■講演要旨       PDF版 1.はじめに 2.spamメールの現状 3.spamメールの手口 4.ウィルスによる個人情報取得 5.botネットを利用したspam発信 　　　　　　　 6.spamメールの手法の変化 　　　　　　　 7.spamメールが及ぼす影響 　　　　　　　 8.spamメールは無くなるか？ 　　　　　　　 9.京都大学の対策 　　　　　　　 10.まとめ 　　　　　　　 参考文献 ■プレゼンテーション資料

京都大学 学術情報メディアセンター 高倉 弘喜

アブストラクト

インターネットにおける攻撃活動は、botのようにその範囲が比較的広いものから、特定の組織をピンポイントで狙ったものまで様々なものが登場しつつある。一方、攻撃者側の事情として、攻撃プログラムの汎用性を高めるために、多様な実環境での「試し打ち」が必要となりつつある。 　京都大学では、様々な定点観測サーバおよびIDSを活用して、攻撃プログラムの開発を追跡し、ゼロデイ予測を行おうとしている。さらに、各種anti-spamサーバを並行運用することにより、spamメール発信者が行うspam検知回避手法の推移を追跡している。一方で、anti-spamサーバの運用の難しさも日々経験しており、一進一退の状況が続いている。 　本報告は、これらのセキュリティ対策機器の運用から得られたインターネットの現状と今後の課題について解説する。

キーワード

spamメール、botnet、OP25B、greylisting、京都大学

　ここ数年、spamメールの量が急増してきている。京都大学では、流入するメールの少なくとも90%がspamメールとなっており、メールサーバ、ウィルスチェックサーバといった情報資産をspamメール受信のために使用しているという状況である。その結果、サーバの過負荷による配送遅延、あるいは、受信失敗が多発している。 　一方、受信者は、膨大なspamメールの中から、必要なメールのみを選別する作業に相当の時間を費やさざるを得ない。この作業を目視で行うと、本来読むべきメールまでも破棄してしまう事故が多発することとなる。 　本稿では、spamメールが送られる背景、その典型的な手法、また、京都大学で行なっている対策の概要についてのべる

　spamメールとして送られる内容としては以下のようなものがある。
　株価情報として、「急騰している株が有る」という内容を送ってくる(講演資料3)。

講演資料3
しかも、その大半で、株価は実際に上昇している。これは、発信者が株価を吊り上げ、受信者による株購入を待ち、頃合いを見計らって一気に売るという手法に利用されている。
　医薬品情報としては、バイアグラ系、ビタミン剤、やせ薬の販売が大多数である。実際には偽薬を販売しており、かつ、世界規模の配送網が構築されていた[1]。
　季節商品は、クリスマスなどの時節に合わせた商品を売り込むものであり、万人にとって迷惑な内容とは言えない可能性がある。 　装飾品としては、圧倒的に偽ブランド時計が多い。しかも、レプリカであることを見出しに明記している。
　アダルト系は出会い系サイトからの誘いに見せかけて、高額なアクセス料を請求するサイトへ誘導するものが大半である。この種のspamは数年前までは欧米で多く見られたが、現在は、日本のみと言ってよい状況である。
　金銭詐欺は、某国の元大臣の息子の執事から隠し資金の引き出しに協力して欲しいという内容から、知り合いを装って至急送金して欲しいといったものである。
　学術的詐欺としては、学位の販売、偽学会の案内などがある。

　未だによく利用されるものとして、銀行口座、クレジットカード、電子マネー等のIDが失効するので、今すぐ再認証を受けるよう促すPhisingがある。
　さらには、正規の証明書を取得し、偽Webサイトを構築した事例もある(講演資料4)。

講演資料4
Mountain America Credit Unionの正しいURL http://www.mtnamerica.orgに対し、Webをそのまま写したhttps://www.mountain-america.orgという偽サイトが運用されていた。
　このような偽サイトでは、9日間で2,000アクセスを観測している。大半のアクセスは興味本位と思われるが、実際にIDとパスワードを入力してしまった事例もある。
　Phisingのメール(講演資料5)に記載されているURLをクリックすれば、実物と同一のWebページが表示される(講演資料6)。唯一の違いは、URLの表示のみである。

