特集
» 2005年03月11日 20時13分 UPDATE

不定期集中企画:手元に届いた「イマドキの日本語スパムメール」傾向編 (1/2)

最近では英文だけでなく、日本語で書かれたスパムメールも目立つようになってきた。この記事では3回に分けて、日本語スパムの実態と対応策を探っていきたい。

[小林哲雄,ITmedia]

 スパムは何も英文で書かれているとは限らない。日本人のところにやってくる「欲しくないメール」「受け取りたくないメール」の中には、当然ながら日本語で書かれたものも含まれる。

 前回は、数多くの海外からのスパムメールが届くISP A(仮称)のメールボックスを元に傾向を分析したが、今回は、他に2つのメールサーバ宛てにやってきたスパムも加え、日本語スパムの傾向を分析してみたい。

日本語スパムもやってくる

 前回の記事で、全部で7つあるメールアドレスのうち、メインで使用しているものとそうでないものとがあると紹介したが、今回の分析では、その「メイン」で用いている4つのアドレスすべてが対象となる。

 今回分析対象に追加したISP Bは、もう1つ別のプロバイダーのメールも管理しているのだが、ここでは便宜的に1つのものとして扱う。またISP Cは、いわゆる「パソコン通信」時代から続く老舗のアカウントだ。ここは無償でスパムのフィルタサービスを提供しているが、利用するには会員種別を変更しなければならないので筆者は利用していない。

 分析データとして使用したのは2004年11月中に届いたメール(注:ミスで1日ほど収集できない日があった)で、届いたメールの総数と日本語スパムと判断したメールの数は以下のとおりだ。ここでは、有用なメール以外で、かつ日本語を含むサブジェクトが付いているものはすべて日本語スパムと判断した。

ISP 総メール数 日本語スパム数 日本語スパムの割合
A 3107 109 3.5%
B 1542 33 2.1%
C 200 129 64.5%
合計 4848 271 5.6%
日本語スパムメールの数と割合

 1カ月のうちに届いた日本語スパムメールは計271通。私のメールアカウント全体では、だいたい1日当たり9通ぐらい日本語スパムが届く計算になっている。ここで見ても分かるように、ISP AとBは英語スパムが主体となっているのに対し、ISP Cは日本語スパム率が非常に高い。

まずはヘッダーベースで分析

 次に前回同様、日本語スパムについても内容ではなくヘッダーで分析してみた。まず、スパムメールの送信元が何と名乗っているかを「From」欄から判断した。

順位 回数 自称メールドメイン(From欄の記述)
1 117 yahoo.co.jp
2 11 騙し
3 8 excite.co.jp
「From」欄の@以下の自称ドメイン、トップ3

 2位の「騙し」というのは、「usouso@hogehoge.com@mx.ISP.jp」のように二重に「@」を使った記述だ。これは、ISPのサーバを「うちのネットワークからのメールだよん」と騙し、転送してもらうためのテクニックだが、こんな余計な文字列が付いている時点でアヤシサ爆発である。また、2バイトコードを使っているのか「読めないFrom:」というのも少なからずある。

 ともあれ集計してみると、少なくとも、自称送信元としては圧倒的に日本語版のYahoo!メールが利用されていることが分かる。「Yahoo!メールからのスパムが多い」という悪評はここから来ているわけだ。

 次に、メールを最終的に送ってくるサーバのIPアドレスについて検証してみる。

順位 回数 種類
1 1 198
2 2 24
3 3 7
4 4 1
各送信元IPアドレスからスパムメールが届いた回数

 これも前回書いたことだが、スパム送信者が特定のISPのSMTPサーバを用いる「正当な送信方法」を使っていれば、送信元IPアドレスにはもっと偏りがあってもいいはずだ。だが実際には、スパマーは自分のアカウント抹消を防ぐため、ISPのSMTPサーバではなく「ADSL/FTTH接続している自らのSMTPサーバ」や「ゾンビマシン」を使って送信してくる。このため、上記のとおり送信元IPアドレスは分散し、偏りは生じない。スパムメールの3分の2がそれぞれ異なるIPアドレスからやってくるということは、スパマーがISPのSMTPサーバを使っていないであろうことを示唆している。

 さらに、スパムメールがどの国からやってくるかを分析してみた。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -