2017年2月15日

スノーシュースパムと戦う「HuMachine」インテリジェンス

セキュリティ テクノロジー

私のところには、山ほどのスパムメールが届く。その数はたいていの人よりも多いだろう。数十年も名刺を配り歩いているし、プレゼンのスライドやカタログなどには会社のドメインが記載されている。それに、私のメールアドレスは単純だ。時折、長年にわたり使い古された社員のメールアドレスをスパムメールのハニーポットとして「放置」しておき、その社員には少しばかり変更を加えたメールアドレスを新しく用意したりするが、私のメールアドレスの場合それはない。なぜなら、第1に、私は敵が誰なのかを正確に把握しておく必要があるし、第2に、自社のスパム対策の品質を自分で確認できる状態にしておきたいからだ。それに、笑えるスパムメールを読む機会が少しばかり増えるのは構わない。

蝶を扱う昆虫学者のように、私は受信したスパムメールをすべて別のフォルダーに移し、判定結果をチェックし、傾向や誤検知を判断する。検知漏れのサンプルは、スパム対策チームに転送する。

興味深いことに、年初からスパムメールの量が格段に増えている!そしてその構造や形式を調べてみると、ほとんどが1つの送信元から来ているようだ。ほとんどのメッセージが英語で書かれており(2通だけは日本語)、そして、ここが重要なのだが、このスパムメールは、当社の製品100%検知された!さて、当社のスペシャリストに尋ねたところ、あるタイプのスパムメールが大津波のように押し寄せていたことが確認できた。「スノーシュースパム」だ。年末年始はスパム活動が減るのが通例なので、異常事態だ。

そして、最も活動が活発だった1月7日に、当社ドメインの受信ボックスに届いたスノーシュースパムの割合の推移を示すデータがこれだ。

では、スノーシュースパムとは一体どういうもので、どういう対策をとればいいのだろうか?

スノーシューという手法は決して目新しいものではない。当社が最初に検知したのは2012年の初頭だ。だがそれ以来、勢いを増し続けている。マルチレベルの解析をしないスパムフィルターを簡単にくぐり抜けてしまうからだ。スノーシュースパムは、1つか2つのIPアドレスではなく、非常に多くのIPアドレスからスパムメールを送信することで、レピュテーションに基づくIPアドレスフィルタリングを回避する。ちなみに、名前に「スノーシュー(かんじき)」と付いているのも、そこから来ている。スノーシューを履いた人は、体重がスノーシューの広い面全体に均等に分散されるため、雪に足を取られずに済む。つまり、このスパムにも同じ原理が当てはまるわけで、スパムがたくさんのIPアドレスに広く分散されるため、フィルターに捕まらずに済む、ということになる。

スパム送信者からすれば、複数のIPアドレスを使うと作業が複雑になるが、目的は達成できる。自動生成されたドメインやプロバイダー名(たいていは辞書を使う)を常に使用し、使い古したホスティングやスパムのプロキシはシャットダウンしなければならないなど、細々とした調整が多く複雑なのだが、彼らから見ればやるだけの価値があるのだ。

スパムメールが受信者の元に届くと、ソーシャルエンジニアリングの出番だ。まず、ぱっと目を引くタイトルで注意を引きつける。本文には、素晴らしい商品やサービスを扱うというWebサイトへのリンクがある。これを見逃す手はないし、限定特価は明日までだ。奇跡の治療薬、一生に一度だけの保険料割引、ED治療薬、光熱費の支払い…何でもありだ。どれもこれも、古典的な詐欺のトリックがちりばめられている。お涙頂戴もの(「重い病気で、しかもお金がないのです」)、ハッピーエンド(「この$29.99の薬を試したら、症状がすべてあっという間に消えました!」)などなど、心理を揺さぶるストーリーが繰り出される。

リダイレクト先のWebサイトは、受信者の地域によって異なる。たとえば、非常に貧しい国の人であると判明すれば、シンプルに、たとえばGoogleに、リダイレクトされる。しかし、受信者がたとえば欧州や北米の先進国の人であったなら、リダイレクト先では、アパッチ族に伝わる民間医療だの、テスラの謎だの、ありとあらゆるストーリーが展開される。

だが、問題は巧妙なソーシャルエンジニアリングだけではない。こうした類いのスパムメールには、マルウェアがおまけに付いてくることがある…

ではどのような対策をとればいいのか?

技術的な観点からいえば、当然ながら、スノーシュースパムはそれほど高度ではない。だからといって、真剣に対策を考えなくてもいいということにはならない。さまざまな型を持つスパムに適応できない単純なスパムフィルターでは、検知し損ねてしまう。それに、これ1つあればスノーシュースパムを今後一切寄せ付けない、という技術はない。当社ではマルチレベルの保護でスノーシューに応戦している。主役を務めるのは機械学習(マシンラーニング)だ。大量のスノーシュースパムに人手を使って対処するなど現実的ではないのだから、機械学習の活用は理にかなっている。エキスパートには、もっと有益な仕事に時間を使ってもらった方がはるかにいい。そしてその「もっと有益な仕事」とは、何を隠そう、賢い(スマートな)マシンを作り出すことだ。そして、そのスマートマシンが、極めて正確に、かつ信頼性の高いやり方で、また自動的に、スパムを解析して対抗アルゴリズムを生み出す。たとえば、当社の製品が自動的に新しいスパム送信ドメイン、IPアドレス、サブネットワークを認識してブロックし、さまざまな属性に基づいてコンテンツを解析することができるのは、機械学習のおかげだ。そして、すでに述べたように、すべてが実際に成果をあげている。

実際のところ、サイバースペースでの善と悪の戦いは、しばらく前からアルゴリズムの戦いになっている。悪党どもはサイバー攻撃の外観や性質を巧みに偽装する方法を身につけている。そして、攻撃自体もますます自動で行われるようになり、攻撃が複雑なロジックに従って実行されるようになった。しかし、どのアルゴリズムにも、それに対抗できるアルゴリズムが存在する。どういうものかというと、とにかく長いアルゴリズムだ(笑)。その効果のほどは、今のところ、エキスパートたちが作成した自己学習システムの柔軟性と信頼性にかかっている。そして、人間の数学能力と新しいアルゴリズムの開発を可能にする複雑なインフラ、この2つを融合できる者が成功する。この2つが組み合わさったものを、我々はHuMachine(ヒューマシン)インテリジェンスと呼ぶ。