何故圧倒的に違うのか？ スパム対策最前線Brightmail検出

何故圧倒的に違うのか？
スパム対策最前線Brightmail検出技術徹底解説
株式会社シマンテック
技術本部 プロダクトSE部
プリンシパルシステムエンジニア 石橋 寛憲
2008年11月21日
アジェンダ
1 スパムメールの動向 2 アンチスパム技術 3 Brightmailの圧倒的な検知精度 4 スパムメール解析機関 5
5 シマンテック製品のご紹介 スパムメールの動向
1978 年: 最初のスパムメッセージ
スパムメールの爆発的な増加
革新を続けるスパマー
電子メール総数に対するスパムの比率 419 スパム PDF スパム
イメージスパム フィッシング 単純な ASCII 形式のテキスト 2007 SCAM VICTIMS COMPENSATIONS PAYMENTS HTML SIR/MADAM, SCAMMED VICTIM/ $500,000 BENEFICIARIES. REF/PAYMENTS CODE: ECB/06654 =500,000 USD.
8 % 2001 80 % 重大度/複雑度
2008 出典：2008 年 9 月 State of Spam Report 最近の動向
マルウェアを含む
インターネットを流れる
バウンスアタックの
メールの急増
メールの3/4がスパム
被害が拡大
メールに
米大統領選挙、四川
年末には80%を突破
大地震、オリンピックな
北アメリカを抜いて
ど時事スパムが流行
ヨーロッパがスパム
発信のトップに
出典：シマンテック マンスリースパムレポート 2008年10月
スパムの受信状況 ～時系列比較～
Q. お勤め先の電子メールシステムでは、日頃どの程度スパムを受信していますか？
受信メール全体に占めるスパムのおおまかな割合を、1つだけお選びください。 スパム受信比率 16% 18% 20% 28% 32% 出典：アイティメディア株式会社・シマンテック：電子メール環境とセキュリティに関するアンケート
スパム対策調査（管理者編）： 2008年4月調査結果
スパム受信比率は2004年9月（16％）→2005年9月（18％）→2006年4月（20％）
→2007年3月（28％）→ 2008年3月（32％）と、年々上昇 アンチスパム技術
アンチスパムに求められるもの • スパム検知率 – 業務に不要なスパムメールを排除するために、より
高い検知率が求められる • 誤検知率 – 誤検知(False Positive)：正常なメールを誤ってスパ
ムメールと判定する事 • ビジネスへ影響 • システム管理者にとって、避けなければならない課題 – 誤検知”0(ゼロ)”が理想
スパム検知率と誤検知率はトレードオフの関係、
両立は困難
スパム対策に有効なフィルタの種類とその特性
他社
ポリシー、設
定変更などで
運用が大変
ユーザ
管理者
依存型
人的管理の元に
フィルタを決定
導入後
の運用
コスト
運用管理が
非常に簡単
学習機能を使用し、ユーザがスパムを
判定することが可能
カスタムフィルタ
ユーザが自由にカスタマイズを行う方法
ヒューリスティックフィルタ
メーカー
依存型
スパム収集機関
などにフィルタを
委託する方法
ユーザ運用に
左右される
ベイジアンフィルタ
メッセージの構造パターンにより判定を行う URLフィルタ
URL フィルタ
テキスト
フィルタ
形式
特定の単語、
文字列を
スパムと認識
する方法
誤検知率
メール本文に記述されたURLの正当性を
元に判定を行う
シグネチャ
既知のスパム情報を元に、シグネチャを
作成し、コンテンツを比較
Symantec Brightmail シグネチャ
形式
ほぼ一定
で少ない
Symantec Brightmail AntiSpam Engine Symantec Brightmail Antispam Engine IPレピュテーション • スパム送信元 (Zombie, Suspected) • 安全な送信元 シグネチャ • 本文ハッシュ • 本文ファジーシグネチャ • 添付ファイルシグネチャ
URL フィルタ • 詐欺 URL • Mail URL • HTTP URL • アダルト URL ヒューリスティック • ヘッダー分析 • 言語分析 • コンテンツ分析 • 構造分析 • イメージ分析
許可とブロックリスト • 個人用の許可とブロックリスト • 個人用の言語フィルタ • 管理者が定義した
許可とブロック送信者リスト
Symantec 管理
カスタマー管理 (オプション) • 97% 以上のスパム検知率 • 99.9999% 以上の高い精度
• 正当な電子メールの誤検知は 100 100 万通のうち
万通のうち1 1 通以下
通以下の割合
送信者レピュテーション • 送信されるメールがスパムかどうかを送信者の評価状況に
応じて判断する方法 – IPアドレス （一般的） – 送信者認証 • 評価状況に応じた対応の種類 – 悪い送信者：常に拒否 – 時々スパムを送る送信者：通信を制限 – 良い送信者：常に受け入れる – 不明/新規の送信者：評価を行う • レピュテーションの種類には、メーカーなどの外部の情報を
参照するグローバルレピュテーション
グローバルレピュテーションとスパム対策製品自
身が学習するローカルレピュテーション
ローカルレピュテーションがあります。
DNSBLを使ったIPレピュテーションの問題点 DNSBL Site A •スパムメールとは無関係のIPアドレスが巻き添え
になっているケースが無視できないほど多い •本来手元に届くべきメールが届かないという現象
