FortiGuard Center

技術概要

フォーティネットは、包括的かつ多層的な戦術に基づき、数種類のフィルタリング手法を駆使して、スパムメール(以下、スパム)の検知とフィルタリングを行っています。

  1. グローバルフィルタ。FortiGuardアンチスパムサービスは、FortiGuard配信ネットワークを通じて、2つのデータベースを提供します。その名称はFortiIPとFortiSigで、これを総称してグローバルフィルタと呼びます。FortiIPは発信者IPアドレスの信用評価のデータベース、FortiSigはスパムシグニチャのデータベースです。このグローバルフィルタは絶えず更新され、フォーティネットのFortiGate、 FortiClient、FortiMailの各製品で、インターネットで広く蔓延しているスパムを検知し、フィルタリングすることができます。

  2. カスタムフィルタ。カスタマイズされたさまざまなスパムフィルタで、フォーティネットのFortiGate、FortiClient、FortiMail上で稼働するアンチスパムソリューションを補完する目的で用意されます。カスタムフィルタの種類は多様で、各種の禁止用語フィルタ、ローカルのホワイトリストとブラックリスト、ヒューリスティックなルールなどに加え、FortiMailにおけるベイジアン学習のような極めて高度な手法まで含まれます。詳しくは、それぞれの製品情報をご覧ください。

  3. 専任サービスチーム。フォーティネットのアンチスパムソリューションをより良いものにし、クラス最高のアンチスパムサービスをお客様に提供するために設けられた、エンジニアとアナリストからなる専任のサービスチームです。このチームは24時間体制で誤検知報告などの問題に対応し、これを解決します。さらに、最新のスパム手法を監視して分析すること、FortiIPおよびFortiSigデータベースを絶え間なく更新すること、新しいスパムフィルタを研究して設計すること、などの業務に専念しています。

FortiGuardアンチスパムサービスのフィルタの一部として、FortiIPとFortiSigという2つのデータベースがあります。FortiIPは発信者IPアドレスの信用評価のデータベースです。FortiSigはスパムシグニチャのデータベースで、FortiSig1、FortiSig2、FortiSig3という3種類のシグニチャで構成されます。

  • FortiIP ― 発信者IPアドレスの信用評価のデータベース。
    今日、スパムの大部分は、正しく設定されていない送信元やウイルスに感染した送信元から発信されています。FortiGuardアンチスパムサービスでは、グローバルなIPアドレス信用評価データベースを維持管理しています。個々のIPアドレスの信用評価は、さまざまな情報源から収集された当該IPアドレスに関する数十項目におよぶ属性をもとに決定され、提供されます。IPアドレスの属性としては、whois情報、地理的な位置情報、利用されたISP、オープンリレーホストあるいは乗っ取られているホストか否か、などがあります。信用評価を維持管理するのに使われる重要な属性の1つに当該IPアドレスから発 信されるEメールの数量があり、これはフォーティネットのFortiGuardサービスネットワークで捕捉されます。FortiGuardアンチスパムサービスは、発信者の最近のEメール発信数を記録された過去のパターンと比較することにより、IPアドレスごとの信用評価をリアルタイムに更新し、実効性の高い発信者IPアドレスフィルタを提供します。
  • FortiSig1 ― スパムが誘導するURL
    スパムの約90%はEメール本文に1つ以上のURLを含みます。このURLのリンク先はスパマー(スパム発信者)のウェブサイトで、そこではスパマーの製品やサービスを宣伝しています。フィッシング詐欺を目的とするスパムでは、リンク先は銀行などの金融機関のウェブサイトに見せかけた偽のウェブサイトで、個人的な財務情報を略取しようとします。FortiGuardアンチスパムサービスは、フォーティネットのグローバルなスパム捕捉ネットワークを通じ、あるいはお客様やパートナー企業からの報告により、スパムのサンプルを収集します。このサンプルから問題のURLが抽出され、フォーティネットの厳格なQAプロセスを経て、FortiSigデータベースに追加されます。その後、このURLは継続的なエージングプロセスの管理下に置かれ、使われなくなったURLは速やかに削除されます。
  • FortiSig2 ― スパムが誘導するEメールアドレス
    スパムが誘導するURLの場合と同様に、大量のスパムがEメール本文中にスパマーへの連絡を促すEメールアドレスを含みます。このようなスパムが誘導するEメールアドレスをスパムのサンプルから抽出することにより、スパムを識別しフィルタリングするためのシグニチャとして、もうひとつの強力なグローバルフィルタとすることができます。
  • FortiSig3 ― スパムのオブジェクトのチェックサム
    FortiOS 3.0のリリースに合わせて、FortiGuardアンチスパムサービスは新たにもうひとつのグローバルフィルタをリリースしています。 FortiSig3と呼ばれるこのフィルタの目的は、FortiSig1やFortiSig2のシグニチャを含まないため検知困難だったスパムに対抗することです。フォーティネット独自のアルゴリズムにより、スパムに含まれるオブジェクト(複数)が識別され、これらのオブジェクトからファジーなチェックサムが計算されます。オブジェクトになり得るのはEメール本文の一部、あるいは1つの添付ファイル全体です。得られたチェックサムはFortiSigデータ ベースに追加され、誤検知が事実上皆無で実効性の高い、もうひとつのグローバルフィルタとなります。
  • FortiRule ― 動的な、ヒューリスティックなルール
    これはFortiGuardアンチスパムサービスが提供する最新コンポーネントで、FortiMailバージョン3.0 MR1以降で利用可能です。このグローバルフィルタは、動的に更新されるヒューリスティック(発見的)なルールをスパムの識別に用い、スパムのメッセージヘッダ、本文、MIMEヘッダ、添付ファイルに含まれるさまざまな属性を活用します。特定のスパム攻撃に合わせて手作業で巧妙に組み上げられるヒューリスティックなルールにより、FortiRuleはスパム検知率をさらに高めることができ、しかも誤検知は事実上皆無です。

