2019.04.05
ウィルス攻撃による個人情報の流出などの被害が相次いで起こっています。メールを介したものも多く、ウイルスメールの代表的なものがspamです。何十万件という個人情報や社外秘などの重要データを取り扱う企業では、spamによる脅威に対抗するためのメールシステムが必要であり、担当者の大きな負担になっています。この記事では、ITシステム管理者として、運用業務で取るべきspam対策や解決策について解説します。
適切な対策を取るためには、spamの特徴についてよく知っておく必要があります。まずは、spamの概要と攻撃内容について解説します。
ウィルス付きのspamメールには不正な添付ファイルが付いていたりURLが載っていたりします。誤ってファイルを開封したりURLを開いたりしてしまうと、ランサムウェアやネットバンキングのパスワードやアカウント情報を盗むウィルスなどに感染する可能性があります。拡張子も工夫されており、一見ただのjpg画像データのように見せかけて、実はウィルスを起動させるソフトウェアというパターンもあるので注意が必要です。
spamメールの種類は多岐に渡ります。特に散見されることが多いのが、特定の商品を宣伝してくるもの、または正規のサービスのふりをするフィッシングサイトや出会い系サイトへの誘導経路になっているものです。双方の特徴を兼ねるものもあります。また、ウィルスの配布経路として使われるケースも少なくありません。さらに、spamに感染してしまうことでメールアドレスが収集されてしまい、知らない間に他者に転売されてしまう場合もあります。
spamメールの多くが、「メールアドレスを変更した」、「メールが正しく送れているかどうかの確認」といった個人間のやり取りで多用される件名を付けています。友人以外にも公的機関からの連絡を装った内容も多く、spamに対する知識や警戒心が無ければ、ファイルを開いてしまうように工夫されています。そのため、およそ10万分の1の確率で引っかかる被害者がいるといわれます。spamの送信者は大量のメールを一斉配信し、そのうちのひとりでも多くが、内容に引っかかるようにあらゆる知恵を絞り、実行に移しているということを知っておきましょう。
spamへの理解を深めるために、ここからは代表的なspamの事例について紹介します。いかにもspamというものは減り、代わりに一見何の変哲もない形を装うなど、手の込んだ巧妙なやり方が増えていますので、内容を把握したうえで万全を期しましょう。
まず、世界的に名の知れた会社のサービス名を名乗ることで油断させるケースです。たとえば、Appleが提供する「iTunes Store」を装ったspamメールの例です。具体的には「50米ドルのギフト券を受け取った」という内容で添付のZIPファイル内に記載されている「certificate code(証明コード)」を確認するように促しています。しかし、このZIPファイルを開くと、ウィルスに感染してしまいます。
ここで使用されているウィルスは、侵入したシステム内に別のウィルスを作成するウイルスドロッパーと呼ばれるものです。このように、一見魅力的で信頼性の高い案内を装ってメール内のリンクをクリックさせたり、添付ファイルを開くようにさせたりする手口は、サイバー犯罪の常套手段です。知らないメールアドレスから届いたメールや覚えのない件名のメールは、絶対に開かないようにしましょう。
就職活動においては、求職者が企業の採用担当者などに履歴書をメールに添付して送付する場合もあります。それを悪用して、履歴書を装ってウィルスを送りつける例も数多く報告されています。手口としては「履歴書を送付するので内容を確認ください」という一見何の変哲もない件名のメールが送付されてくるというものです。ただし、メールを開くと履歴書をよそおったZIPファイルが添付されており、ファイルを開くと不正なウィルスに感染してしまいます。
ZIPファイルは複数のファイルを添付する際に用いられるもので、ビジネスでも頻繁に活用される拡張子です。ここで使用されたZIPファイルは「ウイルスドロッパー」と呼ばれるものです。実行ファイルが圧縮されており、実行時にシステム内で別のウィルスを作成する機能を持ちます。また、利用者が気づかないうちに、別のタイミングで悪意のある外部侵入者やウィルスの侵入を容易にしてしまう場合もあります。