講演資料5

講演資料6

　Social Engineering*1とtargeted攻撃を組み合わせた活動も増えつつある(講演資料7)。知り合いからのメールを装って依頼を行なう。添付書類は一見すると、pdfといった文書ファイルに見えるが、実は、拡張子を偽装したexeファイルである。当該ファイルの実行により、盗聴ソフトウェアをインストールさせる。

講演資料7
　この手法で使用される盗聴ソフトウェアはカスタムメイドのため、一般にアンチウィルスでは検知し難くなっている。さらに、盗聴で得られた結果を基に、次々とtargeted攻撃を行うこともある。

　現在、spamメールを送信元のほぼ全てが、家庭や企業で利用されているパソコンである。このパソコンが何らかの原因でbotと呼ばれるウィルス(malware*2)に感染している(講演資料8)。多量のbotを統合管理することにより、世界規模のbotネットが構築されている。

講演資料8
　botネットでは、botネット管理者、spamメール中継者、spamメール発信者による分業化が進んでいる。spamメール発信者は、botネット管理者にbotの貸し出しを依頼する。botネット管理者は、手持ちのbotの一部を時間貸しすることで収入を得る(講演資料9)[2]。spamメール発信者は、これらのbotにspamメールの中継を行わせる。

講演資料9
　bot感染が根絶できない理由はいくつかある。従来は、アンチウィルスソフトウェア搭載していない、あるいは、搭載していてもパターンの更新をサボっている無防備なパソコン、パッチ適用がなされていないパソコンでの感染が多かった。しかし、最近では、未知のbotの感染事例が増えている。一般的な防御策は、攻撃者側でも検証可能であり、これを回避する細工を講じていると考えられる。
　botによるspamメール対策として、多くのISP*3等において、Outbound Port 25Blocking(OP25B)*4が採用されている。OP25Bでは、ISPユーザが直接メールを送信することを禁止することで、botによるspam発信の阻止を試みる。しかし、被感染パソコンのハードディスクを検索すれば、当該パソコンが使用する正規のメールサーバを調べることは容易である。このため、OP25Bの対抗策として、ISPのメールサーバにspam配送を行なわせるようになってきている(講演資料10)。

講演資料10
　また、botなどのmalwareの感染経路も様々である。メールにmalwareを添付して送付するもの、OS等の脆弱性をついてmalwareを打ち込むものなどがある。また、最近では、OS等の脆弱性を攻撃し、遠隔からOSのShellを起動する手法もとられ始めている(講演資料11)。Shell起動後は単にmalwareを取得するftp/tftp*5コマンドを実行する。感染を試みる

講演資料11
malwareの大半は、アンチウィルスでは検知できない。著者の採取したサンプルの場合、採取後数日から数週間後に検知できるパターンが提供されている。
　malwareの導入に3ステップを踏むのには以下の二つの理由があると考えられる。一つは、脆弱性を狙う攻略コードを最小にすることで、不正アクセス検知システム(IDS*6)による検知回避を試みている。IDSでは、signature*7でトラフィックパターンを定義し、これと適合するトラフィックを攻撃と判定している。誤検知を減らすためには、signatureに複雑なパターンを定義する必要があるが、そのためには、検知対象のトラフィックサイズが十分に大きくなければならない。従って、小さな攻略コードに対するsignatureは記述し難い。
　二つ目は、感染機器からアクセスさせることで、firewallによる制限の回避を試みている。ノートパソコン等の感染機器が組織内に持ち込まれることで、firewall内に設置された機器を攻略可能となる。乗っ取り後の機器から外部へ接続させることで、firewallによる防御を回避することが可能となる。
　また、ftpサーバに置いたmalwareを常に最新の状態に保ち、かつ、配布数を少数におさえることもできる。その結果、サンプル採取が困難となり、アンチウィルスの検知を回避しやすくなる(講演資料12)。
講演資料12

6.1 アクセス者特定手法
　詐欺Webの場合、どのメールアドレスに送ったかを特定する必要がある。古典的な手法としては、URLにメールアドレス、あるいは、メールアドレスを暗号化した文字列を埋め込んでいた(講演資料13,14)。さらには、HTMLメールを使用して、リンク先URLを直接見えないよう試みるものもあった。さらには、メール本体をMIME*8エンコードすることでURLの遮蔽を試みるものもあった(講演資料15)。

