TOP
>
情報セキュリティ
> スパムフィルタの評価の難しさ
今時のスパムフィルタの選定基準
第1回:スパムフィルタに必要なのは多言語対応/低負担/高検出率
著者:
センドメール 小島 國照
2006/11/16
前のページ
1
2
3
次のページ
スパムフィルタの評価の難しさ
残念なことに、過去1〜2年の間に低品質のスパムフィルタが市場に出回るようになりました。さらに残念なことは、多くのユーザが品質を確認せずにスパムフィルタを購入していることです。何故このようなことが起きるのかというと、スパムフィルタがアンチウイルスフィルタと違い、評価が難しいことにあります。
評価が難しい理由として、スパムフィルタの技術はアンチウイルスフィルタと比較して多様で難解であることがあげられます。またベンチマークテストをするには、スパムに対する深い理解が必要です。
アンチウイルスフィルタの場合は、サンプルウイルスを通してチェックするだけで、ある程度性能テストができますが、スパムフィルタの場合は、昨日送信されたスパムを通してみてもテストにはなりません。スパムフィルタの場合は、今現在、この時間に発生しているスパムを使用することがテストをする上での絶対条件となります。このような試験環境を社内に構築するには技術と時間が必要です。
また、ベンダーから提供される情報の少なさも問題の一因です。アルゴリズムをわかりやすく正確に説明できないベンダーが多い中で意味のあるテストをすることは困難です。
スパム検知のための技術
市場が上記のように混乱する原因の1つとして、大きく異なるスパムフィルタ技術が複数現れては消えてといったことを、歴史的に繰り返していいることがあります(図1)。
図1:スパムフィルタリング技術の変遷
(画像をクリックすると別ウィンドウに拡大図を表示します)
例えば、「パブリックブラックリスト」と呼ばれる検地方法はRBL(Real-time Black List)などと呼ばれ、スパムを送信していると報告されたIPアドレスのデータベースを利用してフィルタリングを行います。この技術は歴史的にも古く、一時は多くのサイトで利用されました。
しかし残念なことに、スパマー(スパム業者)はIPアドレスを頻繁に変更するため、その効果は30%程度に留まってしまったうえ、正規の電子メールをスパムとして判定してしまう誤検知の頻度が高く、損害の方が大きいという評価が増えています。
また「キーワードフィルタ」やその進化系である「ベイジアンフィルタ」は、スパムらしい言葉とスパムらしくない言葉の辞書を持ち、両者の言葉の比重からフィルタを行う技術です。しかしスパマーは、スパムの中にスパムらしくない言葉の比重を高くする工夫を行うのが常識化したために効果が激減しています。
「ハニーポット」とは、「持ち主のいないメールボックスが受信する電子メールはスパムしかない」という仮定に基づき、ISPなどに囮のメールボックスをしかけ、ここで集められた電子メールの署名をデータベースにしてフィルタを行うものです。しかし、スパマーはハニーポットに正規の電子メールを送りつける技術を身につけてしまったので、この方法が有効ではなくなっています。
コラボレーション型スパムフィルタとは
これらの検知技術に対して、近年になって有効性が認められてきたのが「コラボレーション型スパムフィルタ」と呼ばれるものです。この技術は、スパマーがどのように工夫を凝らしても、人間が見れば迷いもなくスパムはスパムと判定されるという事実を利用しています。
「コラボレーション型スパムフィルタ」とは、新しいスパムを受け取ったユーザがサーバにスパム報告を送信することで登録辞書を更新していく方式で、ユーザ数が増えれば増えるほど精度が上がるのが特徴です。Sendmailもこの方式を活用したCloudmarkを採用しています。
前のページ
1
2
3
次のページ
著者プロフィール
センドメール株式会社 小島 國照
センドメール株式会社社長
日本タンデムコンピューターズ(現:日本HP)、ストラタスコンピュータ(現:日本ストラタステクノロジー)においてマーケティングおよび技術部門の責任者を勤めた後、サイベース、シャイアンソフトウェア、オブジェクト・デザイン・ジャパンなど、ソフトウェア業界において、マーケティング、製品開発、経営などに携わる。2003年より現職。Sendmail,Inc.入社以前は、ターボリナックスジャパン社長として、日本のビジネス市場における本格的なLinux導入に尽力した。
INDEX
第1回:スパムフィルタに必要なのは多言語対応/低負担/高検出率
電子メールの普及と浮上する課題
スパムフィルタの評価の難しさ
急増が予想されるスパム