サイバー攻撃の手法がますます巧妙化・複雑化するなか、最新のセキュリティ事情についていくのに精一杯という情報システム担当者も多いことだろう。なかでもメールに関するセキュリティ対策については、非常に重要であるにもかかわらず、十分な理解が進んでいないと思われる。そこでこの連載企画では、メールセキュリティの基本に立ち返って、最新の脅威動向を踏まえた効果的な対策について紹介していきたい。
「アンチスパム」の基本機能「フィルタリング」のポイントとは
不特定多数を対象に無差別に送りつけられる「スパムメール」は、昨今、その被害は大量の迷惑メールが送りつけられるにとどまらず、マルウェア感染のきっかけとなったり、フィッシング詐欺に用いられたりと、大幅に深刻化している。これについては、スパムメールに起因する情報漏えいなどの被害状況を踏まえて前回説明した。では、スパムとウィルスという二元的境界線は曖昧になってきている昨今、こうしたスパムメールの脅威に対し、企業はどのようなメールセキュリティ対策を施せばいいのだろうか。
一番大きなポイントは、次々に出てくる新しい脅威に対して即座に対応する必要があるということだ。前回説明したような、現在発生しているメールでのマルウェアやフィッシィングの拡散の形態を考えると、一つ一つパターンファイルを人手で作成する旧来のアンチウィルスフィルタでは間に合わない。解析するより先に、とにかく早期に入り口で止めて組織内に侵入させないことが重要である。そこで、昨今では、こうした対策に有効なのは、アンチウィルスフィルターと比べて更新頻度が高く対応の早いスパムメールフィルターであると言われている。
アンチスパムフィルターは、一言で言えば「スパム」と想定されるメールを自動的に隔離するセキュリティ製品である。その方法はいくつかあるが、その名の通りメール受信時に「フィルタリング(選択と排除)」を行うことで、スパムメールをはじめとしたその企業にとって不要なメールを識別したり取り除いたりする機能を備えている。
一般的なアンチスパム製品では、メール受信時に自動的にフィルタリングを行い、スパムメールを判別すると、通常の受信フォルダとは別の場所へと隔離する。また設定によってそのまま削除することが可能なツールも多い。こうすることで、ユーザーのメール一覧には正規のメールだけが表示されることとなり、いちいち削除するという手間を省くことができるのである。Gmailをはじめ、個人が使用するWebメールにもメールフィルタリング機能が備わっているサービスがあるので、知らない間に実は使っていたという人も多いはずだ。
メールフィルタリングの基本的な方法は概ね次のようなものだ。スパムの特徴を定義したデータがサーバーに置かれており、メールを受信するごとにメールの要素をそれらのリストとマッチング(照らし合わせ)してスパムメールであるかどうかを判断し、“スパムメールらしさ”の度合いに応じて判定を行う。この“スパムメールらしさ”を判断するロジックは様々である。例えば、近年メール文面を機械学習などを用いて分析するというアプローチも増えてきている。しかし、機械学習は言語に依存してしまう度合いが大きく、フィルターの開発者が日本語の特性に習熟している必要がある他、まだまだ発展途上の技術であるため誤判定も多い。現状精度が高いのはメールを要素ごとに非言語化した状態で分解し、抽出した特徴でマッチングを行う方式である。しかし実際には、単純かつ画一的な方式ではフィルタリング精度が出ないため、通常は前述のマッチング方式に加え、IPやURLのリスト等複数の判定ロジックを組み合わせて判定している。
アンチスパム製品の中には注意が必要なものも
アンチスパム製品の基本機能であるメールフィルタリングだが、そこで用いられているマッチング方法や、判断に使われるロジック等については、メーカーによってそれぞれ違いがある。当然ながら検知精度が高い製品であるほど優れた製品と言えるわけだが、セキュリティ製品ならではの宿命として、攻撃側もそうした高精度とされる製品を対象にして日々研究している点にも注意が必要だ。どうすれば高精度のフィルタリングをすり抜けることができるのか、攻撃者はあの手この手で試行錯誤しており、いつかは抜かれてしまう可能性もある。そのためいかに優れた製品であったとしても、それだけに頼って安全だとしてしまうのは少々問題かもしれない。
そして特に注意が必要なのが、アンチスパム製品がフィルタリングで用いるパターンファイル等の更新頻度である。こうしたデータとメールの内容をマッチングする方式の場合、判断基準となるデータの更新頻度が低ければ最新のスパムメールを検知することは不可能となってしまう。ウイルスやランサムウェアと同様に、スパムメールも次々と新たな手口が登場してくる昨今だけに、更新頻度の低さは致命的と言えるだろう。特に人手を介してパターンファイルの作成を行うタイプの製品は、その分だけ更新が遅くなってしまうので注意が必要だ。
またここ数年、送信元のドメインを偽装して正しい送信元を装った、サイバー攻撃メールが増えてきている。通常、送信ドメイン認証技術を用いてなりすましを見抜くことが出来るが、正規に取得して必要な設定を施しているドメインに対しては効果がない。例えばカズンドメインと呼ばれるドメインがある。example.com に偽装する為にexarnple.comやexamp1e.com等似ているドメインを取得し送信ドメイン認証用の設定を適切に行っておくことで送信ドメイン認証をパス出来る。このようななりすましメールとスパムメールを組み合わせた攻撃となると、多くのアンチスパム製品のフィルタリング機能や送信ドメイン認証単独では防ぐことが難しくなってくる為、複数のソリューションを統合して対策をすることがより重要になってきている。
このように、メールセキュリティの世界は事情がかなり複雑であり防御が難しい。アンチウィルス製品を提供する大手セキュリティベンダーはいくつも存在するが、それらのベンダーがアンチスパムの分野には今ひとつ注力していない印象を受けるのも、防御の仕組みの構築に多大な手間と時間がかかるからかもしれない。
そこで、これら最新の脅威にも対応できるようなメールセキュリティ対策として、シンプルな運用管理で実現できるアンチスパムソリューション「Cloudmark」について、次回は紹介することにしたい。
[PR]提供:TwoFive