が少なくない •DNSBLからの削除を申請しても、時間を要したり、
対応されないことも
DNSBL Site B DNSBL Site C 他社製品のIPブロック手法 DNSBL に登録 スパム送信元として判断 通常メール送信
巻き添えとなった送信元
DNSBLサーバ
拒否
DNSBL Site A ◎ DNSBL Site B ◎ DNSBL Site C DNSBL Site D 隔離
タグ
オフ ◎ ◎
DNSBL（DNSブラックリスト）機能 シマンテックは外部の機関に頼らない
信頼性の高い独自のIP 信頼性の高い独自の
IPレピュテーション情報を提供
レピュテーション情報を提供
Brightmailの圧倒的な検知精度
検知精度について • アンチスパムメーカー各社の宣伝文句やデータはテストの
条件が異なり信憑性に疑問をお持ちでは？ – 『スパム検知率xx%以上』 – 『誤検知はほぼゼロ！』 • では第三者機関の評価はどのようになっているのか？ – InfoWorld – ソースポッド
InfoWorldによるテスト結果 • 2008年4月の記事 – For the third year in a row, Symantec Mail Security (v7.5) is the best overall performer in my tests. 出典： http://www.infoworld.com/article/08/04/09/15TC­mail­security_1.html
InfoWorld アワード4年連続受賞
Symantec Brightmail ™ Gateway appliances (formerly Mail Security 8300) deliver effective and accurate antispam and antivirus protection, advanced content filtering, and data loss prevention to protect email and IM against inbound and outbound threats. ソースポッドによるスパム検知率、誤検知数データ
ポイント１
安定した検知率を維持
ポイント２
誤検知数が最も少ない
出典：2008 年10月株式会社ソースポッドSTIL性能比較レポート
スパムメール解析機関
Symantec グローバル インテリジェンス ネットワーク
脆弱性情報
データベース
脆弱性情報データベース +25,000 フラッド: スパム & フィッシング
プローブネットワーク +300万アカウント
ハニーポッド
ネットワーク
バーチャルネットワーク IP アドレス +8,000 +8,000 社の企業と +50,000種類のテクノロジ共有
1日あたり10億以上のemail メッセージの統計データを解析 最新の脅威やアタック手法を
収集し分析・解析 300人以上のセキュリティプロフェッショナル
1日あたり20億以上の
イベントログを収集
70ヶ国以上にセキュリティ
モニタリングデバイス 年間100,000以上の
セキュリティアラートを生成 200ヶ国以上にセンサーを +40,000のセンサーを配備 1日あたり200,000以上の
コードサンプルを生成
1億2千万件以上の脅威／
ウイルスサブミッション プローブネットワーク • 機能概要 – 分析のために大量のスパムを収集 – フィルタ生成のためにSSRにスパムを
提供 • 重要な理由 – リアルタイムなスパム攻撃など他の脅
威を早期に把握 – 送信者のグローバルレピュテーションを
追跡する最適なインフラストラクチャ • 独自性 – 特許により保護されている – 北米、欧州・中東・アフリカ、アジア太平
洋地域における ISP／企業を調査する
世界規模の情報収集 – 300 万以上のおとり電子メールアドレス
を持つ広範な守備範囲
インテリジェンス ネットワークを支える拠点
Gotheburg, Sweden
Aschheim, Germany
Wiesbaden, Germany
Reading,
Green
Park,
GBR
Calgary, Alberta, CA
Ratingen, Germany
Dublin, Ireland
Warsaw, Poland
Roseville, MN
Shannon, Ireland
Seattle, WA
Bloomfield Hills, MIToronto, CA
Zaltbommel, NLD
Springfield, OR Englewood, CO
Brussels, Belgium Milan, Italy
Newton/Waltham, MA
San Francisco, CA
Herndon, VA
Oak
Brook,
IL
Madrid,
Spain
Mountain View, CA Orem, UT
Alexandria, VA
Durham, NC
Cupertino, CA
Atlanta, Georgia
Dallas, TX
Santa Monica, CA
Riyadh, Saudi Arabia
Dubai, UAE
Heathrow, FL
San Luis Obispo, CA Houston, TX
Miami, FL
Culver City, CA Austin Texas
Mexico City, Mexico
Seoul, South Korea
Tokyo, Japan
Beijing, China
Chengdu, China Shanghai, China
Taipei, Taiwan
Mumbai, India
Hong Kong, China
Pune, India
Chennai, India
Singapore
Brisbane, Aus
Sao Paola, Brazil
Sydney, Aus
Sandton, South Africa
Buenos Aires, Argentina
Global Support Centers 29拠点 Security Research Centers 11拠点 Melbourne, Aus
MSS Security Operations Centers 4拠点
シマンテックセキュリティレスポンス
• 高い検知精度維持のために – Symantec Security Response Email Security Groupの存在 Symantec Security Response Email Security Group スパム対策稼働時間
24時間×365日 • セキュリティレスポンスへリソースを投入 – スパムの研究、フィルタの作成 • スパムの判定は人の目で行わなければ
ならないことも多い • フィルタの有効性と精度のモニタリング – プローブネットワークの管理 • Brightmailの実績 – 米国ISP12社中9社に導入 – 世界のメールボックスの25％をカバー 対応言語数
おとりメールボックス
12カ国語 300万以上
おとりを通じて収集する
スパムの数
数千万通/日 プローブネットワークが
展開する国数
20カ国以上
レスポンスセンター (AntiSpam)の所在地 サンフランシスコ
ダブリン
台北
プネー
スパムフィルタの配信
シマンテック製品のご紹介
Symantec Brightmail Gateway ファミリー
Symantec™ Brightmail™ Gateway ファミリー Symantec Brightmail 8300 Series (SB8300) / Symantec Brightmail Gateway Virtual Edition (SBGVE)は、信頼と実績のあるシマンテックのアンチウイルスと業界をリードする Brightmailのアンチスパムをはじめ、数々のセキュリティ機能を実装した統合型メッセージングセ
キュリティソリューションです。
メールファイアウォール、アンチスパム、インスタントメッセージングセキュリティ、アンチウイルス、コン
テンツコンプライアンスなどのセキュリティ機能を多層的に配置し、メールおよびインスタントメッセー
ジを媒介としたさまざまな攻撃からネットワークを保護するとともに、重要な情報の漏えい防止、ネット
ワークインフラに対する負担の低減を実現します。 Symantec Brightmail Gateway SB8340 SB8360 SB8380 SBGVE SB8300 とSBGVE SB8300と
SBGVEは共通の機能を
は共通の機能を
有しています。
“Brightmail Gateway”ファミリーとして統一 1. サブスクリプションライセンスはBrightmail Gatewayと
なり、SB8300とSBGVE共通です。 2. 弊社ホームページ内、製品紹介では、Brightmail Gatewayファミリーのページ内で両プラットホームをご
紹介しています。
Symantec Brightmail 8300シリーズの特徴 情報セキュリティの分野をリードする Symantec Brightmail AntiSpam テクノロジをベースとし、
ウイルス対策、スパム対策、メールコンテンツ監視などを統合したプライアンスです。
ユーザ数
5,000
SB8380
1,000
10
SB8360 SB8340 パフォーマンス パフォーマンス
• • • • • MTA機能を搭載したメールアプライアンス スパムシグネチャ/ウイルス定義ファイルを自動的にアップデート可能 スパム判定精度が高く、誤検知率（False Positive）も極めて低い
（誤検知率: 100 （誤検知率
: 100万分の
万分の1 1）） メールシステム規模に合わせて、3タイプのモデルを用意 容易な管理（WEBブラウザを使用したGUI）
Symantec Brightmail 8300 Series
8340 8360 8380 ￥400,000 ￥1,000,000 ￥1,800,000 1U ラックハイト 1U ラックハイト 2U ラックハイト
Core 2 Duo E4500 x1 Xeon 51302GHz x2 Quad Core Xeon E5420 x2 4GB 4GB 8GB 160GB x2 / SATA (RAID1) 146GB×2 (RAID1) 300GB×6 (RAID10) 10/100/1000×2 10/100/1000×2 10/100/1000×2 P
P
P
Single Dual Dual 42.7H x447.0W x546.1D (mm) 48.3W ×4.3H ×78.3D(cm) 86.4H x482.6W x744.3D (mm) モデル
本体価格
シャーシサイズ プロセッサ メモリ HDD/ RAID タイプ NIC CD/DVD­ROM 電源 サイズ * SB8340, SB8360, SB8380アプライアンスはRoHS指令に適合しています。
Symantec Brightmail Gateway Virtual Edition +
