(このブログ記事はこちらの英語版記事の翻訳になります。最新の記事ではないので内容がいくらか古いものであることをご了承ください)

 

 

今週は、MEG Appliance のGTI機能を紹介したいと思います。この機能は EWS バージョン 5.6から実装されておりますが、この機能が何を行いどのように動作するのか多くの人が理解していません。この機能のより良い理解のためにその性能についていくつか掘り 下げていきたいと思います。GTI または Global Threat Intelligence は、TrustedSourceと呼ばれるマカフィーがSecure Computing社を買収したことによって取得した製品に由来します。元々、TrustedSourceは、電子メールをフィルタリングするメッセージレピュテーショ ンを扱うものとして設計されており、単一の機能でした。

 

それから、現在では、TrustedSourceはメッセージの送信元IPとメッセージのハッシュ化したフィンガープリントを参照します。全てのハッシュ値は一方向であり 、実際のメッセージのコンテンツはそこから類推することは出来ません。TrustedSourceサーバーはIPアドレスとフィンガープリントを取得して、マカフィークラ ウド上のレピュテーションデータベースを参照し、参照結果に基づいてスコアを提供します。スコアの範囲は-150から+220 になり、プラスの数値が高ければ高くなるほど、メッセージはスパムメッセージの可能性は高くなります。TrustedSourceスコアが80もしくはそれより高いメッ セージは全てスパムと考えて良いでしょう。

 

TrustedSourceはGTIの主なパートに組み込まれており、マカフィーはTrustedSourceの基本機能にURL機能を加えました。現在は、送信元IPと フィンガープリントハッシュのリストに加えて、Appliance は更にメッセージのURIのリストを送ります。これらのURIは参照に加えられており、GTIスコアの評価に加えられています。以前と同じで、GTIで80ポイントもし くはそれ以上のスコアを受けたメッセージはスパムと考えて良いでしょう。

 

機能はそれだけに留まりません。電子メールが継続的に発展してくると、ウイルス対策のツールも脅威全体が加速度を増して発展してくるのに適合していかなくてはなりません。 ファイルと電子メールのフィンガープリントを取得し、これらハッシュの頻度とレピュテーションをチェックする強力なツールを採用しています。我々は常に「ウイルス対策の精 度を改善するための技術をテコ入れしないのか?」と自身に問いかけており、実際に実現してきています。MEGでは添付ファイルが不審であると確認すると、添付ファイルのフ ィンガープリントをGTIサーバーに送信し、収集されたフィンガープリントのレピュテーションを参照します。もしこれが既存の特定のフィンガープリントであれば、これに関 連した見慣れない不審な振る舞いを行う可能性が高く、それに対してウイルス対策はこのファイルに対してアクションをトリガさせます。

 

しかし、これら全てを実行するには、ユーザ様の支援が必要です。MEG Appliance においては、GTIのフィードバックを我々に送信する機能があります。これは我々にApplianceが受信する電子メールの汎用的な情報を提供します。これは電子メー ルの送信者、受信者のような情報を送るものでは無く、Applianceが処理を終えて特定のメッセージシグニチャから、ウイルスが検出された等をの結果から最終処理(配 送、ドロップ、隔離など)を行った結果情報を送ります。これらの全ては、メッセージレピュテーションデータベースと同様に、保有するIPレピュテーションリストの精度を改 善していくためのものです。

 

そうは言っても、推奨の設定は何になるでしょう?フィードバックについては、私共はGTI[のフィードバックを有効にしていただくことを当然お勧めいたします。これは悪意 ある電子メールを取り除く支援を致します。送信者認証機能に関しては、この機能は受信メールのみ有効にしていただくことを強くお勧めします。これによって、お客様環境のポ リシーセットにおいて「送信」と呼ばれるポリシーが決定し、「送信元 IP アドレス」 ある 「(IPアドレス)」とうルールが出来ます。組織には一つ以上の内部電子メールサーバーがある場合は勿論、条件に全てのIPリストを入力したり、サブネットでリストを入 力したりします。それから、この新しい送信ポリシーでは、GTI機能を無効にします(実際に、送信者認証機能を使用する理由は無く、安心して無効にすることが出来ます)。 これで組織のメールサーバーに対してGTI機能を動作させることは無くなり、さらに重要なことは、組織の環境に侵入しようとする悪意のあるワームか何かによって、MEGが 外的要因によって内部からのメールの処理を行わなくなることを回避します。