Enterprise Watch
バックナンバー

東工大が導入したコラボレーション方式のスパム対策、その効果を聞く


飯田勝吉准教授
 相変わらずスパムが後を絶たない。メールボックスをスパムに占拠されないようにするためにも、何らかの対策を講じる必要がある。最近ではスパム対策技術も洗練され、多様な手法が登場している。このうち、コラボレーション方式という対策手法にフォーカスし、その有効性に迫ってみた。

 コラボレーション方式とは、スパムを受け取ったユーザー自らが、そのメールをスパム申請することにより、世界規模のブラックリストを生成するというもので、主にCloudMarkのエンジンに実装されている技術。通常のフィルタリングと組み合わせることで、ユーザーの声を反映したスパム対策を実現できる。データベースには、メールの内容や言語ではなく、メール中で変更不可能な特長を抽出したフィンガープリントが登録される。すでに数百万にも上るユーザーが存在し、膨大なフィードバックが寄せられているのが、同エンジンの強み。国内ではセンドメールが自社製品に搭載している。

 ユーザーである国立学校法人 東京工業大学(以下、東工大)を訪れ、コラボレーション方式の導入経緯や効果について、大学院理工学研究科で教鞭(きょうべん)を執るとともに、学術国際情報センターに所属する飯田勝吉准教授に話を聞いた。


-まずはご紹介も兼ねて、飯田准教授がお勤めの学術国際情報センターについてお聞かせいただけますか。

飯田准教授
 同センターでは、東工大における研究のためのインフラ整備をミッションとしています。例えば、デュアルコアのAMD Opteronを5240個、1万コア超搭載する「みんなのスパコン」の構築など。当時はTop 500 HPCで7位にランクインしたほどの大規模なシステムなんですよ。

 併せて構内のインフラ整備も担当していて、主に無線LAN環境や認証基盤の構築などを手がけています。東工大ではWebアプリケーションによるポータルサイトを展開しているのですが、ここへログインする際のICカードやマトリクス表などによる認証やシングルサインオン化などですね。メール基盤もこのポータルサイト上にWebメールとして構築しています。


-Webメールにはなにを利用されているのですか?

飯田准教授
 韓国のDEEP Mailを利用しています。


-Webメールのユーザー数はどれくらいですか。先生や学生全員にメールアドレスが付与されているのでしょうか?

飯田准教授
 基本的にはそうですが、実際にWebメールを利用するに当たっては、自分でメールアドレスを決めて申請する必要があるんです。大学院生や先生方は全員取得しているでしょうけど、学部生の中には取得していない人もいます。ユーザー数としては、1万数千人ほどだと思います。


相反するニーズが渦巻く東工大のスパム事情

-東工大においてのスパム状況を教えて頂けますか。1日にどれくらいのスパムが届いていますか?

飯田准教授
 統計情報を見たところ、1日45万通ほど届いているようです。


-かなり多いですね。

飯田准教授
 特に先生方に届くものが圧倒的に多いんです。何年も同じメールアドレスを使用していて、Webにも公開していますし、学会などメールアドレスを置いてくる機会も多い。その分、スパム業者の手に渡ってしまう可能性が高く、4年間しかメールアドレスを利用しない学部生と比べると雲泥の差です。そういう意味では、Impress Watchさんもスパムが多いのではないですか。


-そうですね、弊社も多いです。それでも45万通/日ほどではないと思いますけど(笑)。それだけ大量なスパムにどう対応しているのですか。


飯田准教授
 まず、DNSで検索できない送信者不明メールに関しては、まず間違いなくスパムだろうと想定できますし、メールの基本ルールからも外れているので、DEEP Mailのフィルタリング機能を使って即座に破棄しています。これが大体13万通ほどですね。残り32万通をCloudMarkで処理しているのですが、うち85%、つまり27万通ほどがスパムと判定されています。


-残り5万通が正規のメールということですね。CloudMarkでスパムと判定された27万通のメールはどうされるのですか?

飯田准教授
 基本的に、この段階ではスパムと判定されたメールであっても即座に破棄することはありません。スパムと判定されたメールには「X-titech-spam」という独自のヘッダを付け、容易に振り分けできるようにした上で、すべてサーバーに保存しておきます。その後はユーザー各自がWebメールやメールソフトの振り分け機能を利用することでスパム対策としています。


-即座に破棄しない理由は?

飯田准教授
 やはり、誤検知が最大の理由です。システム構築する側の悩みの種なのですが、東工大にはスパムに対して2種類の相反するニーズがあります。1つは、誤判定により正しいメールを止めてしまうケースを1通も出すなというもの。もう1つは、正しいメールが多少届かなくてもいいから、とにかくスパムを減らしてくれというもの。


-正しいメールが多少届かなくてもいいという、後者のニーズは珍しい気がするのですが。

飯田准教授
 はい。これはご年配の先生に時々見受けられるのですが、メールが届かなくても、誰かが電話などでフォローしてくれる。だから正規メールが届かなくてもさほど支障を来さないようなんです。


-なるほど(笑)。


コラボレーション方式で日本語スパムともさようなら

-32万通から27万通のスパムを検出をしているというCroudMarkのエンジンですが、精度はいかがですか?