迷惑被害が多く報告されているジャンルのひとつが、医薬品広告関連です。精巧な画像を用いて受信者にリンクをクリックさせ、誘導先のwebサイトの医薬品購入を促すものです。このほか、ワードサラダを用いた手口も確認されています。ワードサラダとは、メールや検索エンジンのスパムフィルタを回避することを目的に、コンピューターがweb上の文章などを活用して自動生成した支離滅裂な文字列のことです。
たとえ意味がつながらなくても、文法的に正しく作成されているという特徴があるため、検索エンジンやメールのスパムフィルタ機能をすり抜けてしまう可能性があります。ワードサラダを用いた事例で誘導先となった医薬品関連サイトにおいては、不正なウィルスは発見されませんでした。しかし、こうしたメールのほとんどが不当広告です。なかには、危険な違法薬品の販売を促すケースもあり、対処の仕方を間違うと思ってもみない方向に被害が拡大する可能性もあります。
こうした迷惑なメールを受信しないようにするためには、spam判定を取り入れておくと良いでしょう。spam判定には、リスト判定と内容判定があり、それぞれの仕組みと特徴を紹介します。
まず、spamの判定方法のひとつがリスト判定です。リスト判定にはホワイトリストとブラックリストの2種類があり、それぞれについて説明します。
ホワイトリストとは、あらかじめ指定したメールアドレスやドメインなどの条件に該当しないメールをすべてspamと判定する方法で、言い換えると受信許可リストのことです。たとえば、業務上やり取りのある相手のメールアドレス、取引先のドメインなど安全な送信先だけを受信を許可するリストに登録します。メリットは、spamを受信する可能性がかなり低くなることです。ただし、デメリットはリストに登録されていない正当なメールの受信ができなくなる場合もあることです。大事なメールが届かないと思っていたら、実は受信拒否されており届いていなかったというケースも少なくありません。日々、新規取引先などからメールが届くといった場合においては、便利な方法とは言えないでしょう。
ブラックリストとは、あらかじめ指定したアドレスやドメインに該当するメールをすべてspamと判定する方法です。メリットは大事なメールもきちんと受信できることですが、デメリットはspamメール対策としては不十分なことです。なぜならば、spamメールはさまざまなアドレスやドメインを多用しており、リストに登録されていないspamメールは受信してしまうため、いたちごっこのような状態になります。判定精度を高めるためには、ホワイトリストとブラックリストを適宜組み合わせることです。ただし、spamメールの手口は非常に巧妙で、さらに日々進化しています。
リスト判定のネックが、機能を維持するためには都度リストを手動で更新し続けなければならないことです。完全な方法ではないうえ、運営管理には大変な手間がかかります。また、業務関係のメールはパソコンから届くものがほとんどです。ホワイトリストのように許可した以外からのパソコンメールをすべて拒否するような設定では、日々の仕事に差し支えがあります。そのため、アドレスやドメインからではなく、通信情報からspamメールの送信元のIPアドレスを確認し、制御する方法が主流となっています。
内容判定とは、リスト判定のように手動で行うものではなく、メール内容からspamかどうかを自動的に判断して制御するという方法です。世界中で散見、報告される最新のspamメール情報を収集し、特徴を把握したうえで制御を行います。spam対策ソフトによっては、1日に数百億以上のサンプルデータを収集することが可能です。膨大なサンプルデータからspamの内容を詳しく分析し、最新のspamメールへの対応も行っていきます。専用のソフトがspamかどうかを自動的に判定することで、手動よりも効率的で精度の高い判別が行えるという仕組みです。
ここからは、spamの排除方法するための4つの方法について説明します。1つの対策だけでなく、複数を組み合わせることでより高い排除効果を期待できます。
まず、ドメインだけでなく、必ずその前のメールアカウントも含めてきちんと個別のメールアドレスを設定することが前提です。そうしないとドメイン名が合っているだけで膨大なspamメールが届いてしまいます。そのうえで、メールアドレスは基本的に公開しないようにしましょう。たとえば、安易にSNSアカウントに載せたり、仕事の問い合わせ窓口として掲載したりすることは避けましょう。
