Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

スパム排除にはフィルタリングだけでなく送信者評価が不可欠


 Networld+Interop Tokyo 2004(N+I)の最終日となった2日には、「Anti-spamテクノロジー」と題されたコンファレンスが行なわれた。その名の通り、スパムメールをいかにして排除するかということに関するセッションで、メディアエクスチェンジの吉村伸社長とIronportの脇山弘敏氏の2人が、主にサーバーレベルでのスパム排除法についてさまざまな観点から解説を行なった。


もはやベイジアンフィルタは不要どころか有害?

 前半は吉村氏による、サーバーレベルでのスパムフィルタリングの実際についての解説が主となった。吉村氏はまず「発信元が偽装されていないものはフィルタで排除可能なためスパムではない」などスパムの定義について語った後、「偽の債権回収メールで何億と儲かるというニュースを見ていると、意外とスパムというものは効果があるものであり、そのためスパムに対してある程度のコストをかけてもいいという人は存在する」と述べた。

 その上で、スパムメールを排除するためのフィルタリング技術について、最近多くのメールソフトやアンチスパムソフトに採用されつつあるベイジアンフィルタを「以前はスパムメールを1万通、非スパムメールを1万通学習させればほとんど誤認識はなくなると言われていたが、最近は全然関係ない長い文章をメールの後ろにくっつけるなど、スパムの送信者がベイジアンフィルタをかく乱してくるようになった」として、有効性が低下しているとの認識を示した。

 こうした手法よりは、以前から存在するIPアドレスベースのブラックリストデータベースに加え、いわゆるハニーポット(おとり)のアドレスを使ったスパムメール収集により、メール本文のデータベースを作成してマッチングを行なう「Content Based Digest Check」といった手法や詳細なヘッダ解析を併用することで、ベイジアンフィルタを使わなくても十分にスパムを排除できると主張。これらの機能を搭載した、スパムフィルタリングソフトとして有名な「Spamassassin」の次期バージョン(3.0ベータ版)を利用したところ、吉村氏の環境ではほぼ99.9%の確率でスパムを排除できたという。

 吉村氏は最後に、「インターネットのメールシステムには新旧さまざまなシステムがあり、一律に対策を行なうことが難しい」と述べつつ、スパムを防ぐには「できるだけアドレスの偽装を防ぐことが重要」だと述べたが、実際には例えば“docomo.ne.jp”ドメインからのメールは“From”行に氏名が入らないなどの理由でスパムとして認識されやすいといった問題があり、扱いが難しいケースもあると語った。


スパム排除には送信者識別だけでは不十分、送信者評価が不可欠

 後半で解説を担当した脇山氏は、まず個人で取得している.comドメインの管理者アドレスに対して、最近1日5,000通以上のスパムが届いているという体験談を語り、そのアドレスにはVeriSignとホスティングを頼んでいるVerioから請求の確認メールが届くことになっているものの、スパムに埋もれてそれらのメールが全く読めない状況になっていると訴えた。

 また「今や.comは軒並みスパムにやられており、そのせいか今度はメールアドレス収集の矛先が.jpなどのドメインに向いてきた」という。特に最近は特定のドメインの相手にどんどんメールアドレスを自動生成してメールを送りつけ、それに対しUser Unknownが返って来ないアドレスのリストを作成する「Directory Harvest Attack」と呼ばれる手法でメールアドレスを収集するケースが増えているとして、このような手法への対策が必要であると呼びかけた。

 最近では送信者の偽装を防ぐための仕組みとして、Microsoftが提案する「CallerID」やYahoo!が提案する「DomainKeys」など、送信者の認証・識別を行なう仕組みの提案がいろいろと提案されているが、これについて脇山氏は「いずれドメイン単位の認証・ヘッダ全体の暗号化といった方向に向かうだろう」とその有効性を認めつつも、新方式の普及に時間がかかることに加え「身元が特定されたからといって、そのメールを受け取っていいかどうかはまた別の話であり、送信者識別だけでは問題は解決しない」と主張。そのため送信者の識別と同時に、その送信者がスパマーかどうかを評価するシステムが必要だとして、既に稼動しているシステムとして「Bonded Sender Program」「SenderBase」の2つを紹介した。

 Donded Sender Programは、参加する企業がこのプログラムのサーバーリストに自分のサーバーを掲載してもらう代わりに一定の金額を保証金として出資し、もし参加企業のサーバーからスパムが発信された場合はそのメールの数などに応じて罰金が差し引かれ、残金がゼロになるとサーバーがリストから削除されるというもの。Hotmailやスタンフォード大学なども参加しており、Spamassassinも最新版ではデフォルトでこのシステムに対応しているという。

 一方SenderBaseは、あるIPアドレスから何通のメールが送信されているかをデータベース化したもので、直近の送信量が平均に比べどの程度変化しているかをチェックして、急激に送信量が増加しているサーバーをブラックリストに掲載するほか、他のブラックリストデータベースとも協力してリストを作成しているとのこと。特にウイルス発生時の早期検知にこの手法は有効だそうで、脇山氏の所属するIronportでの社内テストの結果、NetSkyなどのウイルスにおいてウイルス対策ベンダがシグネチャファイルをリリースする5時間前に感染拡大に関する警告を出すことができたと語った。


日本のISPはスパム対策に消極的

 最後は吉村氏に話が戻り、日本国内のISPのスパムへの対応は現状では極めて不十分であると訴えた。

 吉村氏は前述のドコモの例に加え、みずほ銀行のメールマガジンがSpamassassinでスパム一歩手前のスコアを付けられてしまう例を挙げ、「ISPにセカンダリDNSを委託している場合、同じISPにセカンダリDNSを委託している事業者のうち1社でも確信犯的にスパムを送信するところがあると、他社も軒並みスパマーとしてブラックリストに入ってしまう」と語った。

 このため吉村氏は「正確にスパムを防ごうとすると、ISPの運用側が非常に注意してオペレーションを行なってくれないと困るが、日本のISPはとにかくスパム対策に無関心で困る」と述べ、「せめてSPF(Sender Policy Framework)ぐらいは無償で使えるんだから採用してくれないと……」と、ISPの運用に苦言を呈していた。


関連情報

URL
  NetWorld+Interop 2004 Tokyo
  http://www.interop.jp/

関連記事
米Microsoft、スパムメール対策技術「Sender ID」の仕様をIETFに提出(2004/06/25)
米Microsoft、Caller IDとSPFを統合したスパムメール対策技術開発へ(2004/05/26)


( 松林庵洋風 )
2004/07/05 20:26

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.