「スパム」の定義

あるEメールがスパムメール(以下、スパム)か否かの判断は、かなり主観的なものです。たいていの人が特に異論なくスパムだと認める種類のEメールとは、際限なく送りつけられる『バイアグラ』の宣伝メールや『ナイジェリア詐欺』のEメールの類でしょう。なかには広告とニュースレターをすべてスパムに含める人もいるでしょうし、ニュースレターを正当なEメールと見なす人もいるでしょう。

FortiGuardは、業界標準のスパムの定義を採用しています。つまり「未承諾の大量発信Eメール(UBE:Unsolicited Bulk Email)」です。「未承諾(Unsolicited)」という意味は、受信者が発信者に対して、そのEメールメッセージの送信について立証可能な形で許可を与えておらず、かつ発信者が受信者の全員または一部との間に何ら認め得る関係を有しない、ということです。また、「大量(Bulk)」という意味は、そのEメールメッセージが通常より多いEメールメッセージの集まりの一部として発信され、全てのメッセージが本質的に同一内容である、ということです。

あるEメールがスパムと見なされるのは、未承諾かつ大量という場合です。未承諾Eメールでも通常のEメールという場合があり得ます。例えば、面識のない相手への最初の問い合わせ、求人応募や売り込みのための問い合わせなどです。同様に大量Eメールでも通常のEメールという場合があり得ます。会員制のニュースレター、顧客への案内、メーリングリストなどの場合です。概して、メッセージの内容そのものはスパムかどうかの判定には無関係ですが、現実にはスパムの大半は商業的なものです。そのほか「ポンプ&ダンプ」と呼ばれる偽情報による古典的な相場操縦行為では、ペニー株(相場が1ドル未満の低位株)を推奨するスパムが使われます。また、宗教的信条を広めようとするスパムもあります。

専門的には、あるEメールがスパムとされるのは以下の場合です。

  • 受信者個人の身元とメッセージの内容との間には関連性がない。なんとなれば、そのメッセージは他の多くの潜在的受信者においても等しく妥当性がある。

  • なおかつ、受信者は、そのメッセージの送信について、故意の、明示的な、その時点で取消可能な許諾を、立証可能な形で与えたことがない。

スパムサンプルの送付

皆様から提供されたスパムメール(以下、スパム)のサンプルは分析され、そこからシグニチャが抽出されて、フォーティネットのスパムシグニチャデータベースに追加されます。以後、FortiGuardアンチスパムサービスでは、類似のスパムを検知し、フィルタリングすることが可能になります。フォーティネットでは皆様からのスパムサンプル提供に深謝いたします。ただし、数量が膨大なため、受付通知は省略させていただきます。

サンプル送付の操作手順

サンプルとしてスパムの実例を送付される場合は、以下のような方法でEメールの添付ファイルとして送付してください。なお、Eメールの件名は任意です。

Microsoft Outlookの場合:

