Cisco Eメールセキュリティ:Context Adaptive Scanning Engine(CASE)について
はじめに
混合型の脅威の数は劇的に増加しています。過去2年間で最も重大なウイルスの発生の多くは、スパムの配信に関連しています。つまり、ウイルスのペイロードは、スパム、フィッシング、スパイウェア、さらに多くのウイルスを送信するために使用される「ゾンビ」コンピュータの軍隊を作成します。Eメールを介したスパイウェアは6ヵ月ごとに倍増しており、スパミングされたURLがユーザ名とパスワードを盗む「キーロガー」をインストールすることは珍しくありません。ウイルスを使用して、ゾンビのネットワークを作成し、大規模な分散型サービス拒否攻撃を仕掛けることもできます。たとえば、Mydoom.Bバリアントが組織的な攻撃でSCOのWebサイトをオフラインにした場合などです。
複合型脅威の急増を引き起こしているのは何か?要するに、これはお金だ。第1世代のアンチスパム技術(ブラックリストやコンテンツフィルタなど)がより広く導入されるようになると、従来の方法(メッセージのテキストに「オファー」を含む固定されたサーババンクからスパムを送信するなど)では利益が得られなくなります。アンチスパムテクノロジーを使用するネットワークが増えると、スパムフィルタを通過して受信者の受信トレイに入る「単純な」スパムメッセージが減少します。これにより、スパマーの利益率が損なわれ、こうした変化に対応せざるを得なくなっています。
スパマーは、この状況を2つの異なる方法で処理しました。
- さらに多くのスパムを送信していますが、配信率の低下によってボリュームが大きくなるという期待を抱いています。
- 彼らは、メッセージを偽装し、メッセージあたりの利益を増やすために、混合型攻撃に目を向けています。
2つ目のテクニックは、犯罪行為になることが多いです。組織犯罪ネットワークは、攻撃を実行し、ウイルス、フィッシング、およびその他の脅威から利益を得るために確立されました。2004年、ジョン・ドーバーという人物が、フィッシング攻撃で盗まれた200万以上のクレジットカード番号を取引した末に逮捕された。
混合型攻撃で使用される手法も、ますます高度化しています。Sober.Nウイルスは、電子メール、Webダウンロード、トロイの木馬、およびゾンビを使用しました。従来のコンテンツ分析フィルタでは、このようなインテリジェントな脅威に対応できません。第一世代のアンチスパムフィルタを使用する多くのユーザは、フィルタの「トレーニング」に多くの時間を費やすか、新しいルールを作成する必要があることに気付きました。しかし、このような努力にもかかわらず、捕捉率とスループットはどちらも低下しています。その結果、負荷に対応するためにより多くのシステムを使用する必要が生じ、各システムの管理により多くの管理時間を費やすため、コストが増大します。
Cisco Eメールセキュリティは、Context Adaptive Scanning Engine(CASE)と呼ばれる独自の混合型脅威防御テクノロジーを使用して、これらの脅威に対処しています。 Cisco EメールセキュリティのCASEテクノロジーは、従来のスパム攻撃と高度なゾンビベースの攻撃の両方を阻止するために使用されます。この同じスキャンテクノロジーを使用して、シグニチャのアベイラビリティの42時間前までのウイルスやマルウェアの侵入を1回の統合スキャンで防ぎ、効率を向上させます。
CASEの理解、コンテキスト内の複合型脅威の検出
第1世代のフィルタは、メッセージの内容を調べて判断するように設計されています。例えば、「無料」という言葉が「ハーブ」という言葉と一緒に2回以上表示された場合、それはスパムでした。この方法は、スパマーが「for you」の代わりに「f0r y0u」などの文字の代わりに隠し文字や数字を使用して敗北するのは比較的簡単です。 ベイジアンフィルタなどの第2世代の手法は、スパムと正当な電子メールの特性を自動的に区別することを学習することで、この制限に対処しようとしました。しかし、これらの手法はトレーニングが難しすぎ、反応が遅すぎ、スキャンが遅すぎることが判明しました。
今日のスパムで使用される高度な難読化技術を考えると、最先端のフィルタは受信メールを完全なコンテキストで検査する必要があります。CASEは、メッセージの正当性を評価する人間が使用するロジックをエミュレートする高度な機械学習テクニックを使用します。Cisco EメールセキュリティのCASEテクノロジーを理解している人は、次の4つの基本的な質問をします。
- 誰が私にメッセージを送ってくれたのですか。
- メッセージ内のリンクの位置
- メッセージはどのように作成されましたか。
- メッセージには何が含まれていますか。
次に、評価される各論理領域の調査を行います。
Who?
