スパム・メールとの終わりなき戦い

急増する脅威に対して、セキュリティ担当者がとりうる防御策とは？

（2006年10月17日）

　厳重なフィルタをかいくぐって侵入する不正なメッセージ──すなわち、スパム・メール（以下、スパム）は、今やインターネットにおける最大の脅威と化している。それを排除すべく、企業／組織のセキュリティ担当者は、日夜格闘を続けている。

　スパムの種類は、何らかの商材を売り込むだけの比較的害の少ないものから、マシンに格納されたパスワードやドキュメントを盗もうとする悪質なものまでさまざまだ。また、その絶対量はここ数年で急増しており、メール・トラフィックの実に90％がスパムによって専有されているとの調査データもある。しかも、その状況が改善される見通しも立っていない。

　「世界のインターネット・サーバが危機に瀕するほど、スパムは急増している」と語るのは、英国の非営利団体スパムハウスのCEO、スティーブン・リンフォード氏だ。同団体は、メール・サーバを稼働させている会社や組織に向けて、スパムをブロックするためのリスト（後述）を作成している。

　リンフォード氏はこうも続ける。

　「いずれインターネット上を飛び交うメールの99％がスパム・メールで占められるようになるだろう。その時点で、各国政府もスパムの脅威を認識せざるをえなくなるに違いない」

2％の隙間を突く

　言うまでもなく、インターネットに接続されたコンピュータを防衛するための最前線は、メッセージの正当性を判断するアンチスパム・ソフトウェアである。これらのソフトウェアは、スパムの侵入を遮断するために、さまざまな手法を用いている。

　その手法の1つは、スパムの送信元としてすでに認知されている特定のIPアドレスを持ったコンピュータからのメッセージをブロックすることだ。またもう1つは、「危険なWebサイト」のURLを含むメッセージを除去することである。

　さらに、アンチスパム・ソフトウェアの中には、スパムに用いられることが多い特定のテキスト・メッセージをブロックするために、アンチスパム・エンジンに特別な“ルール”を定義している製品もある。

　こうした手法により、大半のアンチスパム・ソフトウェアは、不要なメッセージのおよそ98％を除去できるようになっている。ここでなぜ、100％ではなく、98％なのかと言えば、メールに対するフィルタリングをあまり厳格に行うと、正当なメッセージもブロックされてしまい、重要なビジネス・コミュニケーションが阻害されるおそれがあるためだ。

　ところが、スパマーらは、この「2％の隙間」を狙ってメールを打ち込んでくる。専門家によると、強力なフィルタをすり抜ける彼らの手法は、ここ数カ月間でさらに磨きがかかっているという。

監視の目を光らせる

　こうしたなか、アンチスパム・ソフトウェアを開発しているセキュリティ・ベンダー各社は、スパムの駆逐に向けて、さまざまな施策を講じている。

　例えば、ソフォスは、本社の英国オックスフォード州アビンドンをはじめ、カナダのバンクーバ、米国のボストン、オーストラリアのシドニーといった世界4カ所の拠点にセキュリティ・アナリストを配置し、365日24時間体制でインターネット上を行き交うスパムや悪意のあるソフトウェアを監視している。

　ちなみに、アビンドンにあるソフォスのラボは、一般的な企業のオフィスとそれほど大きな違いはない。ただし、業務上の必要性から、同ラボで働くセキュリティ・アナリストらには、特別なルールが適用されている。すなわち、いかなるコンピュータ、あるいは電子機器も内部に持ち込むことは禁じられており、部屋は常時ロックされているのだ。

　こうした厳格な管理体制の下、ソフォスでは連日、数百件のマルウェアやスパム・サンプルをキャッチ（捕獲）している。

　「その中で、既知の問題コードと似た特性があれば、ソフォスのソフトウェアによって簡単にブロックすることができる」と、同社のマーク・ハリス氏は言う。また、ソフォスでは、まったくの新規で、かつ、ユニークなマルウェアやスパムを発見した場合に、悪質性の優先順位をつけて詳細に検査し、それらをブロックできるようにソフトウェアをアップデートしている。

巧妙化するスパム

　スパムは世界中のサーバをランダムにホップするのが一般的だが、必ず痕跡を残す。そうした手がかりさえあれば、スパムをブロックすることが可能となる。

　そのため、ソフォスでは、“ワナ”を仕掛けてスパム・メールをキャッチするようにしている。具体的には、「おとり」のメール・アドレスと、スパム研究用の専用ドメインを用いて、スパム・メールを呼び込む仕組みを構築しているのだ。

　この仕組みを運用していく中で、ソフォスのスパム・アナリストであるポール・バッカス氏は最近、おとりのメール・アドレスに届いた「Let's go」という件名のメールに注目した。おとりとして利用しているそのメール・アドレスは、6年前に倒産した、ある電気通信会社のアドレスである。

　機械的な分析により、「Let's go」のメールは、スパムの疑いが強いと判断された。だが、ソフォスのメール・フィルタは通過していた。そこで、同社のアナリストらは、このメールの詳細な調査を行い、結果的に、そのメールが偽情報を数多く有したスパムであることを突き止めた。

　バッカス氏によれば、このメール・メッセージに含まれていたリンク先のWebサイトは、米国のユーザーを狙って”ヒト成長ホルモン”を販売していたという。また、そのWebサイトは、スパム・メッセージがソフォスでキャッチされる45分前に、香港のホスティング会社に登録されたものであり、「whois」データベースのデータによると、登録者の所在はデトロイトとなっていた。ところが、whoisデータベースに記録された州名の略語は間違っており、同じくWhoisデータベースに登録されていた電話番号に電話をかけてもつながらなかったという。さらに、スパム・メッセージの返信アドレスの末尾は、ポーランドのドメイン、つまり「.pl」となっていたのである。

　「そもそも、45分前に登録されたWebサイトから、6年前になくなった会社あてにメールが届くこと自体、きわめて不自然なことだ。その点だけを見ても、このメールが正当なものでないことがわかる。ただし、このメールのように、情報が巧妙に偽装されていると、機械的なフィルタリングだけではブロックすることが困難となる」と、ソファスの最高技術コンサルタント、グラハム・クルーリー氏は指摘する。

果てしなく続く攻防

　上述したような情報の偽装は、スパマーらにとっては比較的簡単に行えるものである。さらに最近は、スパムにおけるメッセージの作り方や情報偽装の手口が高度化しつつあり、例えば、イメージに単語を含ませて、テキスト分析を回避するスパムも増えつつある。

　また、スパマーらの間で「流行」しつつあるもう1つの手口が、メッセージに添付するイメージにピクセルを追加したり、一部のピクセルを除去したりすることで、機械によるチェックを突破するというものだ。しかも、スパマーらは、イメージに埋め込まれた文字を認識する光学式文字読取装置（OCR）を無力化するために、イメージにノイズを発生させるカラー・ピクセルを組み込むといった手の込んだ方法を用いている。

　「実のところ、人の目にははっきり”C”という文字が読めても、カラー・ピクセルをかぶせると、機械には判読できなくなる。それは、ナンバープレートにカラースプレーを吹きかけ、スピード違反監視カメラがナンバーを確認できないようにするのと同じやり方だ（違反車両のナンバーの読み取りにもOCR技術が利用されている）」と、セキュリティ・ベンダーのネットワーク・ボックスでオペレーションズ担当ディレクターを務めるサイモン・ヘロン氏は言う。

　もちろん、このように巧妙化するスパムに対して、セキュリティ関連のベンダーや組織が白旗を上げているわけではない。

　例えば、スパムハウスでは近く、スパムを発信する”ゾンビ”マシンを確実に補足する新たなアプローチを採用する計画だ。

　ゾンビ・マシンとは、ハッカーが遠隔操作でスパムを発信させるマシンのことで、「ボットネット（botnet）」と呼ばれる特殊なネットワークを構成する。このボットネットへの対抗策として、スパムハウスでは、「ポリシー・ブロック・リスト（PBL）」と呼ばれるリストを作成し、ソフォスやマイクロソフトを含む企業／組織に提供しようとしているのだ。

　PBLは、ボットネットを構成するゾンビ・マシンのアドレスを基に策定されるもので、それらのアドレスのリストは、ISPからスパムハウスに供出される。

　「PBLのリストを活用することで、企業や組織は、かなりの数のスパムを、確実かつ広範にブロックすることが可能になるだろう」と、リンフォード氏は指摘する。

　もっとも、PBLの効力がいつまで持続するかは不明だ。実際、リンフォード氏も、「おそらく来年の今ごろには、PBLベースの仕組みさえもすり抜ける新しい手法が開発されているかもしれない」とし、こう話を締めくくる。

　「われわれとスパマーとの戦いに終わりはない。それは、果てしなく続く“兵器”の開発競争なのだ」

(ジェレミー・カーク／IDG News Service ロンドン支局)