ・ボディの構成要素
図1●MIMEエンティティ・ボディの構成要素
[画像のクリックで拡大表示]
 スパムは成長を続け,メール・システム,ひいては企業活動を脅かす存在となっている。企業ユーザーの場合,スパムの増加によってインターネット接続回線の増強を余儀なくされるケースもある。スパムを効果的に排除していくためには,各個人がスパム対策ソフトを導入するといった方法だけでなく,企業やISP(インターネット接続事業者)がきちんとしたメール・セキュリティ・ソリューションを運用する必要がある。

 まず重要なのはスパム・フィルタを導入すること。その上で,メール本文と同様に添付ファイルのペイロードをスパム判定の対象とするように運用する。

 コンテナ・スパムには,MIMEマルチパート形式で異なる種類のファイルが添付される。そこでまず,MIMEエンティティ・ボディの構成要素を解析する(図1)。これによりメール本文(Content-Type:text/plain)とPDFファイル(Content-Type:application/pdf)が添付されていることが分かる。

図2●各MIMEエンティティ・ボディから抽出したテキスト
図2●各MIMEエンティティ・ボディから抽出したテキスト
[画像のクリックで拡大表示]
 次に,各MIMEエンティティ・ボディに含まれるテキスト,および画像の抽出する(図2)。メール本文とPDFから抽出したテキストの両方を解析することで,スパムであることが分かる。メール本文には日常的な文章が記述されているから,メール本文のみを解析するスパム・フィルタは,これを通常メールと判断してしまう。添付されているPDFファイルの内容まで解析することで,スパムと判定できる確率を高めることができる。また,添付ファイルのペイロードにはイメージ・データが含まれる場合があることから,その解析も必要になる。

 スパム・フィルタの機能にも目を向けておきたい。例えばイメージ・データの解析は,ハッシュ値と過去のサンプルを比較するのが一般的であるものの,最近のイメージ・スパムはこの手法を回避すべく,3次元的なものを使うなど画像の一部を変更している。こうした最新の動向をキャッチアップしたフィルタが必要になる。

 Pump and Dumpでは,スパム送信者は受信者が添付ファイルを開きやすくするために,汎用的ファイル・タイプを使う。拡張子を偽装することはない。とはいえ,今後の手口の進歩は未知数である。スパム・フィルタの要件としては,拡張子が偽装されている場合でも解析できることが望ましい。

 スパム・フィルタの処理負荷についての配慮も必要である。すべてのメールを解析すると,スパム・フィルタの処理負荷は高くなる。そこで米国では,レピュテーション・サービスやSMTPレート・コントロールなどを組み合わせ,SMTPコネクション・レベルで過剰なトラフィックを除去する方法が注目されている。過剰なトラフィックを除去した上でコンテンツを正確に解析するスパム・フィルタにかけることが,今できる最強のスパム対策と考えられている。


筆者紹介
高橋 哲也(たかはし・てつや)
 日本プルーフポイント テクニカルセールス/サービスマネージャー。専門分野はネットワークおよびセキュリティ。野村総合研究所と共同で,統合型メール・セキュリティ基盤ソリューション「Proofpoint」を提供している。
南 剛志(みなみ・つよし)
 野村総合研究所 上級システムエンジニア。専門分野はセキュリティ。Webコンテンツ保護やワンタイムパスワードなど、企業のセキュリティ基盤構築を手掛ける。