サイバー攻撃の手法がますます巧妙化・複雑化するなか、最新のセキュリティ事情についていくのに精一杯という情報システム担当者も多いことだろう。なかでもメールに関するセキュリティ対策については、非常に重要であるにもかかわらず、十分な理解が進んでいないと思われる。そこでこの連載企画では、メールセキュリティの基本に立ち返って、最新の脅威動向を踏まえた効果的な対策について紹介していきたい。
世界中のISPが真っ先に採用するアンチスパム製品とは
これまで2回にわたり、標的型攻撃メールやスパムメール、フィッシングメールなどのメールを介した攻撃の脅威について紹介してきた。現在、一般的にスパムメール対策として何らかのスパムフィルターを使用していないシステムはほとんど無いだろう。しかし、今やスパムメールとウィルス、マルウェアの境界線はなくなってきていることは前回述べた通りだ。そして、そうした脅威の中でもとりわけ対策が難しいスパムメールとマルウェアメールの境界線上にある様な脅威を防ぐことができる「アンチスパムフィルター」がどれだけあるだろうか。一口にアンチスパムフィルターと言っても、その多くは最新の攻撃手法に対しては十分な効果を発揮しないものも多いという点にも触れてきた。そこで最終回となる今回は、アンチスパムフィルターの最善の選択肢と言える米国Cloudmark社のスパム検知エンジン「Cloudmark Authority」を紹介しよう。
Cloudmark Authorityは、海外そして日本の大手ISPの多くで採用されている“キャリアグレード”のメールセキュリティ・ソリューション「Cloudmark Security Platform」の他、milterが使用可能なメールサーバ上でも稼働するスパム検知エンジンである。世界中の多くの大手ISPが採用する理由として、その圧倒的な検知率と新種への対応の早さが挙げられる。
国内でCloudmark製品(以下Cloudmark)全般を提供するTwoFiveのテクニカルサービス マネージャーである高橋尚也氏は言う。「他に類を見ない検知率の高さの秘密の1つは、世界中のユーザーからフィードバックを即座に反映するため、その更新頻度の際立った高さにあると言えます」
Cloudmark社には150を越える国と地域から数億もの脅威レポートが集まってくる「グローバル・スレット・ネットワーク(Global Threat Network)」という仕組みがある。レポートを提供するのは、世界中のサービスプロバイダの不正対策チームやシステム管理者、ハニーポット、信頼のおけるユーザーなどである。それらから寄せられたスパムに関するフィードバックはフィンガープリントとして自動的にシステムに反映されるようになっており、新たな攻撃の発生から平均数分以内に脅威対象の検知が可能となるのである。
-
Cloudmark社のグローバル・スレット・ネットワーク(Global Threat Network)
自動的に反映するといっても、送られてくるレポートが正しいものでなければフィルタリングの結果が汚染されるおそれがある。しかし、Cloudmark Authorityのフィルタリング機能には、レポーターからのフィードバックを自動的に評価する仕組みが備わっており、フィードバックの信頼性が保てるようになっているのである。そのフィードバックは即座に反映される。Cloudmark Authorityを使用するサーバは通常定義ファイルを30秒間隔でダウンロードする設定になっているため、新たなスパムメールが登場したとしても最短30秒後にはブロックできるわけだ。
正体不明のマルウェアもブロックするアンチスパムフィルター
前述したような仕組みを持つCloudmark Authorityは、ランサムウェアをはじめとした各種マルウェアや、フィッシング、さらにはサンドボックスだけでは検知できない脅威など、スパムメール以外にも多岐にわたる脅威に瞬時に対応することができる。例えば2016年初めにランサムウェア「Locky」が国内でも多くの感染被害をもたらしたが、被害が拡大した原因としては、従来のパターンファイル型のアンチウィルスフィルターのほとんどが長時間にわたってこのランサムウェアを検知できなかった点が挙げられる。これに対してCloudmark Authorityは、Lockyが出現するやいなやすぐにこれをブロックしたのである。
「最近ではランサムウェアなどの亜種や新種が大量にでまわるため、従来型のアンチスパムフィルターでは被害拡大を防ぐポイントとされる“発生から12時間以内”に検知するのはほぼ不可能となっています。対してCloudmark Authorityはアンチスパムフィルターですが、こうした新種のマルウェアにも非常に強いという特徴があります」と高橋氏は語る。
-
新種・亜種のマルウェアに強いCloudmark Authorit
Cloudmark Authorityが正体不明のマルウェアもブロックできるのも、のべ20億アカウントにも及ぶ世界中のユーザーからのフィードバックが瞬時に、かつ自動的に反映される仕組みのおかげだと言える。これに加えて、サンドボックスへの対応や、添付ファイルの構造解析が可能な独自の検知ロジックも幅広い対象に関する検知精度向上に大きく寄与している。さらに、メール文面に記されたURLリンクについても、特許技術である「先進的メッセージ・フィンガープリンティング・アルゴリズム」などによって危険なリンクを見抜くことができるのである。
これだけの高い機能を備えるだけに、気になるのがパフォーマンスであるが、Cloudmark製品は処理能力の高さでも定評があるのだ。小さなリソースであっても、短時間に大量のメールを処理できるので、エンドユーザーはその存在をまったく意識することなく活用可能である他、スパムのキャンペーン等による突発的バーストでも短時間に大量のメールを処理することが可能なのである。
今後、企業にとってメールセキュリティはますます重要性を増していくのは間違いない。しかし一方でセキュリティ担当者が担う範囲は幅広く、メール、さらにその中のスパムメールの対応だけに時間をとられるようなわけにはいかない。だからこそ、精度が高く自動化が進んだアンチスパムフィルターを導入することで、担当者の負担を軽減すると同時に、企業全体のセキュリティレベルを向上させることが求められるのである。
高い信頼性を誇るメール・セキュリティ・ゲートウェイ「Cloudmark」
![]()
Cloudmarkは、導入するネットワークに干渉することなく、自動的に不正や脅威を軽減します。革新的な技術と専門家による調査、リアルタイムの脅威データアップデートを独自に組合わせることにより、悪意ある送信者とコンテンツを素早く特定することが可能です。サンドボックスだけでは検知できない脅威や、フィッシング等の最新の脅威にも瞬時に対応します。
[PR]提供:TwoFive
