レポート

セキュリティ対策最適化セミナーレポート

この記事を読むのに必要な時間:およそ 8.5 分

セッション1
メールセキュリティの現在と未来像
~製品開発,サポートの現場からの視点から~

2番目のセッションは「メールセキュリティの現在と未来像~製品開発,サポートの現場からの視点から~」と題し,西尾高幸氏(ギデオン)による現状のウイルスやボットネットによる脅威についての解説が行われました。また沖田昌弘氏から,スパム及びウイルスメールの高い阻止率とコストパフォーマンスに優れたギデオンのメールセキュリティソリューションが紹介されました。

深刻化するボットネットの問題

左:株式会社ギデオン 代表取締役社長 西尾高幸氏
右:株式会社ギデオン テクニカルセールス マネージャー 沖田昌弘氏

以前のウイルスと言えば,世間が大騒ぎすることを目的とするなど,稚拙な動機で作られるものがほとんどでした。しかし現在のウイルスは明確な目的を持って開発されているとギデオンの西尾高幸氏は指摘します。

「以前の愉快犯的なウイルスではなく,金銭の搾取などを目的としたクライムウェアが現在は主流となっています。具体的には,キーボードから入力した内容を送信するキーロガー,あるいは感染したPCに外部から侵入することを可能にするバックドアを使ってパスワードや暗証番号などの機密データを盗み出し,それによってオンラインバンキングなどから金銭を搾取するわけです」

こうしたウイルスと同様に,インターネットにおいて大きな問題となっているのがボットネットについても,やはり金銭が絡んでいると西尾氏は語ります。

「現在ボットネットサービスプロバイダは,第三者のスパム配信を請け負い,その対価を得ています。こうして犯罪者間の取引市場が成立しているわけです。ただ,昨今では一部のISPにおいてボットネット業者を閉め出しが行われるようになりました。実際に接続を遮断されたボットネット業者にMcColo Corpがあり,当社の観測においても閉め出された後はスパムメールが減少したことを確認しています。ただ,しばらくすると場所を変えてサービスを再開したようで,スパム流通量は元に戻っています」

スパムメールの問題から引き起こされる二次災害

ギデオンではスパムメールを検知するためのソリューションを展開しており,西尾氏はサポートに寄せられる質問を紹介します。

「エラーメールが大量に送られてきて困っているという事案がありました。これは,メールのFrom欄にあるアドレスを偽装したスパムメールが原因です。このスパムメールの宛先にあるアカウント名が実際になければ,サーバは『User Unknown』としてエラーメールをFrom欄にあるアドレス宛に送信します。しかしFrom欄は偽装されたアドレスで,それが架空のものであった場合,エラーメールを受け取ったサーバもエラーメールを送信し,エラーメールが跳ね返って来てしまうというわけです。これは設定次第で回避することが可能です」

またスパムメールの配信元としてRBLに登録されてしまい,それが原因でメールを送信できなくなる事例も多いとのことです。

「RBLにはスパムメールを送信するサーバのドメイン名が登録されており,各々のサーバはメールが送られてきたときにRBLに登録されているサーバであると判断するとメールの着信を拒否します。自社のサーバがスパムメール送信時の踏み台として使われてしまうと,スパムメールを送信しているサーバであると判断されてRBLに登録されてしまうわけです。そうしたお客様のために,ギデオンではRBLの登録状況を確認し,リストから削除するお手伝いも行っています」

6段階のフィルタで約95%のスパム検知率を実現

西尾氏に続いて同じくギデオンの沖田昌弘氏が登壇,同社のセキュリティソリューションについて紹介が行われました。

「ギデオンでは,スパムメール,さらにはウイルスを駆除するための製品として,メールサーバにインストールするMTA版,そしてネットワーク上に設置して利用するアプライアンス版を提供しています」

MTA版の特徴としては挙げられたのは,対応環境の幅広さで,メールサーバソフトウェアはSendMailとPostfix,qmailに対応し,OSもLinuxの幅広いディストリビューションがサポートされています。

アプライアンス版として提供しているのは「BLOC system」で,メールサーバの場所やOSを選ばずに利用できることが特徴だと沖田氏は紹介します。

「BLOC systemは透過ブリッジ方式でネットワーク上を流れるPOP3及びSMTPのパケットを自動的に監視し,スパムメールやウイルスメールの検知や駆除を行います。ネットワーク上を流れるパケットを監視しているため,サーバへのインストールが不要です。たとえばインターネット上でASPとして提供されているメールサーバを利用している場合でも使うことができます」

さらに沖田氏は,BLOC systemの特徴として「PortControl」の存在を挙げます。PortControlはネットワーク上でパケットを監視し,送受信されるメールをBLOC systemに転送するための中継器の役割を果たします。さらにBLOC systemの死活監視も行っており,万一BLOC systemが停止した場合にはパケットを通過させることで,メールの送受信に影響を与えない環境を構築できるとのことです。

気になるのはどのようにスパムメールを検知しているのかという部分です。これに関して沖田氏は,RBLなどを利用した多段階構成でチェックを行っていると話します。

「スパムメールの検知はMTA版とアプライアンス版で共通しており,独自のRBL及び数サイトのRBLを利用したチェック,スパムデータベースを利用した判定など,6段階のスパムチェックを行っています。スパム判定方法の一つにベイジアンフィルタがありますが,管理者の負担が大きいのが欠点です。しかしギデオン製品は学習やメンテナンスが不要で,その上で約95%という高い検知率を実現しています」

昨今では内部統制を強化する必要性から,従業員が送受信したメールの保存も求められるようになりました。これに対応するソリューションとして,ギデオンでは「メールアーカイブ Plus」を提供しています。その特徴について,沖田氏は次のように紹介します。

「メールアーカイブ Plusはスパムメールやウイルスメールを検知するためのフィルタを通過したメールだけをアーカイブするため,不要なメールが蓄積されないことが大きな利点です。インデックス化した項目でメールを検索するためのインターフェイスも用意されており,さらに部課単位などのグループで検索対象を制限するといった機能も用意しています。既存のメールサーバやネットワークに組み込むことで,メール情報の共有やメール管理が可能になります」

最後に「将来のロードマップとして,このメールアーカイブ Plusに加えて,さまざまなデータを集約して検索できるエンタープライズアーカイブの開発に取り組んでいます」と将来の計画について語り,講演を締めくくりました。

コメント

コメントの記入