方法1:
  1. Microsoft Outlookを開きます。
  2. Eメールを新規作成を開始し、宛先を submitspan at fortinet.com とします。
  3. サンプルとして送付したいスパム(複数可)を「メッセージ一覧」領域から選択し、作成中のEメールメッセージウインドウの本文にドラッグ&ドロップします。
  4. 作成したEメールを送信します。
方法2:
あらかじめ以下の手順でMicrosoft Outlookの設定を変更し、元のメッセージを添付ファイルとして転送できるようにしておきます。
  1. Outlookの「ツール」メニューで「オプション」をクリックします。
  2. 「初期設定」タブで、「電子メール」セクションの「電子メール オプション」ボタンをクリックします。
  3. 「返信/転送時のスタイル」セクションの「メッセージに返信するとき」というドロップダウンメニューから「元のメッセージを添付する」を選びます。
  4. 「OK」ボタンをクリックします。
これ以降は、Outlookの「転送」ボタンをクリックし、宛先を submitspan at fortinet.com とするだけで、スパムサンプルを添付ファイルとして送付できます。

Microsoft Outlook Expressの場合:

  1. Outlook Expressを開きます。
  2. サンプルとして送付したいスパムを右クリックし、コンテキストメニューの「添付ファイルとして転送」をクリックします。
  3. 宛先を submitspan at fortinet.com とします。
  4. 「送信」ボタンをクリックします。

Thunderbird/Mozilla/Netscapeの場合:

方法1:
  1. ThunderbirdまたはMozilla/NetscapeのMessengerを開きます。
  2. サンプルとして送付したいスパム(複数可)を「メッセージ一覧」領域で選択し、コンテキストメニューで「添付ファイルとして転送」をクリックします。これで新規のEメール作成ウインドウが開き、選択したスパムは添付ファイルとなっています。
  3. Eメールの宛先を submitspan at fortinet.com とします。
  4. 「送信」をクリックします。
注:Thunderbird日本語版では、デフォルトで元のファイルを添付ファイルとして転送するモードになっているため、単に「転送」ボタンをクリックするだけでも同じです。
方法2:
あらかじめ以下の手順でThunderbird/Mozilla/Netscapeの設定を変更し、元のメッセージを添付ファイルとして転送できるようにしておきます。

Thunderbird(Windows版)の場合は、添付モードが「インライン」に設定されている場合のみ、以下の操作が必要です。
  1. 「ツール」メニューの「オプション」をクリックします。
  2. 「編集」セクションの「転送メッセージの形式」を「添付ファイル」に変更します。
  3. 「OK」ボタンをクリックします。
Mozilla/Netscapeの場合は以下のとおりです。
  1. 「編集」メニューの「環境設定」をクリックします。
  2. 「メールとニュースグループ」カテゴリを展開し、「メッセージ」を選択します。
  3. 「メッセージの転送と返信」のセクションにある転送メッセージのデフォルト設定のメニューで「添付ファイル」を選択します。
  4. 「OK」をクリックします。
これ以降は、「転送」ボタンをクリックし、宛先を submitspan at fortinet.com とするだけで、スパムサンプルを添付ファイルとして送付できます。

Webメールの場合:

Yahoo!メールなどのWebメールをお使いの場合も、スパムサンプルはインラインテキストではなく添付ファイルとして送付してください。

注:

送付されるスパムサンプルが大量であるため、受付通知は省略させていただきます。


誤判定通知の送付

何の問題もないEメールがFortiGuardアンチスパムサービスによりスパムと見なされてしまったり、あるIPアドレス、URL、Eメールアドレスが間違ってブラックリストに掲載されている、というような誤判定に気づかれた場合は、以下のような対応が可能です。

  • ブラックリストに掲載されているかどうかをスパムデータベース検索で確認し、ガイド(英文)にしたがって削除依頼メールを送付する。
  • または、次のEメールアドレスに削除依頼メールを送付する。

      email spam remove

ご自身が発信したEメールが誤ってブロックされた場合:

  • 受信したエラーメッセージを上記アドレスまで転送して下さい。このエラーメッセージは次のような形式です:
    mail.xxx.xxx #5.7.1 smtp;554 5.7.1 This message has been blocked because it contains FortiGuard - AntiSpam blocking URL/IP(s).(black url/ip xxx.xxx)

フォーティネットのお客様の場合:

  • アンチスパムのログメッセージを、FortiGate、FortiClient、FortiMailから取得し、ご利用のフォーティネット製品のシリアルナンバーを添えて送信してください。FortiGateのアンチスパムログは次のような形式です:
    Feb 26 19:15:13 xx.xx.com date=2006-02-26 time=19:15:14 device_id=FGT-xxxxxxxxxxx log_id=xxxxxxx type=emailfilter subtype=smtp pri=notice vd=root src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx src_int=wan1 dst_int=internal service=smtp status=detected from="xxx@xxx.com" to="xxxx@xxx.net" msg="The email contains FortiGuard - AntiSpam blocking URL(s).(black url xx.xxxx.xxx)"

お問い合わせ

ご質問やご懸念の事項がありましたら、下記メールアドレス宛にお送りください。(英語のみの受付となります)

submitspan at fortinet.com