飯田准教授
 検出率は非常に高いですね。満足できる精度といえると思います。未検知がまったくないわけではなく、30日間で51通ほどスパムがスパムと検知されずに通り抜けてしまったこともあるのですが、2~3%という微々たるものです。一方、正規のメールをスパムと判定してしまう誤検知に関しては、私の見る限りは、おそらく1通もなかったかと思います。


-そもそもCroudMarkにしようと決めたきっかけはなんだったのでしょうか?

飯田准教授
 Outlook向けの試用版があって試したところ、“これくらいの性能がでればいいな”という基準をクリアしたんですね。それがいいなと思ったきっかけでした。それ以前には、ヒューリスティック方式とフィルタリング方式の2種類の製品を併用してスパム対策としていたのですが、それよりも精度が良かったんですよ。

 またCroudMarkでは、スパムらしさを%(パーセント)で示します。100%なら確実にスパムということになるのですが、同製品ではスパムと判定されるのはほとんどが98%以上。60%とか、80%とか、95%とかあやふやな数値はほとんど出てきません。そのため、98%以上をスパムとして判定する一方で、97%をどうするかを検討しなければいけないくらいで、ユーザー側のチューニングがほとんど不要だったんです。

 もうひとつはやっぱりコラボレーション方式の便利さです。例えば日本語スパムに対応しようと思った場合、通常はエンジンに日本語スパムを検知するアルゴリズムなどを実装するという形になるかと思うのですが、その方法で高精度を実現するのはなかなか難しいものがあります。

 ところがコラボレーション方式ではすでに日本ユーザーが多いため、詳細な日本語スパムのブラックリストができあがっているんですね。たまに英語の論文がメールで送られてきたときに、CroudMarkでも誤判定してしまうことがあるのですが、そうしたメールへの対応も容易です。こういった点が試用した際の高いポイントでした。


嫌いな人からのメールをわざとスパムとして申請しても大丈夫?

-コラボレーション方式では、ユーザーがスパムを申請する形になりますが、その運用上で問題はありませんか。

飯田准教授
 実はまだ申請用のあて先メールアドレスを構内に公開していないので、はっきりとしたことは言えないのですが。公開した後も申請してくれるのは一部のヘビーユーザーのみだと考えているのです。人数が多くない分、管理はさほど大変ではないと思います。


-例えば、あの先生嫌いだから、メールをすべてスパムとして登録しちゃえ、というケースが考えられそうですが。

飯田准教授
 そういう人がいる可能性はありますね。ただし、CroudMarkでは申請者の正当性を評価する「ユーザーランク」という考え方が採用されていて、誰でもスパムを申請すれば即座に反映されるというわけではありません。まじめにスパムを申請する人ほどこのランクが上がっていき、評価の低い人からの申請は即座に反映しない。そうした仕組みにより、不正はかなり防止できると思います。

 あとは管理者がユーザーの申請状況を確認することができますので、不正な使い方をしている者を突き止めることも可能です。それで注意するのか、どうするのか、といったルールを決めるのは単純なことではないと思いますが。


-それ以外に何か問題などはありましたか。

飯田准教授
 製品の機能自体の問題ではないのですが、1つは高価であること。実は、同製品の方が、以前の2製品を合わせた価格よりも高いんです。その分、性能が高いので、安心を買っているという意識ですね。また高機能な分だけ、初期設定が難しく、構築をしてもらったSIerの人たちは大変だったようです。

 あと、これは当校の運用上の問題なのですが、45万通のうち正規のメールは5万通しかないのに、スパムを排除しないで保存しているため、9倍のリソースを費やしてしまっていることになります。この無駄を削減したいところですね。このためにスパムを別のサーバーに一時保管するなどの方法も考えてはいるんです。別のサーバーに保管して、ユーザーに「あなたあてにこれだけのスパムが届きました」と通知したあと、一定の時間が経過したら自動で削除するといった方法です。ベンダに聞いたところ、こうした方法は実現可能だが、かなりの費用がかかってしまうとのことで、今後の課題として悩んでいます。

 本当のところ、メールはすでにコミュニケーションツールとしては破たんしていると思います。今後は、Webポータルで必要な情報をリアルタイムに配信できる方法や、RSSなどが台頭すべきだと考えているのですが、そうはいっても今すぐメールをやめるわけにもいきませんからね。いろいろと運用を工夫する必要があるといえますね。



URL
  国立学校法人 東京工業大学
  http://www.titech.ac.jp/

関連記事
  ・ スパム対策サービスは本当に有効か?-バウンシングバック認証のユーザーに聞く(2007/09/12)


( 川島 弘之 )
2007/12/26 10:57

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.