前述のとおり、第一世代のスパムフィルタは、主にキーワード検索に依存してスパムを特定していました。2003年、シスコ(IronPort)はレピュテーションフィルタリングの概念を導入して、Eメールセキュリティ業界に革命をもたらしました。コンテンツフィルタリングでは「メッセージの内容」という質問をしますが、レピュテーションフィルタリングでは「メッセージの送信者」という質問をします。このシンプルでありながら強力な概念により、脅威を評価するコンテキストが広がりました。2005年までに、ほぼすべての主要な商用セキュリティベンダーが、ある種のレピュテーションシステムを採用しました。
レピュテーションの決定には、特定の送信者(送信者はメールを送信するIPアドレスとして定義される)の動作に関する幅広いデータセットの調査が含まれます。 シスコでは、時間の経過に伴うEメールの量、このIPがヒットする「スパムトラップ」の数、発生国、ホストが侵害されたかどうか、その他多数のパラメータを含め、120以上のさまざまなパラメータを検討しています。シスコには、アルゴリズムを開発および維持する統計学者のチームがあり、このチームはこのデータを処理してレピュテーションスコアを生成します。このレピュテーションスコアは、受信側のCisco Eメールセキュリティアプライアンス(ESA)で利用できるようになり、信頼に基づいて送信者を絞り込むことができます。簡単に言うと、送信者が現れる「スパム」が多いほど、それが遅くなります。また、レピュテーションフィルタリングは、メッセージが受け入れられる前に接続を拒否または抑制することで、急増する電子メールの量に関連する問題に対処します。これにより、メールシステムのパフォーマンスと可用性が大幅に向上します。Cisco ESAレピュテーションフィルタは、80 %を超える着信スパムを阻止し、競合システムの捕捉率の約2倍を達成します。
場所
2003年にはEメールコンテンツの分析とレピュテーションの組み合わせが最先端でしたが、スパマーとウイルス作成者の戦術の高度化が進み続けています。これに対応して、シスコ(IronPort)はWebレピュテーションの概念を紹介しました。これは、メッセージが評価されるコンテキストを拡大する重要な新しいベクトルです。電子メールのレピュテーションの計算に使用されるアプローチと同様に、Cisco Webレピュテーションは45を超えるサーバ関連パラメータを参照して、任意のURLのレピュテーションを評価します。パラメータには、時間の経過に伴うURLに対するHTTP要求の量、レピュテーションスコアの低いIPアドレスでURLがホストされているかどうか、このURLが既知の「ゾンビ」または感染したPCホストに関連付けられているかどうか、およびURLによって使用されるドメインの経過時間が含まれます。Eメールレピュテーションと同様に、このWebレピュテーションも詳細なスコアを使用して測定されるため、システムは高度な脅威のあいまいな部分に対処できます。
どうやって?