• 動的なリソースの割り当て • • Hypervisor • コスト削減 • • • • • ­ ユーザーライセンスSKU ­ 別途メディアパックを提供（ダウンロードでも入手可）
＜システム要件＞ •VMWare ESX Server v3.x （正式サポート） •VMWare Server 1.0.4 （テスト・デモ環境のみ使用可能：サポート対象外）
複数サーバの冗長化により、コスト削減を実現するHA構成が
可能 障害復旧の際、容易にリストアが可能 ゼロダウンタイム メンテナンス • • • ハードウェア資産の有効活用 消費電力の削減（グリーンIT） 容易なバックアップと災害復旧 • • 本番環境配備のためにVMware上での稼動を認定 • SB8300と同ライセンス同価格にて提供 拡大するメッセージング環境に対し投資を包括 季節的なボリュームの変化や定期的なスパム量の変化にすば
やく対応 ハードウェアメンテナンスの際、ソフトウェアメンテナンスのタス
クと切り離して実施することが可能 新バージョンを導入前に検証 自由なハードウェア選択 • • OEMモデルで提供しているSB8300アプライアンス以外のハー
ドウェアの選択が可能 統一したハードウェアの使用が可能
Symantec Mail Security 8100 シリーズ
Symantec Mail Security 8160はTCPのプロトコルレベルでトラフィックを絞り込み、
ネットワークの境界でスパムが企業ネットワークに侵入する前に阻止するため、電子
メールインフラコストとストレージ容量の削減を実現します。
• スパム対策に特化したメールアプライアンス • TCPトラフィックシェーピングテクノロジを利用
したアンチスパム製品 • ネットワークレイヤーのレベルにてトラフィック
をコントロール • 最大80% のスパムを削減 • 容易な管理（WEBブラウザを使用したGUI管
理） トラフィックシェーピングの動作概要
通常の送信者
混在環境
スパマー
スパムメールは
一切送信しない
コネクションの制限なし
一部スパムメールを送信
最大同時コネクション数：４
帯域制御：中
大量のスパムメールを送信
最大同時コネクション数：１
帯域制御：高
トラフィックシェーピング
•スパムメールボリュームを削減 •効率の良いフィルタリング 社内メールサーバ •管理者の負担軽減 •インフラコスト削減
保護されるネットワーク
Symantec Brightmail Message Filter
• Symantec Brightmail Message Filterとは – Symantec Brightmail Message Filterは、ISPなどのキャリアクラ
スの事業者規模にも対応した高い処理機能を有するメールに特
化したセキュリティ製品です。 – 多階層のフィルタ構造で、高い検知精度を実現しています。 • SBMFの特徴 – 高い検出機能 • 高頻度のアップデートで最新のセキュリティを提供 – 処理の高速性 • エンジンのみで動作する高速フィルタエンジン – 複合的なセキュリティ機能 • アンチスパムとアンチウイルスフィルタを併用可能
•キャンペーン内容
キャンペーン適用対象製品からSymantec Brightmail 8300 シリーズへ乗り換えのお客様にソフトウェアライセンスを通常
価格の50% OFF のキャンペーン価格でご提供 乗換キャンペーンサイト
*ハードウェアアプライアンス費用、１年間の保守費用が
別途必要となります。 •キャンペーン適用対象 1. 他社のゲートウェイアンチスパム/ アンチウイルスの
アプライアンス及びソフトウェアをご使用のお客様 2. 現在、Symantec Mail Security for SMTP を
ご使用のお客様 •乗り換え先対象製品 •Symantec Brightmail 8340 •Symantec Brightmail 8360 •Symantec Brightmail 8380 •対象ライセンスプログラム
シマンテックライセンスプログラム 2009年3月末日まで www.symantec.com/jp/sb8300 ありがとうございました。 Symantec and Symantec Vision are registered trademarks of Symantec in the U.S. and in other countries. The other company names or products mentioned are or may be trademarks of their respective owners.
APPENDIX
• スパムレポート （日本語） – http://www.symantec.com/ja/jp/business/theme.jsp?themei d=state_of_spam ※翻訳の関係により英語版よりリリースに時間がかかります。 • State of Spam Report （英語） – http://www.symantec.com/business/theme.jsp?themeid=st ate_of_spam
• セキュリティレスポンススパムブログ （英語） – https://forums.symantec.com/syment/blog?blog.id=spam • インターネットセキュリティ脅威レポート （日本語） – http://www.symantec.com/ja/jp/business/theme.jsp?themei d=threatreport