手元に届いた「イマドキの日本語スパムメール」撃退編不定期集中企画(3/3 ページ)

» 2005年03月28日 12時27分 公開
[小林哲雄,ITmedia]
前のページへ 1|2|3       

あなたのマシンは大丈夫?

 スパマーがISPのSMTPサーバを使わず、自らスパムを送信している場合、苦情の山によってスパマーを追い詰める(正確には追い出す)ことにつながる。ISPにスパマーを排除する義務はないが、放置すれば「○○ISPはスパマーの巣窟」だと悪名が轟き、最終的にはISP自身が影響を受ける。

 ところが、ゾンビマシンを踏み台にしたスパムの場合、苦情の送り先はゾンビマシンが使っているIPアドレスの管理者ということになる(先の20連発スパムがどちらに該当するかは分からないが、IPを分散させずに多数送信を行い、結果として複数の苦情がISPに届くことになったため、ゾンビマシンを使わない低レベルなスパマーではないかと予想している)。

 そこで問いたい。あなたのマシンはゾンビマシンになっていないだろうか?

 アンチウイルスソフトでスキャン……という方法だが、無力とは言わないが確実ではない。というのも、ゾンビマシンを作る原因となる「ボット」は亜種が極めて多く、次々と新種が登場するため、アンチウイルスベンダーといえどすべてを追いきれないのだ。

 結果として、アンチウイルスソフトでボットを100%検知することはできない。「全スキャンしたから万全」とは言えないのだ。ついでに言えば、もし私がスパマーならば、スキャンに引っかからないように次々と「新作」ボットを作っては流すだろう。そのほうが効率よく生贄を取得できるからだ。

 そこで、アンチウイルスソフトと同時に使える方法が、自分が利用しているIPアドレスがスパムデータベースに登録されていないかどうかを確認する方法だ。

 先のスパムデータベースに限らず、自分が使っているIPアドレスがブラックリストに登録されていると、メールの不達をはじめ、何かと不都合が発生する(有名なところでは2ちゃんねるへの投稿ができなくなる)。

 もしも、同一IPアドレスを変更することなく使っている(と思える使い方をしている)場合、ブラックリストに登録されたとなると、自分のPCが何かに感染してゾンビマシンとなり、かつスパムメールの大量送信を行った疑いがあるということだ。

 逆に、頻繁にIPアドレスが変わるISPでは、あなたではなく過去にそのアドレスを使っていた誰かの悪行が原因ということになる。これらはISP側がブラックリストの解除申請を行うべきであり、リスト登録の多いISPは管理が甘いと言われても仕方ないだろう。

 データベースの一つ「SPAMHAUS」では国別、ISP別のリストを参照することができる。

 各種ブラックリストへ登録されていないか簡単にチェックする方法としては、2ch 鯖監視係。の「踏み台登録確認君」が手軽でよさそうだ。なお、2ちゃんねるに書き込みができなくなる理由としては、オープンプロキシ(=踏み台)として判定されるという場合もあり、こちらは「風呂敷確認君」でチェックできる。どちらもリンクをクリックするだけでアクセスしたユーザーのIPアドレスを検査してくれる。

 メールに特化したブラックリストチェックツールとしては、小寺信良氏のコラムで扱われたBkASPilのサイトに用意されている「Chche DBチェッカ」「Black list DB check」などが適当だろう。これらを使えばより多くのブラックリストサーバに対して登録確認が行えるが、自分自身でIPアドレスを入力する必要がある。

 なお「私が使っているIPアドレスってナニ?」というレベルの方の場合、先に紹介したようにヘッダーをたどって苦情を出そうとしても、肝心の送信元を間違える可能性が多分にある。まずは「気が付かないうちに『悪の手下』になっていないか」だけでもチェックして欲しい。

 これらのテストで該当すると判断され、かつ「最近常時接続していた」という人は、すぐにウイルススキャンを行い、既知のバックドアプログラム(ゾンビマシンを作る第一歩となる)が入っていないかどうかを確認してほしい。それがスパムを減らす一歩となるのだ。

 以上、海外および日本語スパムの動向を紹介してきた。次の機会があれば、ISP側のスパムに対する考え方や取り組みについて、またユーザーレベルでのスパム対処法の1つであるフィルタについて紹介していければと思う。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