講演資料13

講演資料14

講演資料15
　いずれも、メールアドレスに相当する部分の削除や、別の文字列への書き換えで受信者情報を送らないことができる。このため、他人に成りすましてアクセスし、第三者に請求先をすり替えるという行為も発生している。
6.2 spam対策への対抗策
　最近のspam対策では、単に単語の組み合わせだけでスコアリング*9するのではなく、メール本体のハッシュ値*10 などでspam判定を行っている。最初の対抗策は、広告文の前後に、一般的な単語を多数貼付け、スコアを下げていた。しかし、意味不明な単語が並ぶことがspam判定の基準となったため、今度は、Web記事や雑誌、詩などから引用した文章を貼付けるようになってきた(講演資料16)。

講演資料16

講演資料17
　さらには、文字によるspam判定を回避するため、イメージspamと言われる画像化したspamまで登場した(講演資料17)。しかし、画像ファイルのハッシュ値により簡単にspam判定が可能なことから、メール毎に微妙に画像ファイルを変えるようになった(講演資料18)。

講演資料18
なお、最近では、画像からの文字列抽出に対抗し、文字が極端に歪んだ画像、アニメーション画像なども登場している。 　しかし、画像処理に凝りすぎたためか、広告文そのものが消えてしまった画像まで送るようになってきており、spam発信業者側の苦労を垣間みることができる(講演資料19)。

講演資料19
6.3 送信先アドレスの収集
　spamの送信先のメールアドレスはWebクローリング*11などで収集されている(講演資料20)。例えば、ダミーのメールアドレスを公開した所、1週間後には、一日あたり4〜5千通のspamメールが押し寄せるようになった。
　また、メールアドレスをランダムに生成する手法もよくよく用いられている。この場合、一つのドメインに次々とspamメールを送るのは得策でなく、同じユーザ名で異なるドメインに送りつけることもある。
　さらには、スパイウェアなどのmalwareにより、アドレス帳が盗まれている事例も発生している。パソコンに保存されているアドレス帳は現在使用されている「新鮮な」メールアドレスが多数含まれているため、spam業者にとっては極めて有益なものとなっている。

講演資料20

　組織として見たspamメールの影響について考える。インターネット上で交換されるメールの50%はspamと言われている(講演資料21)。一方、京都大学においては90%以上がspamとなっている(講演資料31)。

講演資料21

講演資料31
言い換えれば、その分だけ、組織の情報資産を無駄に消費している。情報資産としては、メールサーバ、ウィルスチェックサーバ、メールを読むためのパソコン、さらには、当該組織のネットワーク機器などが挙げられる。さらには、spamメール処理をする構成員の労働時間にも影響を及ぼす。極端な場合、劣悪な労働環境を放置した責任が問われかねない状況となりつつある。 　一方、spamメールを発信した場合について考える(講演資料22)。例えば、組織内のパソコンがウィルスに感染し、外部Webサーバからの指令で、当該組織のメールサーバを介してspamを発信することが想定される。この場合、当該組織の信用失墜になる危険性がある。

講演資料22

　答えは、当分無理、である。0.001%の応答率で採算が取れる現状では、長く見積もっても半月で投資が回収できてしまう(講演資料23)。また、2007年1月の報道では、毎月1.2億円の売り上げだった (講演資料24)。また、spam業者は国際的分業体制が整っている一方で、守り側の連携は不十分である。このため、当分はイタチごっこが続くと考えられる。

講演資料23

講演資料24

9.1 greylisting
　当初はgreylisting*12(講演資料27)で解決できると考えていた。しかし、本学のサーバが受信拒否される原因調査から、再送待ちが無限に続く危険性を認識した(講演資料28)。Greylistingでは、運用者が設定した時間は再送してならない、しかし、SMTPのプロトコルで、この待ち時間に関する定義はない。

