View
5.279
Download
1
Category
Preview:
DESCRIPTION
2010/6/26に長野で開催された、第4回NSEG勉強会の10分LTで発表した資料です。 Ustreamで動画配信したのでアーカイブを見ることができます。 Ust: http://www.ustream.tv/recorded/7916421 内容は、迷惑メールがどうやって出されていて、どんな対策手法があるかという、迷惑メールについての概要です。
Citation preview
こんなことを話します
● 「コンピュータ」なのになぜ??
● スパムがどうやって出されているか
→ なぜスパマーを捕まえられないの?
● どんな対策手法があるのか
→ なぜ完全にはフィルタできないの?
スパムは bot から出されるのが主流
● bot 化してリモートコントロールされた PC から出す
● bot が直接送信先メールサーバへ SMTP 接続してくる
● スパムの大半は海外の動的 IP から
● 日本発のスパムは OP25B により激減
日本語スパムはスパム 1.0
● 中国、フィリピン、タイ等の半固定的 IP から
● レンタルサーバか、事務所にサーバを何台も置いて
qmail や postfix から
● Windows PC を多数置いて専用のスパム送信ソフトから
メールアドレスからは特定出来ない
● 送信者のアドレスは偽装可能
● それどころか送信先のアドレスも偽装可能
→ To: フィールドは表示に使われているだけ
● 送信元の IP アドレスでのみ特定出来る
→ ユーザの特定はその IP の接続プロバイダに
調査してもらう必要がある
なぜスパマーを捕まえられないの?
● 国内の法整備は整ってきた
しかし…
● bot や海外経由のため特定が難しい
● 広告主から特定は?
→ 広告主がスパムを送信しているとは断定できない
実際海外では分業化でスパム送信者≠広告主
メールの内容で判断
● 主に本文の内容を解析して判定
● 主な例:ベイジアンフィルタ
● キーワードとその「スパムらしさ」をメールから自動学習
→「バイアグラ」が含まれているメールなら99%スパム
「出会い」「お金」が含まれているメールなら95%スパム
● 他に… コラボレーションフィルタなど
語句 バイアグラ 出会い お金
語句が含まれていてスパムだった確率
99% 90% 50%
SMTP セッション情報で判断
● SMTP セッション時の相手の「クセ」で判定
● 主な例: greylisting
● 一時拒否して再送してきたら受け取る
→ スパムは到達性は求めないからわざわざ再送しない
● 他に… tarpitting (返答の遅延)など
スパム送信時の制限
● スパムを受け取らないのではなく、出させない対策
● 主な例: OP25B (Outbound Port 25 Blocking)
● 自ネットワークから外へ SMTP 接続をさせない
● 他に… throttling (送信数制限 )など
なぜ完全にはフィルタできないの?
● SMTP が性善説で出来ている
● 検出率を上げようとするほど誤検出率も上がる
一番の問題は…
● スパムは人間が出しているということ
→ 新たなスパム対策手法が考え出されても
必ずなんらかの対抗手段を出してくる
Recommended