Enterprise Watch
最新ニュース

「繰り返しパターンを検出する」メールアプライアンス用の新スパム対策技術


 ミラポイントジャパン株式会社は、メールセキュリティアプライアンス「RazorGate」で動作するメールセキュリティ技術「Full-Spectrum」に追加されるスパム対策の新技術「Mirapoint Rapid Anti-SPAM」を2月中旬より国内提供する。価格はオープンで、ライセンス数に応じた設定となる。詳細は2月中旬に決定の見込み。RazorGate既存ユーザーへのRapid Anti-SPAM追加については有償となる。

【お詫びと訂正】初出時に既存ユーザーのアップグレードに関する記述に誤りがありました。お詫びして訂正させていただきます。


ミラポイントジャパン株式会社 SEマネージャー 山下暢久氏
 現在広く行われているスパムフィルタリングの手法としては、ベイジアンフィルタや、ヒューリスティック分析などがある。しかし「コンテストなども行われている通り、破れる人には破られてしまうもの」(ミラポイントジャパン株式会社 SEマネージャー 山下暢久氏)。また欧米で開発されているため日本語を含むダブルバイトへの対応もあまり進んでおらず、またこうしたコンテンツフィルタでは、「文書構文を解析するため、添付画像を表示するビューワのセキュリティホールを突くウイルスへの対策もできない」という。

 Mirapointのメールセキュリティ製品では、いくつかの手法を組み合わせたFull-Spectrum技術により、「1台のアプライアンス、単一のインターフェイスでアンチスパムを実現している」点が最大のメリットだという。その手法には、リアルタイムに更新されるスパム送信先のブラックリストとの照合、1日あたりのメール送信数に制限をかけることでスパム送信の踏み台となることを防止する「DNSリミット」、特定IPからの単位時間あたりのセッション上限を設ける「フローコントロール」、同一セッションの中で、FromやCCなどの送り先の数を制限する「MAXRCIP」、送信元MTAのIPアドレスをDNSで逆引きし、ドメインの設定されていないPCやワークステーションなど踏み台からのメール送信を防止する「DNS Lookup」などがある。


履歴にないメールサーバーに再送信を要求してスパム対策を行う「MailHurdle」

蓄積されたスパムの繰り返しパターンとメールのMD5ハッシュを照合する「Rapid Anti-SPAM」

メールヘッダと本文の一部からMD5ハッシュを生成するため、本文の解読は不可能だ
 そのひとつであるMailHurdleは、2004年より提供されているアンチスパム技術。上記の各手法と同様、「負荷が高いコンテンツフィルタの前のSMTPレイヤで動作する」こともメリットだという。MailHurdleは、これまで送信履歴のないサーバードメインからメールが送信された場合に、一時的にビジーを返信するとともに、一時受信リストに登録し、再送信されればメールを受信するとともに情報を受信情報リストに登録する。一括で大量送信を行うスパムメールでは、ほとんどがメールを再送しないため、この仕組みによりスパムメールを防御できる。

 一方、今回発表されたRapid Anti-SPAMは、すべての着信メールから500KBのMD5ハッシュを生成、同技術のOEM提供元である米Commtouchの提供する「リアルタイムディテクションセンター」にクエリを送信して、スパム判定を行う仕組みとなる。この分析技術は独自アルゴリズムにより「送信されるスパムメールの繰り返しパターンを検出する」もの。このため「言語やコンテンツの中身には依存しない」点も特徴だ。

 スパムディテクションセンターのデータベースには、既知のスパムパターン600万以上に加え、複数ユーザーから寄せられたウイルス/スパムメールの情報が収集・蓄積されており、この情報を共有してスパムメールの分析が行われるため、「キャッチレートも上がり、FalsePositiveも下がる」とのことだ。

 米Commtouchが第3者の調査機関に依頼したテスト結果では、スパムメールのキャッチレートは97%、FalsePositiveはほぼ0%とのこと。競合10社の平均となる95.4%、3.8%と比べても低く、また管理コストも低いという。

 やりとりされるMD5ハッシュは、メールヘッダと本文の一部から生成しているため、たとえネットワークパケットをキャプチャされても、メールの内容を判読することは不可能だという。また「自身でDBを持たず、解析を行わないため負荷は少ない」点もメリットだ。

 この分析結果からスパム適合度に応じたX-Junkmail headerが挿入される。そしてこれらFull-Spectrum技術の後に処理を行うコンテンツフィルタ機能を使って、削除、Junkmailフォルダに格納といった受信時の処理を設定することになる。

 なおRapid Anti-SPAMは、同社が以前から提供している「Mirapoint Anti-SPAM」とは内部処理の関係で排他利用になる。Rapid Anti-SPAMは検知率と負荷の点でメリットがあり、「通常はこちらを使って欲しい」とのことだが、TCP 80ポートを通じてリアルタイムディテクションセンターと通信する必要があるため、「ファイアウォールなどのネットワーク構成によっては、アプライアンス内で処理が完結するMirapoint Anti-SPAMの利用を薦める場合もある」という。

 またRapid Anti-SPAMはアプライアンス製品であるRazorGateだけでなく、同社のメールサーバー「Message Server」でも動作可能だが、「コンテンツフィルタの負荷は高いため、個別の製品としての利用を進めている」とのことだ。



URL
  ミラポイントジャパン株式会社
  http://www.mirapoint.com/jp/

関連記事
  ・ ミラポイント、大規模環境向けメールアプライアンスを国内提供(2004/09/15)
  ・ 「複数技術でスパム・フィッシング対策」-米Mirapointのメールアプライアンス(2004/11/26)


( 岩崎 宰守 )
2005/01/31 18:06

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.