Cisco Eメールセキュリティのコンテキスト分析のもう1つの新しいアプローチは、メッセージの構造を調べることです。Microsoft Outlookなどの正当なメールクライアントは、MIMEエンコーディング、HTML、または他の同様の手段を使用して、独自の方法でメッセージを構築します。メッセージの構造を調べると、その正当性について多くのことを明らかにすることができます。この最も顕著な例は、スパムサーバが正当なメールクライアントの構造をエミュレートしようとしたときに発生します。これは困難であり、不完全なエミュレーションは不正なメッセージの信頼できるインジケータです。
処理内容
完全なコンテキスト分析ではメッセージの内容を考慮する必要がありますが、前述したように、コンテンツ分析だけでは不正なメールを特定するのに十分なアプローチではありません。Cisco EメールセキュリティのCASEテクノロジーは、最先端の機械学習テクニックを使用して、完全なコンテンツ分析を実行します。これらの手法では、メッセージの内容を調査し、さまざまなカテゴリでスコアを付けます。金融の内容ですか、ポルノの内容ですか、それとも他のスパムと相関することが知られている内容が含まれていますか。このコンテンツ分析は、他の属性(誰が、どこで、どのように、何を)とともにCASEに組み込まれ、メッセージのコンテキスト全体を評価します。
事例
CASEによって分析されるデータは幅広いため、このテクノロジーはIronPort Anti-Spam(IPAS)、Graymail、Virus Outbreak Filters(VOF)などのさまざまなセキュリティアプリケーションで使用されています。 次の例は、CASEを使用してスパムを阻止する方法を示しています。メッセージの内容は、フィッシングを受けた組織とほぼ同じであるため、メッセージの内容分析では脅威を特定できません。コンテンツベースのフィルタにとっては、このメッセージは正当な通信であるように見えます。このメッセージがスパムであるかどうかを判断するために、主に「何を」に依存するフィルタは、メッセージを正当なものとして認識するように簡単に誘導される可能性があります。ただし、メッセージの完全なコンテキストの分析は別の絵を描きます。
- 送信元のメールサーバのIPアドレスが疑わしい。急増した量に対して、ドメインはメールを受け入れない。
- 電子メールのURLは、コンシューマ向けブロードバンドネットワークに存在すると思われるサーバを指しています。
- メッセージでアドバタイズされるURLは、ユーザがリンクをクリックしたときに移動する「実際の」URLとは異なります。
これら3つの要因すべてをコンテキストで考慮すると、これが正当なメッセージではなく、実際にはスパム攻撃であることが明らかになります。
|
従来の「コンテンツフィルタ」 コンテンツフィルタの検索 |
コンテキスト適応型スキャン ケースの検出 |
|
処理内容 メッセージの内容は正当なものです。 |
処理内容メッセージの内容は正当なものです。 |
|
どうやって?メッセージ構造は、Microsoft Outlookクライアントをエミュレートします。 |
|
Who? 1)急にメールの送信量が増加する。 2)その代わりに、メールサーバはメールを受け入れません。 3)ウクライナにあるメールサーバ。 |
|
|
場所 1)1日前に登録されたディスプレイとターゲットURL Webサイトドメインの不一致。 2)コンシューマブロードバンドネットワークでホストされているWebサイト。 3) 「Whois」データは、既知のスパマーとしてドメイン所有者を示します。 |
|
| 判定:不明 |
判定:ブロック |
Virus Outbreak FiltersでCASEを使用すると、個別に調整されたデータセットにもかかわらず、同じスコアリングおよび機械学習の機能が適用されます。Virus Outbreak Filtersは、シスコが提供するCASEテクノロジーを活用した予防的なアンチウイルスソリューションです。アウトブレイクフィルタソリューションは、「リアルタイム」のアウトブレイクルール(Cisco Talos固有のアウトブレイクによって発行)と「常時接続」の適応型ルール(常にケースに存在)の両方に対してメッセージをスキャンし、完全に形成される前にアウトブレイクからユーザを保護します。CASEを使用すると、Virus Outbreak Filtersはいくつかの方法でウイルスの発生を正確に検出して保護できます。まず、CASEは添付ファイルの拡張子、ファイルサイズ、ファイル名、ファイル名キーワード、ファイルマジック(実際のファイル拡張子)、埋め込みURLなどのパラメータに基づいてメッセージをすばやくスキャンできます。CASEテクノロジーはメッセージをこの詳細レベルで分析するため、Cisco Talosは非常にきめ細かいアウトブレイクルールを発行して、最小限の誤検出でアウトブレイクから正確に保護できます。CASEは更新されたアウトブレイクルールを動的に受信できるため、最新のアウトブレイクから確実に保護されます。
