【判っているようで解らない、メールの話(全4回)】
第2回:迷惑メール判定(アンチスパム)の裏側
バックナンバー
2023/05/19
はじめに
当社のサービスを検討しているお客様からよく聞かれる質問があります。
「どのように迷惑メールの判定を行っているのか?」
「どうしてこのメールは迷惑メールと判定されたのか?」
迷惑メールと一言で言っても不審メール、攻撃メール、フィッシングメール、スパムメール、標的型攻撃メール、BEC∗など、さまざまな種類があります。今回は受信者にとって望まれない、迷惑という意味でひとくくりにして、これらの迷惑メールを判定する技術についてお話しようと思います。
∗Business Email Compromise:ビジネスメール詐欺
さて、実際のところどのような判定プロセスで迷惑メールと判定するのでしょうか?すぐに思い付きそうなのは、以下のような事ではないでしょうか?
- 特定の文字列が入っている
- 特定のIPアドレスから送信されている
- 特定のドメイン、メールアドレスから送信されている
- 特定のURLが本文に含まれている
上記のどれか一つが合致した場合に迷惑メールと判定する方法です。確かにひと昔前はこのような単一の技術で判定することが多く、そのようなアプライアンスもたくさんありました。しかし昨今、迷惑メールは日々進化・巧妙化を続けており、これらの単一判定要素では検知できないことが増えてきました。仮に検知できたとしても、誤検知が多く使いものにならないといった声も聞こえてきます。
ではどのように検知精度を上げたり誤判定を減らしたりするのでしょうか?
その裏側を少し覗いてみましょう。まずは迷惑メールの判定プロセスに関して、よく皆さんが経験される事象を例に出して説明していきます。
見た目の本文が一字一句同じに見えても「同じメール」とは限らない
メール本文が全く同じに見える複数のメールが、異なる迷惑メール判定結果となる場合があります。メールの本文やFrom、Subjectが同じで一見して「同じメール」に見えても、実は送信元や配送経路、送信時刻等が異なっている場合があり、技術的には「同じメール」ではないのです。
仮にある迷惑メール判定エンジンに以下のような判定要素(A、B、C、D、E)があったとして、この判定エンジンで本文が同じに見えるメール3通(M、N、O)を判定しました。
| 判定要素 A | 送信元IPアドレスのレピュテーションデータベースを参照してスコアをつける |
|---|---|
| 判定要素 B | 本文中のURL情報を専用データベースに参照してスコアをつける |
| 判定要素 C | 本文中の文字列をヒューリスティックデータベースに参照してスコアをつける |
| 判定要素 D | ヘッダの送信経路を元にスコアをつける |
| 判定要素 E | ヘッダの送信元メールアドレス(From)を元にスコアをつける |
| メール M | 本文同じ、送信元IPアドレスxxx、送信時刻:04:01 |
|---|---|
| メール N | 本文同じ、送信元IPアドレスzzz、送信時刻:04:02 |
| メール O | 本文同じ、送信元IPアドレスyyy、送信時刻:05:22 |
3通のメールに対する判定結果は以下の通りです。
メール M
- 判定要素Aで 0 をつけました
- 判定要素Bで 0 をつけました
- 判定要素Cで 0.2 をつけました
- 判定要素Dで 0.1 をつけました
- 判定要素Eで 0 をつけました
→ 最終スコアが 0.3 で、結果は「迷惑メールではない」と判定。
メール N
- 判定要素Aで 0 をつけました
- 判定要素Bで 0 をつけました
- 判定要素Cで 0.5 をつけました
- 判定要素Dで 0.1 をつけました
- 判定要素Eで 0 をつけました
→ 最終スコアが 0.6 で、結果は「迷惑メール」と判定。
メール O
- 判定要素Aで 0.7 をつけました
- 判定要素Bで 0 をつけました
- 判定要素Cで 0.5 をつけました
- 判定要素Dで 0.1 をつけました
- 判定要素Eで 0.3 をつけました
→ 最終スコアが 1.6 で、結果は「迷惑メール」と判定。
この迷惑メール判定エンジンは1通1通を独立したメールとしてそれぞれを複数の判定要素で判定しており、結果として異なる判定結果を導きだしました。人間の目には同じに見えるメールも送信元、配送経路、送信時刻等が異なることで最終的な判定結果に違いがでたわけです。
一つの、あるいは一社の迷惑メール判定技術でさえ昨今はこのような複数の判定要素を元に総合的に判定することが増えてきました。複合的な要素で判定することでより精度の高い判定を行うことが可能になります。
脅威メールを複合的に判定し多層防御を実現
当社の統合型メールセキュリティサービス「IIJセキュアMXサービス」では、複数の業界トップクラスのセキュリティベンダーによる迷惑メール判定エンジン群を装備しており、メール1通毎にそれぞれの判定エンジンが異なる複数判定要素に基づいた判定結果を算出します。この判定結果を持ち寄り、独自アルゴリズムに基づいた最終スコアを導き出し、一定の閾値を超えた場合に「迷惑メール」として判定しています。
IIJセキュアMXサービスで採用しているある判定エンジンは、最短数十秒でマイクロアップデートが行われて判定要素に関する情報が更新されるだけでなく、ディープラーニング技術によって判定要素自身が進化し続けるため、秒単位で最新の迷惑メールを判定することが可能となります。
さらに別の迷惑メール判定エンジンでは、メールを受信したタイミングで特許技術に基づいたメールのDNA(言語依存しない技術)をセキュリティベンダーのクラウドに最新情報を問い合わせることで、その時点でもっとも新しい判定要素を元にした判定結果が得られます。
IIJセキュアMXサービスでは1社の特定技術に依存せず、これらの複数セキュリティベンダーの迷惑メール判定エンジンを組み合わせた多角的な判定により、最新の脅威メールからの防御を実現しています。
今なら、海外拠点のセキュリティ対策の導入ポイントを詳しく解説したホワイトペーパーを、無料でご提供しています。
執筆者:久保田 範夫
IIJ メールセキュリティエバンジェリスト
1997年IIJ入社。IIJの米国法人IIJ Americaに出向し、ネットワーク、セキュリティサービスの企画、構築、運用を担当。帰国後は大規模エンタープライズ向けにネットワークインテグレーションを経て、メールサービス部門にてサービスの企画、設計、運用に従事。
メール、セキュリティを専門とし、M3AAWG会員、及びサービスの企画、戦略を担当。国内だけでなく、ASEAN、米国、欧州でのグローバルサービス展開を精力的に推進しながらメールセキュリティのエバンジェリストとして活動。講演多数。