講演資料27

講演資料28
　また、greylistingではwhite list*13の管理が必須となる。しかし、本学にメールを送信してくる40万台のIPアドレスを一つずつ精査し、300台のマシンをwhite listに登録するのは現実的ではなかった(講演資料29)。さらには、サーバの中には、spamが混在したメールを配送している。このため、spamの含有率に応じて、帯域制限*14を施す方が望ましいと考えた。

講演資料29
9.2 アンチspamシステムの構成
　本学では、サブドメイン(部局)の希望に応じて、メール本文のspam検査を受けるサーバと受けないサーバに別けている(講演資料30)。また、両サーバの上位に、帯域制限をかけるサーバを設置している。

講演資料30
9.3 アンチspamシステムの課題
　一番の問題は、利用者から100%の検知および0%の誤検知を期待されることである(講演資料32)。全学規模のメールサーバでは、この期待に応えることは難しい。また、spam中継を認識しておきながら、放置する組織が学内外に存在することも悩みの種となっている。
　さらには、個人で契約しているISPにspamメールを転送し、third opinionを求めている利用者も居る。しかし、最近のアンチspam製品は単に発信元だけでなく、配送経路上のサーバのspam関与率を求めたり、ベンダー内、あるいは、ベンダー間でその情報を共有していることが多い。その結果、転送経路上の全てのメールサーバがspamへの関与率が高いと判定され、お互いに受信拒否や帯域制限をし合うという負の連鎖を引き起こしている。

講演資料32

　本稿では、spamメール発信の手口、アンチspamへの対抗策の実態、botネットの実情等について説明した。また、京都大学で講じている対策についても述べた。現状では、spam業者の方が優位であると言えるが、各種技術の開発により、その状況が逆転しつつ有ると考えられる。

[1] MS、Pfizerと共同調査で偽バイアグラ販売チェーンを摘発, http://www.itmedia.co.jp/enterprise/articles/0502/11/news006.html
[2] 「スパム送信用“ボットネット”のレンタル料は1時間で300ドル」---米MX LogicのCTO, http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050713/164607/

脚注

*1	Social Engineering : id/passwordを入手するため、メールに仕掛けられた攻撃を実行するリンクをクリックさせたりする等、心理的な弱点をついて、人を騙すハッキングの一種。
*2	malware : 一般に不正プログラム全般を指す。
*3	ISP : Internet Services Provider
*4	Outbound Port 25 Blocking(OP25B) : ISP側で許可した特定のサーバ以外のSMTP（TCPポートの25番）送信を禁止する対策方法。
*5	tftp : Trivial File Transfer Protocol , UDP(User Datagram Protocol)を用いてコンピュータ間でファイルを転送するためのプロトコル
*6	IDS : Intrusion Detection System
*7	signature : signatureは、攻撃を示すsystemやnetwork activityパターンを反映したもの。IDSやfireWallはこれらのsignatureで危険なパターンを区別することで攻撃を判別する。
*8	MIME : Multipurpose Internet Mail Extension 電子メールで画像、音声、動画等を扱うための規格。
*9	スコアリング :フィルタソフトウェア等が届いたメールにspamルールに基づいたスコア値を付加し、spam判定をする。
*10	ハッシュ値 : spamフィルタでは、アンチウィルスと同様の手法も採用しており、spamメールの文面を既知のものと比較することでspam判定をおこなう。比較では、文面パターンのハッシュ値情報を用いる。
*11	Webクローリング : Webクローリング技術はインターネットを定期的に巡回しWeb情報を自動収集する技術。
*12	greylisting :正常なメールサーバは、受信をrejectされても一定時間後に再送を試みる。これを利用することで、メールサーバに届いたメールを一度rejectして再送要求し、Greylistに登録。再送要求に応じたら(再度同じIPから、エンベロープFromとToが同じで届いたら)受け取る。Greylistに載っているサーバが、５分以上間を空けて再度メールの送信を試みた場合に、初めてメールの配送を許可。
*13	white list : greylisting では、全てのメールサーバからの配送が一旦 reject されるため、配送遅延の原因となる。取引先など信頼のできる相手先のサーバをwhite listに登録することにより、greylistingによる制御を受けないようにする。
*14	帯域制限(流量制限) : メールの流量を制御することで、大量のメール送信をするspam発信の送信効率を下げることが狙い。