ラック コンピュータセキュリティ研究所 小笠原 恒雄

 セキュリティソフトは、パターンマッチングやヒューリスティックといった検知方法でウイルスを検出する。一方で、ウイルスを作り出す攻撃者は様々な技術を駆使して、セキュリティソフトによる検出を回避しようとする。そのためセキュリティ・ソフト・ベンダーは、セキュリティソフトのウイルスの検出率を高めるために、定義ファイルの更新頻度を上げたり、検出漏れを防ぐために定義ファイルに入れるパターンの数を増やしたり、パッカー*1を利用したファイルの復号機能を追加したりしてきた。

 ところが、このようなセキュリティ・ソフト・ベンダーによる対策は、(1)定義ファイルの肥大化、(2)ネットワーク負荷の増大、(3)検知時のコンピュータの速度低下といった、ユーザーの利便性を低下させる問題を引き起こした。そこで、セキュリティ・ソフト・ベンダーは別の方法でウイルスの感染被害を低減しようと考えた。これが、「Webレピュテーション」である。

 今回と次回の2回に分けてWebレピュテーションを解説する。今回は、レピュテーションの概要とWebレピュテーションを利用するようになった背景、同じような機能として知られる「URLフィルタリング」との違いについて触れる。Webレピュテーションを実現するための技術は、次回説明する。

スパムメール対策で実績

 レピュテーション(reputation)は、日本語で評価、評判といった意味を持つ。セキュリティの世界では、スコアリングや総合判定といった意味で使われることが多い。対象を「クロ」「シロ」と判定するのでなく、「怪しさ:60点」といった評価をする技術である。その評価を見て、どのようなアクションを起こすのかはユーザーが決めることになっている。

 レピュテーション技術を利用するセキュリティ機能として知られているのが、スパムメール対策である。スパムメール対策は、スパムと呼ばれるユーザーにとって不必要なメールと、そうではない正規のメールを振り分ける機能である。この振り分けの判定に、レピュテーションによる評価が利用される。

 スパムメール対策では、受信メールに含まれる送信元のメールアドレスやメッセージ本文の内容、送信元サーバー、経路情報といったそれぞれの情報から評価を行う(図1)。そしてその評価から、あらかじめユーザーが設定した「スパムメールと判断するライン」というしきい値を超えたメールをスパムメール、超えないメールを正規のメールと判定する。スパムメールと判定したメールを隔離フォルダーやゴミ箱に転送し、正規と判定したメールをメールソフトの受信トレイに転送する。

図1●スパムメール対策のコア技術として使われるレピュテーション
図1●スパムメール対策のコア技術として使われるレピュテーション
スパムメール対策機能は、メールに含まれる情報からスパムメールか否かを判断する。レピュテーションのほかに、受け取りを拒否するアドレスなどを指定するブラックリストや、逆に許可するホワイトリストなども使われる。

 このレピュテーションを使ったスパムメール対策では、スパムメールが受信トレイに転送される場合があるし、正規のメールが隔離フォルダーやゴミ箱に入ってしまうこともある。これはレピュテーションによる評価が、あくまで可能性の高低を示すだけであって、“絶対”ではないからだ。ただレピュテーションを利用した機能の多くは、判定に直結するしきい値をユーザーが設定したり、調整したりできるようになっている。しきい値を低くすればスパムメールが受信トレイに入りにくくなるが、正規のメールが隔離されたり、削除されたりする危険性が高まる。高く設定すれば、その逆のことが起こる。このように、ユーザーが環境に合わせてしきい値を調整できるのがレピュテーションの特徴といえる。

 現在、レピュテーションはスパムメール対策のコア技術になっている。十分な実績があり、有効性も認められている。セキュリティ・ソフト・ベンダーがこの技術をウイルス対策に活用しようとしたのが「Webレピュテーション」である。