「Sophosラボ(Sophosのスパム/ウイルス解析センター)によると,最近ではスパム(迷惑メール)のおよそ60%がゾンビ化されたマシン(ボットを埋め込まれたマシン)から配信されている。ゾンビ・マシンのほとんどは一般ユーザーのマシンなので,送信元アドレスからスパムかどうかを判断することが難しくなっている」---。セキュリティ・ベンダー英SophosのCOO(Chief Operating Officer)であるSteve Munford氏は9月15日,同社の新製品「PureMessage for UNIX」の発表会において,スパムの現状について解説した。
PureMessage for UNIXとは,送受信されるウイルス・メール/スパムをゲートウエイでフィルタリングするソフトウエア製品。各種UNIX/Linuxで動作する。新たに出現した変種ウイルスやスパムにも対応できることが特徴だという。1年間のライセンス料は,1000ユーザーのネットワークに導入する場合,1ユーザーあたり1740円。
Munford氏によると,2004年以降,スパマー(スパム送信者)の手口が大きく変わってきているという。その一つがゾンビ・マシンの利用である。「今まではメールの配信元アドレスから,スパムかどうかをある程度判断できた。ところが,ゾンビ・マシンから配信された場合には,アドレスから判断できない。ほとんどの場合,ゾンビ化されているのは一般ユーザーのマシンだからだ」(Munford氏)
同社のラボがおよそ1000万件のスパムを分析したところ,それらはおよそ85万件のユニークなIPアドレスから配信されていたという。「つまり,1つのIPアドレス(マシン)からは,10件強程度しか配信されていない。しかも,それらの多くは一般ユーザーが使っている“合法的な”マシンである。加えて,新たな配信元アドレス(スパムを送信するボット・マシン)が毎日数千件出現している。以上から,配信元アドレスだけからスパムかどうかを判定することは難しいのが現状である」(Munford氏)
同氏によると,日本国内も同じような状況であるという。「現在の“日本発”のスパムは全世界の3%。昨年は1.5%だったので,1年で倍になっている。日本においても,スパムの半分以上はゾンビ・マシンから配信されている」(Munford氏)
とはいえ,ゾンビ・マシンを使われていても,配信元以外の“要素”からスパムかどうかを判断できるという。「従来から,スパムかどうかの判断には,『配信元』『メールの中身(コンテンツ)』『メールに書かれた誘導先(リンク)』---の3つを使っている。『配信元』に限らず,『コンテンツ』や『リンク』についてもスパムはフィルタリングを回避するよう“進化”しているが,判断に使う要素は基本的には変わっていない。これらを適切に調べることができれば,スパムをブロックすることは可能である」(Munford氏)
◎参考資料
◆PureMessage for UNIX(ソフォス)
