ここから本文です

動く標的を追いかけて――「Spamhaus」約20年の歩み

9/11(火) 5:05配信

@IT

 長年にわたってスパムメールの送信元IPアドレスや悪意あるドメイン名をリスト化して提供し、ブロックやフィルタリングに活用できるよう支援してきたのがSpamhausプロジェクトだ。セキュリティ業界で「脅威インテリジェンス」の重要性が認識されるようになる前から、ほぼ20年にわたってコミュニティーに情報を提供し続け、脅威の変化に伴って、その取り組みを拡大させてきた。

 メールソリューション企業のTwoFiveが2018年7月19日に開催したイベント、「TwoFive Voyage」に合わせて来日したSpamhausプロジェクトのCIO(最高情報責任者)、Emanuele Balla氏とチーフデータサイエンティストのCarel van Straten氏に、同プロジェクトの歩みと狙いを聞いた。

 Spamhausプロジェクトと聞くと、いわゆる「RBL」(Realtime Black List)のイメージが強いかもしれない。故意、あるいは過失でスパムやウイルスメールの発信元となったIPアドレスの情報をリスト化したもので、通信事業者やセキュリティ企業に提供されてきた。2008年からはIPアドレスだけではなく「ドメイン名」にも対象を拡大。スパム送信だけではなくbotやそれを操るC&Cサーバ、マルウェア配布に利用されるドメインをリスト化して提供する他、マルウェア解析などにも手を広げているという。

 現在Spamhausでは1日当たり18億件に上るSMTP接続を解析する他、約300万のドメインについてレピュテーションを評価して「DBL」(Domain Block List)として提供している。さらに、新規に登録されるドメインに特化した「ZRD」(ゼロデイリスト)というデータセットも用意している。なぜなら、「新規に登録されたドメイン、未知のドメインは、高い確率で悪意ある行動に用いられる」(Straten氏)からだ。

 また面白い取り組みとして、特定のIPアドレスにひも付いているドメイン名やインフラのデータセットを収集し、提供する「Passive DNS」も公開した。いわば、DNSの逆引き的なサービスと表現できるだろう。もともとはSpamhausの内部調査用に構築してきたデータセットで、WebインタフェースやAPIを介して利用可能だという。

1/3ページ

最終更新:9/11(火) 5:05
@IT