メール・フィルターを解剖する：自社に適した機能を選ぶために知っておくべきこと

How do mail filters work?

2023/02/20 TripWire — サイバー攻撃から組織を守るために、メール・フィルターは大きな役割を担っている。そのタスクは、きわめて小さいものだが、大量かつ悪質なフィッシング・メールやスパム・メールが、ユーザーの受信トレイに配信される前に抑止することは、組織の防御能力にとって極めて重要なことだ。IBM X-Force Threat Intelligence Index によると、製造業における攻撃の 40% はフィッシング攻撃であり、従業員の３人に１人がフィッシング詐欺に騙されるだろうと言われている。

メール・フィルターは どのように機能するのか？

SPAM フィルターは、メール送受信を保護するために様々なテクニックを使用する。メール・フィルターの中には、メールに対する拒否／リダイレクト／隔離などのアクションを起こすものもある。

SPAM フィルターは、偽装された URL などで受信者を欺こうとする試みを、アドレスを比較により検出し、既知のスパマーのメールを除外する。この種の Blocklist や不許可リストには、既知のスパマーに関する詳細情報が含まれているが、それでもスパマーはヘッダー情報を偽装して、そのメッセージを本物らしく見せることができる。

Content フィルターは、ヘッダー情報のレベルを超えて、メッセージの中身を分析する。たとえば、悪意 Web サイトへのリンクや、実行ファイルを含むメールは、スパムとしてフラグが立てられる。

スパム・メールを特定するために用いられる要因には、以下のものがある。

• Source IP アドレスとドメインの評判：電子メールアドレスのIPアドレスと、その関連ドメインの評判／苦情の履歴や、警告フラグなどが考慮される。
• Spam Traps：対象となるメール・アカウントが使用されずにロックされた場合には、Email Service Provider (ESP) によるメール・アドレス・リサイクルが行われ、スパムトラップに変身させられる。メール・プロバイダーたちは、ボットの活動範囲を特定するために、偽のメール・アドレスを仕掛けていく。
• Sending Rate： 同じサーバやドメインに同じメールが殺到した場合に、送信量が過多となり、受信箱にメールが届かなくなることがある。
• Authentication：攻撃者やスパマーへの防御を目的として、メールの送信者を確認するために、ISP により認証プロトコルが使用される。認証に合格しないメールは、危険なメールやスパムに分類される可能性が高くなる。
• User Engagement：Gmail などの ESP では、メールに対するユーザーのエンゲージメントとして、スパムメール／非スパムメール／読まれずに削除されたメール／スター付きメールなどで評価する。

スパム/フィルターには、いくつかの種類がある。

• Content と単語のフィルター：このフィルターは、メール本文で選択されている単語や、構文エラー、コピーされたコンテンツなどを検査する。また、ボットにより書かれたメールについても兆候をチェックする。このフィルターが、それらの兆候に気づいた場合に、対象となるメールはスパムフォルダに振り分けられる。
• Header フィルター：このフィルターは、メールのヘッダーを調べる。ヘッダーには、送信者と受信者のアドレスおよび、途中で経由したサーバ・ルートに関する情報が含まれている。このフィルターは、そのメールが既知のスパム業者からのものか、疑わしい IPか らのものかを識別できる。
• Rule-based フィルター：メールのヘッダーと本文の文言を、評価するために定義されたルールと基準。
• Permission フィルター：送信者が受信者に承認された上で、通信が行われる必要がある。
• Challenge–response フィルター：受信したメールの送信者に対して、自動的にチャレンジを返信し、メールを送信する前に送信者の身元を確認するフィルターのことである。一度、確認された後に、その送信者に対して、このアクション再施行される必要はない。

スパム・フィルターを選択する際の注意点

スパム・フィルターや、メール・フィルタリング・サービスを選ぶ際には、スパム・メールを正しく識別し、正当なメールや重要なメールを正しい受信箱に送る、高いアンチスパム精度を備えていることを確認する必要がある。また、感度を簡単に調整できるフィルターであれば、フィルターにかけるべきメールの種類について、より柔軟に対応することが可能となる。

対象となるメール・フィルターが、自社のポリシーに適合しているか、また、自社の要件に応じた費用対効果を持つサービスであるかを、確認する必要がある。脅威アクターは、企業のドメインを偽装してメールを送信できるため、偽装されたメール送信者を識別する能力を持つ、メール・フィルターであるかどうかを確認する。最も重要なことは、ユーザーが投稿した製品レビューや評価を確認することである。可能であるなら、そのサービスの実際の顧客と話す機会を設け、ベンダーのサイトに記載されている内容よりも、率直な評価を得るようにする。

まとめ

メール・フィルターは、サイバー攻撃から組織を守るための、きわめて重要な機能である。フィッシング攻撃の多くは、悪意の添付ファイルやリンクを介して行われ、多くの従業員が欺かれて、それらをクリックしてしまう傾向にある。メール・フィルターは、それらの悪質なスパム・メールを受信箱に届く前に識別するものだ。小さなタスクにも思えるが、メール・フィルターが動作させるための、多種多様な機能が存在している。そのため、フィッシング詐欺に対抗するためにも、自社に適合したメール・フィルターの選択が、きわめて重要になる。

言われてみれば納得ですが、ひと括りでメール・フィルターを捉えてはいけませんね。2023/02/17 には、Cisco が ClamAV を使っているという話がありましたが、今日の記事に列挙されているように、何らかの Cisco の理由があるのでしょう。また、2023/02/08 の「BEC 2022 調査：28% の開封率と前年比 81% 増の攻撃量」には、そのタイトルにあるように、ほぼ３人に１人の割合で、BEC を開いてしまうという統計値があります。メール・フィルターは、ほんと、重要ですね。