ラック コンピュータセキュリティ研究所 小笠原 恒雄

 セキュリティソフトは、パターンマッチングやヒューリスティックといった検知方法でウイルスを検出する。一方で、ウイルスを作り出す攻撃者は様々な技術を駆使して、セキュリティソフトによる検出を回避しようとする。そのためセキュリティ・ソフト・ベンダーは、セキュリティソフトのウイルスの検出率を高めるために、定義ファイルの更新頻度を上げたり、検出漏れを防ぐために定義ファイルに入れるパターンの数を増やしたり、パッカー*1を利用したファイルの復号機能を追加したりしてきた。

 ところが、このようなセキュリティ・ソフト・ベンダーによる対策は、(1)定義ファイルの肥大化、(2)ネットワーク負荷の増大、(3)検知時のコンピュータの速度低下といった、ユーザーの利便性を低下させる問題を引き起こした。そこで、セキュリティ・ソフト・ベンダーは別の方法でウイルスの感染被害を低減しようと考えた。これが、「Webレピュテーション」である。

 今回と次回の2回に分けてWebレピュテーションを解説する。今回は、レピュテーションの概要とWebレピュテーションを利用するようになった背景、同じような機能として知られる「URLフィルタリング」との違いについて触れる。Webレピュテーションを実現するための技術は、次回説明する。

スパムメール対策で実績

 レピュテーション(reputation)は、日本語で評価、評判といった意味を持つ。セキュリティの世界では、スコアリングや総合判定といった意味で使われることが多い。対象を「クロ」「シロ」と判定するのでなく、「怪しさ:60点」といった評価をする技術である。その評価を見て、どのようなアクションを起こすのかはユーザーが決めることになっている。

 レピュテーション技術を利用するセキュリティ機能として知られているのが、スパムメール対策である。スパムメール対策は、スパムと呼ばれるユーザーにとって不必要なメールと、そうではない正規のメールを振り分ける機能である。この振り分けの判定に、レピュテーションによる評価が利用される。

 スパムメール対策では、受信メールに含まれる送信元のメールアドレスやメッセージ本文の内容、送信元サーバー、経路情報といったそれぞれの情報から評価を行う(図1)。そしてその評価から、あらかじめユーザーが設定した「スパムメールと判断するライン」というしきい値を超えたメールをスパムメール、超えないメールを正規のメールと判定する。スパムメールと判定したメールを隔離フォルダーやゴミ箱に転送し、正規と判定したメールをメールソフトの受信トレイに転送する。

図1●スパムメール対策のコア技術として使われるレピュテーション
図1●スパムメール対策のコア技術として使われるレピュテーション
スパムメール対策機能は、メールに含まれる情報からスパムメールか否かを判断する。レピュテーションのほかに、受け取りを拒否するアドレスなどを指定するブラックリストや、逆に許可するホワイトリストなども使われる。

 このレピュテーションを使ったスパムメール対策では、スパムメールが受信トレイに転送される場合があるし、正規のメールが隔離フォルダーやゴミ箱に入ってしまうこともある。これはレピュテーションによる評価が、あくまで可能性の高低を示すだけであって、“絶対”ではないからだ。ただレピュテーションを利用した機能の多くは、判定に直結するしきい値をユーザーが設定したり、調整したりできるようになっている。しきい値を低くすればスパムメールが受信トレイに入りにくくなるが、正規のメールが隔離されたり、削除されたりする危険性が高まる。高く設定すれば、その逆のことが起こる。このように、ユーザーが環境に合わせてしきい値を調整できるのがレピュテーションの特徴といえる。

 現在、レピュテーションはスパムメール対策のコア技術になっている。十分な実績があり、有効性も認められている。セキュリティ・ソフト・ベンダーがこの技術をウイルス対策に活用しようとしたのが「Webレピュテーション」である。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら