メール本文がネットワーク外に出ることはありません。rspamdが既に処理方法を知っているシンボルとスコアとして情報が届きます。
悪意あるドメインは登録され、構築され、1時間以内に被害者を収穫し始めます。レピュテーションフィードやブロックリストは本質的に事後対応型です。誰かが既に被害を受けた後に、そのドメインが悪意あるものだと学習します。短期集中型キャンペーン -- フィッシング、偽ショップ、ブランド偽装 -- に対して、最初のメール送信からブロックリスト登録までの間こそ、被害が発生する時間帯です。
最も高度な攻撃はさらに先を行きます: クローキングです。クローラーやスキャナーにはクリーンなページを見せ、選ばれた被害者にだけペイロードを表示します -- ソースネットワーク、デバイス、ロケール、リファラー、TLSフィンガープリントで選別して。コンテンツスキャンだけでは、検知すべき問題を見ることすらできません。
タイミングの問題は深刻です: キャリアグレードの商用フィルターをrspamdに置き換えることは、優れたスコアリングエンジンを導入することですが、rspamd単体ではグローバルな不正対策インテリジェンスネットワークではありません。この移行は、まさにこれらの攻撃が活動する領域に検知ギャップを生み出します。
すべての悪意あるサイト -- フィッシングキット、偽ショップ、ブランド偽装、クローキングの有無を問わず -- は構築されなければなりません。ドメインの取得、証明書の発行、DNSの準備、メールのウォームアップ、リダイレクターの展開、レピュテーション消耗に伴うインフラのローテーション。この作業は、DNS、Certificate Transparency、SPF、ホスティング、Webの挙動に観測可能なイベントの連鎖を残します -- そして最初の被害者が標的になる数時間前から始まっています。
重要なシグナルは「このドメインは異常に見える」ではありません -- 異常であることは、すべての新規SaaS、CDN、マーケティングドメインの通常の状態です。重要なシグナルは:
「このドメインのセットアップシーケンスは、過去に悪意あると確認されたオペレーションの事前準備シーケンスに類似している。」
確認済みのキャンペーン行動から描いた、観測・スコアリングするイベントシーケンスの実例。
そしてオペレーションがクローキングを行う場合 -- スキャナーにはクリーンなページ、被害者にはペイロード -- 被害者と同じ条件でページをレンダリングし、その差異を捕捉します:
初検知からの新規ドメイン観測 -- ドメインが存在した瞬間から、すべてのレコード、すべての変更を追跡。
SPF、DNS、証明書、ホスティングの変動 -- ブラックリストイベントとの相関で先行指標としてモデル化。
適応型マルチ視点検証: 被害者が見るであろう状態でページをレンダリングし、クローラー表示との差分を検出。
キャンペーン記憶グラフ: 確認済みのすべてのオペレーションを相関させ、次のオペレーションをそのセットアップシーケンスで認識。
監視対象ブランドのモニタリング、攻撃タイムライン、ブランドオーナー向けの法的根拠となるテイクダウン証拠。
オープンプラグイン: シンボル、マップ、フィード取り込み。運用が退屈なほど簡単 -- それが設計思想です。
攻撃者は証明書認証局、ASN、CDNを数分で切り替えられます。しかしスケールを維持しながらオペレーション全体のワークフローを変えることは極めて困難です。ワークフローこそがフィンガープリントです。
クローキングキットはクライアントのTLSハンドシェイクに基づいてボットと被害者を分離します。私たちは実際の日本のモバイル・デスクトップブラウザと一致するTLSスタックで検証し、User-Agent偽装スキャナーでは到達できない回避手法を突破します。
CTログストリームをリアルタイムで取り込み、新規発行を新規ドメインフィード、類似ドメイン検出、ホモグリフ検出と照合 -- ブランド偽装証明書をキャンペーン開始の数分前に捕捉することも珍しくありません。
悪意あるオペレーターはバッチで準備します -- 同じ時間帯、同じレジストラ、同じネームサーバーの振り付け、同じ証明書タイミング。単一ドメインではなく、グループ全体をスコアリングするため、1つのキャンペーンが数十の関連ドメインを一度に浮かび上がらせます。
レピュテーションが消耗すると、攻撃者は移動を余儀なくされます -- その変動はSPF編集、includeグラフの変更、ホスティング移転として漏洩します。ブラックリストイベントとの相関における変動速度は、攻撃者が生成を止められないシグナルです。
rspamdの判定結果、ユーザーからのフィッシング報告、バウンスデータがキャンペーン記憶グラフにフィードバックされます。導入が増えれば確認済みラベルが増え、ラベルが増えればモデルが向上し、モデルが向上すれば測定可能な効果が上がる。資産は減衰するのではなく、複利で成長します。
最初に行う価値があるのは汎用デモではありません。最近御社の顧客を標的にした悪意あるドメインのサンプルをご提供ください -- クローキングフィッシングを含めて -- 各キャンペーンが発動する前に、インフラ履歴、コホート、CTシグナルが何を報告していたかをお見せします。正当な新規ドメインのマッチドセットに対する誤検知率も併せて提示します。
既存プロバイダーに対する測定可能な改善をシャドウスコアリングによる並列比較で提示。
正当な新規SaaS、CDN、マーケティングドメインに対する限定的かつレビュー済みの誤検知率 -- 後付けではなく、主要な成功指標として扱います。
高確信度の判定ごとのエビデンスバンドル -- アナリストレビューとテイクダウンに適した形式で。
メールセキュリティ、不正対策、インターネットインフラにおける数十年の経験 -- 2006年からアイデンティティシステムを継続的に運用。収集、相関、適応型検証パイプラインは既存インフラ上で稼働しています: ロードマップではなく、デプロイメントです。
このサイト自体、意図的に迅速に立ち上げました。有用なものをどれだけ速く提供できるかのサンプルです。
