写真1 セキュアスカイ・テクノロジー非常勤取締役の園田道夫氏
[画像のクリックで拡大表示]

 「今では対策ソフトだけではウイルス感染を防ぎきれない。メールの添付ファイル利用をやめてしまうのを検討してもいい時期ではないか」--------2007年2月8日,「NET&COM2007」会場において,メッセージング・セキュリティをテーマにした「ネットワーク機器講座」が開催された。基調講演ではセキュアスカイ・テクノロジー非常勤取締役の園田道夫氏(写真1)が,「迷惑メール,この未知なるもの」と題して近年の迷惑メールにひそむ脅威と対策を語った。

 同氏によれば,「コンピュータに対する脅威にはウイルス,ネット詐欺,情報漏えいなどさまざまな種類があるが,これらが結局どこから来ているか考えると,メールが原因のケースが多い」。例えば,情報処理推進機構(IPA)に寄せられるウイルス感染報告の6割はメールからの感染だという。

 続いて最近の迷惑メールの実例が紹介された。受信者をネット詐欺サイトへ誘い込むための入り口として,迷惑メールを使う手口が多い。具体的には,迷惑メールにURLを貼り付け,それをクリックしたくなるようなメッセージ------女性からの私信や,銀行のサービス障害のお知らせ------を添えて送信するのだ。うっかりURLをクリックしたユーザーは,「あなたの個人情報は把握した。場合によっては法的手段に訴える」という脅し文句とともに金銭の支払いを要求されたり,偽の金融サイトで個人情報を盗まれたりすることになる。

 本物そっくりのメール,Webサイトを使って実在の金融機関を装うという後者の手口は,「フィッシング詐欺」と呼ばれる。フィッシング詐欺サイトには,「URLにホスト名が割り当てられていない」などいくつかの特徴があるが,手口が巧妙化しているため「パッと見て本物か偽物かを見分けにくい」(同氏)。

 ネット詐欺の多くは人間の心理的なスキを突き,ユーザーが自ら詐欺の罠に踏み込むように仕向ける。そのため,対策が難しい。ただし,受け取る迷惑メールを減らすことで,ある程度リスクを減らすことはできるのではないかという。

メールボックスの個性に応じた対策を

 迷惑メール対策には大きく分けて,サーバー側の対策とクライアント側の対策がある。「サーバー側の対策で重要なのは動作が軽いこと,機械的に処理できて手間がかからないこと,誤検出のない範囲でなるべく精度が高いこと」(同氏)。具体的には,「迷惑メールは送信元を詐称するためにさまざまな偽装を凝らすが,発信元のIPアドレスを完全にごまかすのは難しいので,このあたりを手がかりに迷惑メールをフィルタリングしようという手法がある」(同氏)。


写真2 「S25R」と「graylisting」を使って迷惑メールを判定する際の流れ
[画像のクリックで拡大表示]

 これは「S25R」と呼ばれる方式で,メールを受信する前に,発信元のDNS情報などを確認することで「そのメールの発信元がメールサーバーらしいか否か」を判定する。誤検知を避けるためには「graylisting(greylisting)」と呼ばれる手法を組み合わせる。graylistingでは文字通り,ホワイトリストとブラックリストの中間に位置する「どちか判定できないが疑わしい」メールのリストを用意。そのメンテナンスをユーザーにゆだねることで誤検知を回避する(写真2)。

 そのほかサーバー側の対策としては,インターネット上で公開されているブラック/ホワイトリストを参照する手法や,メールに含まれる単語を分析して迷惑メールを判断するサーバー向けフィルタリングソフト「SpamAssassin」などのソリューションが紹介された。

 一方,クライアント側では「精度が高く,個別のケースに対応しやすいことが要件」(同氏)。サーバー側の迷惑メール判定基準を厳しくしすぎると,正当なメールが誤ってフィルタリングされて受信者に届かなくなるというリスクが生じる。そのため,サーバー側での迷惑メール検出精度はほどほどに押さえられ,受信者の手元には多少は怪しいものが混じったメール群が届く。

 クライアント側の対策ではこの“怪しいもの混じり”のメール群を改めてふるい分ける必要があるため,なるべく精度が高く,かつ各個人のメールボックスの個性に応じてカスタマイズ可能なフィルタが求められる。例として,ApamAssassinと同じような手法で迷惑メールを隔離するアプリケーション「POPFile」とメールソフト「Thunderbird」が紹介された。

自分が加害者にならないために

 迷惑メール対策ではもう一つ,自分が送信側に加担しない点も重要だ。現在,迷惑メールの温床のように言われている「ボットネット」は,一般家庭のパソコンなどがウイルスに感染し,リモート操作で踏み台として悪用されるものである。ボットネット対策としてはWindows Updateの実行,ウイルス対策ソフトとファイアウオールの導入といった基本的なウイルス対策が必要となる。だが最近ではウイルスの亜種が増えているため,対策ソフトのパターンファイル作成が追いつかず,検出できないウイルスが増えている。感染予防を「ウイルス対策ソフトだけには任せておけないのが現状」(同氏)だという。

 こうした状況下でのウイルス対策として,同氏は「添付ファイルをやめて,ファイルサーバーやファイル転送サービスを代わりに使ってはどうか」と思い切った意見を披露した。ウイルス感染の多くはメールから,それも添付ファイルのダブルクリックが原因で起こる。「ダブルクリックをやめてソフトウエアの『開く』メニューからファイルを開けるという対策も考えられるが,利用するソフトウエアに未公開の脆弱性がある場合(ゼロデイ攻撃の場合)はそれでも安全とは言い切れない。そろそろ添付ファイルをやめることを検討するべき時なのではないか」(同氏)。

 また,従来は企業などのネットワークインフラを管理するにあたって,外部からの通信はブロックするが,その逆には無頓着なケースが主流だった。ただし,例えば社内ネットワークにボット感染クライアントが存在する場合には,外部に出て行く不正な通信を止めなければならない。同氏からは「インフラ管理者は,管理対象のインフラ内部から外部のネットワークに出て行く通信を制御する必要がある」との指摘もあった。