スパムはどこから来るの？ 「イマドキの日本語スパム」（2/4 ページ）

[小林哲雄，ITmedia]

やはり元凶は中国、意外と少ない韓国、ダークホースが日本

　これらのメールはどこから来るのだろうか？　以前の日本語スパムは地産地消というか、日本発信のものが多かったとされている。現在は一般に中国、韓国あたりが「怪しい」と言われているが、これは本当だろうか？

　今回は手始めとして@過去最高の受信数となった去年11月の2503通について送信IPアドレスの国コードを確認した。Yahoo!メールの場合、先の迷惑メール判定の関係か「X-Originating-IP:」というヘッダが入るのでこれを送信元IPアドレスと判断している。TOP10の結果は以下の通り。

2007年11月に届いたスパムの送信国

順位	送信数	国名
1	1429	中国
2	321	台湾
3	212	韓国
4	183	フィリピン
5	78	米国
6	46	ブラジル
7	28	タイ
7	28	日本
8	19	イタリア
9	17	フランス
10	14	インド

　実に57％が中国発のスパムで、これは予想通りだった。ちなみにハニーポットに届いているスパムの中には下の囲みで示しているような「Fromの名称がGB2312エンコード」されたものが少なからず届いている。GB2312は「中国語（簡体字：EUC-CN）のためのエンコード」であり、日本語用ではない。この辺りも「中国発説」を裏付けるものと言えるだろう。

Subject: 埼玉県婦人会よりお知らせ

From: =?gb2312?B?Ynp3eDU=?=

怪しい送り先の例

　日本語用ではないという点で言えば、本文のエンコードも正しくないものが多い。またこの系列のスパムには必須のはずのDate：ヘッダがないものや、最初のReceived：ヘッダ中に＋0800（CST）が含まれているものも多い。この辺りから判断すると、おそらく中国スパマーによる大量送信システムがあり、これが利用されていると推測している。2位が台湾で、もっと多いだろうと予想していた韓国が10％以下というのはやや意外だった。

　見出しにダークホースと書いたのにはワケがある。一見、日本は7位で1％強と大したことはなさそうに思える。

　かつての日本語スパムの送信元は日本が多かった。現在日本からの送信が激減しているのは、OP25B（Outbound Port 25 Blocking）によってクライアントサイドからの直接メール送信を禁止しているISPが増えたためだ。だが、実のところOP25Bには抜け道がある。

　一般的な接続サービスの場合はOP25Bが行なわれているが、これが行なわれていない、つまりOP25BフリーなISPを見つければよい。だが、現在大手プロバイダーでOP25BをしていないISPを探すのは難しいだろう。中小を探してもよいだろうが、そうしたところは細かな規約があるなど気軽に契約できない可能性がある。

　一方、大手においてもメール送信可能な手段がもう一つある。それは、固定IP提供の接続サービスを利用する方法だ。固定IPサービスなら、自前でサーバーを設置してOP25Bを受けずにメール送信が可能になる。

　一般的には、OP25Bはなくてもスパム送信の禁止はISPの規約に盛り込まれているのが普通だ。しかし、以前もオンライン入会ですぐに使えるスパム対応が甘いISPが狙われたように、今も固定IP接続ができるISPが狙われていないとは言い切れない。

　というのも、先の日本発スパム28通のうち5通はISP Aが管理する同IPアドレスから届いており、かつ別の2つのIPからも4通ずつ届いた。さらにそのほか合わせて全23通がそのISPを使った送信であった。つまり「日本からのスパム送信率」で見ると（少なくても今回分析に使ったデータでは）23／28≒82％と異様に高い。これはオンライン申し込みですぐに使えるというところが影響していると思われる。

日本発信のスパムのISP分布

発信元	発信数
ISP A	23
ISP B	3
ISP C	1
ISP D	1

　ISP Aの規約（オンライン入会手続きのプロセス中表示される内容）を見る限り、ISP Aはスパムに寛容というわけではないようだが、現実的には中の人の腰は重いのではないか？

　なお、このIPアドレスの偏りに関しては韓国に最大手のところがあるようで、212件のメールのうち132件が同一IPアドレス（一部伏せるが125.187.xxx.xxx）だった。ここまで来ると「スパム送信局」と呼ばれても仕方がない。