アウトブレイクルールに基づくメッセージの分析に加えて、CASEテクノロジーは適応ルールに基づいてメッセージもスキャンします。適応型ルールは、着信メッセージにウイルスを示す奇形やスプーフィングの特性がないかどうかを検査する、細かく調整されたヒューリスティックおよびアルゴリズムです。これらのパラメータに加えて、Adaptive RulesはSenderBase Virus Score(SBVS)に基づいてメッセージをスコアリングします。 SBVSはSenderBase Reputation Score(SBRS)に似たスコアですが、送信者がスパムではなくウイルスメールを送信している可能性に基づいてランキングされます。ウイルスEメールの大部分は、以前に感染した「ゾンビ」マシンから送信されるため、これらの送信者を特定してスコアを付けることは、ウイルスを捕まえるための重要な要素です。
Cisco EメールセキュリティのCASEテクノロジーでは、CASEが複数の方法でメッセージを検査するため、ウイルス発生フィルタを使用して、従来のアンチウイルスソリューションよりも早くウイルスの発生を阻止できます。メッセージの添付ファイル、メッセージの内容、メッセージの構造に関するさまざまな特性を分析する機能と、送信者のレピュテーションに基づいてメッセージを分析する機能を備えています。また、CASEはIronPortスパム対策およびレピュテーションフィルタエンジンとしても機能するため、メッセージのスキャンは、これらすべてのアプリケーションに対して1回で済みます。
高パフォーマンス、低コスト
CASEテクノロジーの背後にあるロジックは非常に高度であるため、CPUに大きな負荷がかかります。効率性を最大限に高めるため、CASEは独自の「早期退場」テクノロジーを使用しています。Early exitは、CASEによって処理される無数のルールの有効性に優先順位を付けます。CASEテクノロジーは、影響が最も大きく、コストが最も低いルールを最初に実行します。統計の判定に達した場合(プラスかマイナスか)、追加のルールは実行されず、システムリソースが節約されます。このアプローチの優雅さは、各ルールの有効性をよく理解しています。CASEは、有効性の変化に応じてルールの実行順序を自動的に監視して適応させます。
早期終了の結果、CASEテクノロジーは、従来のルールベースのフィルタよりも約100 %高速にメッセージを処理します。これは、大規模なISPや企業にとって明らかな利点があります。また、中小規模の企業にもメリットがあります。CASEの効率とCisco EメールセキュリティのAsyncOSオペレーティングシステムの効率を組み合わせると、AsyncOSとCASEテクノロジーを搭載したESAを非常に低コストのハードウェアに実装でき、導入コストを削減できます。
CASEテクノロジーを低コストに変換するもう1つの方法は、管理オーバーヘッドを排除することです。CASEは毎日数千回にわたって自動的に調整および更新されます。Cisco Talosは、トレーニングを受けたエンジニア、多言語の技術者、および統計学者を提供します。Cisco Talosのアナリストは、Cisco Eメールセキュリティのお客様のネットワークで検出されたメールフローの異常、またはグローバルなEメールトラフィックパターンを強調表示する特別なツールを使用できます。Cisco Talosは、システムにリアルタイムで自動的にプッシュされる新しいルールを生成します。また、Cisco Talosは「スパムとハム」の巨大な集合体を維持しており、これはCASEで使用されるさまざまなルールのトレーニングに使用されます。CASEルールが自動的に更新されるため、管理者はフィルタを調整および調整する必要も、スパム検疫の調査に時間を費やす必要もありません。
要約
スパム、ウイルス、マルウェア、スパイウェア、DoS攻撃、ディレクトリハーベスト攻撃はすべて、同じ潜在的な動機である利益によって引き起こされます。これらの利益は、商品の販売または広告、または情報の盗難のいずれかによって達成されます。このような販売による利益は、プロフェッショナルエンジニアによって開発された、ますます高度な攻撃を促進しています。高度なEメールセキュリティシステムでは、これらの脅威に対処するために、可能な限り幅広いコンテキストでメッセージを分析する必要があります。Cisco EメールセキュリティのContext Adaptive Scanning Engineテクノロジーでは、4つの基本的な質問を行います。つまり、「誰が、どこで、何を、どのように」です。このようにして、混合した脅威から正当なメッセージを除外します。
- 「Who」は、メッセージを送信した送信者の電子メールレピュテーションです。
- 「Where」は、Webサイトをホストしているソースのレピュテーションです。リンクの場所を分析します。
- 「何を」は、メッセージの内容、つまりメッセージに含まれる内容の分析です(第1世代のシステムは、多くの場合、「何を」分析タイプのみに依存します)。
- 最後に、「どのように」はメッセージがどのように構成されているかを分析します。
この「誰が、どこで、何を、どのように」を分析する基本的なフレームワークは、ウイルスの発生、フィッシング攻撃、Eメールを介したスパイウェア、その他のEメールの脅威の防止と同様に、スパムの阻止にも適しています。データセットと分析ルールセットは、各脅威に合わせて調整されます。CASEテクノロジーにより、Cisco ESAは単一の高性能エンジンでこれらの脅威を処理することで、最も幅広い範囲の脅威を可能な限り高い効率で阻止できます。
フィードバック