「自社で蓄積しているスパム対策のノウハウやデータは,一般にも積極的に提供していきたいと考えている」---。米CipherTrustの研究開発担当者(Director of Advanced Product Development)であるAlex Hernandez氏は10月12日,IT Proの取材に対して,同社の製品や取り組みについて説明した。
CipherTrustでは,メール用セキュリティ・アプライアンス「IronMail」などを開発・販売している(関連記事)。IronMailにはスパム対策の機能があり,その“肝”の一つとなっているのが,同社が運用するシステム「TrustedSource」である。
TrustedSourceはメール送信者のIPアドレスから,その送信者の“評判(reputation)”を数値化するシステム。メールを受信したIronMailは送信者のIPアドレスをTrustedSourceに問い合わせる。TrustedSourceはそのIPアドレスがスパム送信者のアドレスである可能性をあらわす数値を返す。IronMailでは,その数値やメールの内容などを総合的に判断して,そのメールがスパムかどうかを判定する。
IPアドレスの“評判”は,同社がインターネット上に設置したハニーポットや実際に使われているIronMailなどから収集したデータをもとに算出する。算出には,(1)そのIPアドレスからどのぐらいのメールが送られているか,(2)どのぐらいのメールを送受信しているか,(3)メールの送信量は変化しているか---といったデータを使用するという。例えば,送信しているメールの量が多くても,それに見合うぐらいの量を受信していて,なおかつメールの量が一定なら,そのIPアドレスは企業のもので,スパム送信者のものではないと判定できる。逆に,送信量だけが急に増えたら,そのIPアドレスはボットに乗っ取られた「ゾンビ」マシンである可能性が高い。
Hernandez氏によると,CipherTrustでは「TrustedSourceの情報は,同社製品のユーザー以外にも広く提供していきたい」と考えているという。インターネット全体のセキュリティ向上に役立ててもらうためだとする。
その一環として8月末から公開しているのが,「TrustedSource Portal」と「ZombieMeter」である(関連記事)。いずれも,TrustedSourceの情報を使用している。TrustedSource PortalはユーザーがIPアドレスやドメイン名をGUIから入力すれば,そこから送信されているメールの量と時間変化,送信ドメイン認証への対応状況などを参照できる。ZombieMeterでは,どの国(地域)にどのぐらいのゾンビ・マシンが稼働しているのかを地図上に表示する。
今後は,これら以外の方法でもTrustedSourceの情報を一般に提供する予定である。「詳細についてはいえないが,それに備えて調査や検証を実施してる最中である。4~6週間後には正式にアナウンスできると思う」(Hernandez氏)