spam業者はメールアドレスなどの自動収集を目的に、世界中のサイトをクロールロボットに訪問させています。web上にメールアドレスを公開しているとすぐに収集されてしまい、spamの標的にされる可能性が高まります。標的にされてしまうと1日に処理できないほどの膨大な量のspamメールが届いてしまい業務どころではなくなってしまうでしょう。問い合わせについてはフォームメールCGIを使ってアドレスを公開しない、あるいはJava Scriptを使って記述するなどの対策が必要です。
現状において、画像まで読み取れるロボットは存在しません。そのため、メールアドレスをweb上に公開するうえで、最も安全な方法は「画像にして貼る」というものです。デメリットとしては、画像であるため、web上からのメール送信や、コピーやペーストができないので多少不便な点です。たとえば、長いアドレスや数字かアルファベットなのかわかりにくい文字を含むアドレスでは、読み取りや入力ミスが多発しやすくなります。
無料でメールアドレスを画像化してくれるwebサービスも増えています。しかし、そもそもそのサービス自体が悪質なものである可能性もあり、サイト上に入力したアドレスが、そのままspamメール業者に渡ってしまう場合もあります。正体不明のサイトを使うことは控えるべきです。必ず、信頼のおけるサイトやソフトで対応するようにしましょう。
毎日spamメールが大量に届くという状態であれば、メールアドレスがすでにspam業者に渡ってしまっていることも想定されます。変更できれば一番良いのですが、業務上のメールアドレスなどであれば、フレキシブルに変更、破棄することは難しいという場合もあるでしょう。こういったケースでは、メールが受信ボックスに届く前に、メールサーバーの中で削除してしまう方法が効果的です。メールサーバーでより多くのspamメールを削除できれば、メールソフトで受信しなくて済みますので振り分けの手間も不要です。
簡単にユーザー設定ができて、spamを削除ではなく専用フォルダに振り分けるだけのフィルターとして、Gmailのspamフィルターなどがあります。Gmailは、ほかのメールと比べると比較的spam対策の精度が高く、Gmailのフィルターを通すことでかなりのspamが除去できることが期待できます。ただし、そのGmailを業務上などの代表アドレスにするのではなく、あくまでほかのアドレスからの転送先にして、spamメールのフィルターにしておくほうがより安全です。
spamが集中したメールアドレスを面倒だからといって、そのまま放置した場合、被害者である自分が知らないうちに加害者になってしまう場合があります。まず、膨大な数のspamメールを受信しているメールサーバーには不必要な負荷がかかってしまうため、通信が遅くなるなどほかの利用者の迷惑となることがあります。次に、spamメールが集中しているメールアドレスからプロバイダのメールアドレスなどに転送してspamフィルターとして利用するケースです。この場合、使用しているサーバーがブラックリストに載ってしまうと、そのサーバーを使用している利用者全員が、一時的にメールが利用できなくなる可能性があります。
このような影響を踏まえると、大量のspamメールが届くアドレスは、思い切って削除することも必要です。削除が難しい場合は、spamのフィルターとしてGmailを活用すると良いでしょう。
メールによるspamの感染被害を予防するためには、まず信頼できるメールかどうかをメールアドレスやドメインを自分でチェックし、判断することが大切です。spamは日々変化し手口を変え、どうにか侵入しようと試みてきます。絶対的な対策はないため、常に最新の脅威情報に目を通し、社内で共有すべき情報があれば周知徹底するなどして、社員全員のセキュリティ意識を高く維持することが大切です。また、spamだけでなくさまざまなウィルスの感染を防ぐためにも、最低限OSやソフトウェアはこまめに更新して最新状態にしておきましょう。
ファイアーウォールの設定をしっかりと行っておくことも必要です。さらに、一般ユーザーでは対応しきれない範囲をカバーするために、信頼性の高いセキュリティソフトをインストールすることで安全性が高まります。