手元に届いた「イマドキのスパムメール」海外モノ編不定期企画(2/3 ページ)

» 2004年12月27日 13時02分 公開
[小林哲雄,ITmedia]

 続いて、国コードだけに着目して分類した表も作ってみた。お友達もいなければ何かサービスを受けているわけでもないのに韓国と中国からのメールがやたらと多く、上位4カ国(US/KR/JP/CN)だけで84.6%のメールが届いている。

 スパム遮断メールサービスの中には「韓国と中国からのメールは有無を言わせず遮断します」というところがあって「やや乱暴だなぁ」と思っていたのだが、それなりに根拠のあるものだということがわかる。

順位
1 804 US
2 284 KR
3 102 JP
4 48 CN
5 26 MX
6 21 TW
7 19 FR
8 17 ES
9 15 HK
10 13 NL
ハニーポットに届いたメールの最終送信元の国

 日本からのメールが102通あるが、「一応有用なメール」のうちにも日本からのものが16通ある。こうやって集計してみるとUSとKR、CNが多いことは予想できたが、MX(メキシコ)、TW(台湾)やFR/ES/NLのようなヨーロッパ圏からも届いている。スパムに国境はないのだ。

独断と偏見に満ちた傾向分析

 スパムというのはつまるところ金儲けのために送ってくるものなので、何かの売り込みメールが多い。思いつくままに挙げてみると、

  • バイアグラ(説明不要?)、HGH(アンチエイジング)、チョットヤバイ系(デイトレイプドラッグとかトリップ系)、ダイエット、向精神薬……などのお薬系
  • エロエロ系(サイト、DVD、テープ)
  • MLM(マルチレベルマーケティングの略:日本で有名なのは古くはアムウェイ、ニュースキン、ちょっと前ならノニジュースかな?)
  • とっても安価なソフトウェア(99.99999%コピーモノでしょう)
  • 日本では役に立たない(笑)卒業証明書、学位証明

といった感じで、スパムを見れば人間の欲望というのがよく分かる。「スパムにつられてソフト購入」という記事もあったくらいだが、あまりの安さに、怪しさも忘れて飛びつくのだろうか。また最近は「低利の融資を都合します」というスパムメールが増えてきているけれど、日本から申しこんでもおそらく無効というか、本当の融資じゃないんでしょうね。

送信元はゾンビマシン

 海外発スパムの現在のすう勢を一言で表せば、「ゾンビマシンからやってくる」と言ってよいだろう(関連記事1関連記事2)。

 ゾンビマシンとは、各種「イケナイソフト」を実行し、知ってか知らずかスパイウェアなどをインストールされた結果、操り人形と化したマシンのこと。操られているというより「スパマーの命令によってメールサーバとして使われるマシン」と言ったほうが適切だろう。日本でもゾンビ化したマシンが出ている。

 スパマーがゾンビを使う最大の理由は、「スパマーの身元を隠せ、手が汚れない」からだ。表面上、スパムメールはゾンビマシンからやってくるため、スパマーの存在は表面化しない(From:の偽装は当たり前)。また、メールを送りまくるのはゾンビマシンなので、「こいつはスパムを送りまくる」とIPアドレスを元にフィルタを掛けられたり、帯域を使いまくってISPに怒られたり契約を解除されたり……ということが起きてもスパマーには関係なし。使えなくなったら別のゾンビマシンを使えばよいわけだ。

 その状況証拠として、メールを最終的に送ってくるサーバを見ると、見事に広く分散している。豊富なゾンビマシンという名のSMTPサーバがあるからこそ、これだけメールが分散できるわけだ。

 集計してみると一目瞭然である。サーバレベルでのスパム対策を調べていたら、最初のSMTP接続にあえてエラーを返す「一見さんお断り」という方法があったが、下の表からもその正当性がわかる。

回数 IP数
1 1216
2 69
3 34
4 1
5 1
最終送信元IPがメールを送ってきた回数。「1回」が大多数を占め、送信元が分散していることが分かる

 スパムを減らす第一歩はゾンビマシンの撲滅にあるハズなので、アンチウイルスベンダーさんには、ゾンビマシン対策もぜひよろしくお願いしたい。また、ISPにとってもゾンビマシンが傘下にあると、スパムのブラックリストに入れられてメール送信を拒絶されたりと、あまりよいことはないはずだ。ただこれを見る限り、強力な対策を行っているとは言いがたいようだ(「通信事業者」という性質上、いろいろと考慮すべき点があるにせよ)。

 なお、同じゾンビマシンを使うにしてもダイヤルアップでは効率が悪いわけで、ゾンビにされるターゲットは当然、常時接続環境。つまり海外の場合ならば主にケーブルネットワーク経由でスパムがやってくると考えるとわかりやすい。海外のお友達がいない場合、ケーブルネットからやってくるメールはスパムと思ったほうが早いかもしれない。

相変わらず「単純なフィルタ対策」が多い

 内容はともかく、単純な(姑息な)文字列変換などの対策を施してフィルタをごまかそうとするスパムメールが相変わらず多く見受けられる。この「対策」の内容をちょっと解説してみよう。

 たとえば、「ITmedia」という文字列にフィルタが掛かっていると判断した場合、スパマーはこんなふうに変更を加える。

lTmedia(I→l) |Tmedia(I→|) ITmed!a(i→!) ITmedi@(a→@) 1Tmedia(I→1) ITmed1a(i→1)

 いずれも、機械は「別」のものとして処理しても、人の目で見れば「パッと見には一緒」というものだ。

 ほかに「ITmediiiiiiiiiiiiia」のようなパターンも多い。×年前に日本のパソコン通信で流行った「横倍角」の応用パターンとして、「\/」(欧米フォントで見ればさらに倍角だが\/に見える)を用いての「\/aigra」なんてものも定番だ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