treeundertrueのブログ

　かつての日本の三行広告スパムのように、こうしたスパムに含まれるクリック先が「ニセ課金サイト」になるのか、はたまたアクセスするとボットを埋 め込もうとするのか、実は本当に商品説明をするのか調査していないが、この手のWeb誘導スパムは今後も引き続き届きそうである。

　というのも、この手のスパムは必ずしも文面が本当である必要はなく、ボットを仕込ませるのが目的ならばクリックさせやすく、フィルタに引っかから ないような文面にすればよいからだ（日本では添付ファイルでマルウェアを埋め込むタイプのスパムは少ない）。うまくワードを選ぶことでベイジアンフィルタ を出し抜くことができるだろうし、特定の相手を狙うスピア型スパムに進化する可能性がある。例えば私のお仕事用メールアドレスに「原稿執筆の件について」 なんてタイトルでメールが届いたら、知らない人からのメールでもまず確実にメールを開こうとするだろう。この辺りの言葉のイタチゴッコは続きそうだ。

　初期の「海外三行広告スパム」では、生IPアドレスのURLが付いているものを見かけた。これではさすがに誰もクリックしないと思ったが、逆に考えると生IPアドレスのURLはおそらくフィルタに引っかからないだろう。

　以前に日本で見かけたタイプのもう一つの例が「妙なエンコードスパム」だ。筆者はメール整理にAL-MailとnPOP、スパムフィルタに POPfileを使っている。nPOPで届いたメールをスキャンしてスパム判定の下ったものに削除マークを付け、ざっとタイトルを確認して問題がなければ マーク実行ボタンでサーバから消去している。「Watch in the mail today」というタイトルではおそらくスパムであろうとnPOPをプレビューして見たものは……。

　メールはhtmlメールで、ISO-8859-1と通常の西欧言語コードになっていたが、エンコードされているので内容が全然分からない。通常の筆者の 行動形式の場合「読めないメールはイラナイ子」だが、記事ネタに飢えていたので内容を確認してみた。このメールは@niftyに届いていたのでwebメー ルで読めばいいのだ。

　日本語スパムでもかつて標準とは異なるエンコードを使っているので愚直なメーラーでは読めないというものがあったので、技術的にはその応用と言えるだろう。

　スパムを読まないための行動形式として標準形式で読めないメールは捨てるのが良さそうだが、一方企業から送られてくるメールの中には時刻の設定や 文字コードの指定がおかしいものが散見される。特に外資系企業でサーバ管理が日本法人では行われていないものが怪しいような気がする。

　この手のエンコードスパムは届いた平文で解釈するタイプのベイジアンフィルタも潜り抜けるので、場合によっては今後スパマーが好んで使う可能性も 否定できない。ただし、エンコードによってサイズが数倍に膨れ上がるので画像スパム同様トラフィック増加で自滅するのではないかという気もする。さて、ど うなることやら。

　最後に下世話なネタを。ここ数カ月「海外からの『天狗』スパム（いやその……「男性が大きくなる」系）」が多く届いているような気がする。外国人 でもその手のコンプレックスを抱えている人がそれなりにいる、という話は聞いているものの、この手のものが今のニセRolexのような隆盛を極めたらイヤ だなぁ。

　スパムはアンチスパム製品群との戦いを日夜繰り広げている。となればおのずと進化をし続けなければ生き残れないので、いろいろと新種が登場する。どうで もいい話だが、スパムの語源がSPAM（Hormel社のランチョンミート）と「Monty Python's Flying Circus」のコント（どう言い繕っても違法動画なのでリンクは貼らないがYouTubeに動画が掲載されている）から来ているのは有名だが、その SPAMも進化を遂げたようで、先日米国のとあるイベントに行ったら試供品を配っていた。

　要するに従来缶詰だったSPAMをレトルトパウチにしたもので、1回分の85g（3oz）をそのままパンにはさんで食べられるというのがウリらし い（缶詰は4回分：12oz）。同時に「BOGO（Buy One Give Oneの略で要するに2倍買えるという米国ではよくあるプロモーション）クーポン」も手渡されたが、うっかりスーパーに行って買うとコント通り 「spam,spam,spam……♪」になるので買わなかった。

　経過報告になるが、10月の私設ハニーポット に 届いたスパムは2035通で、うち2000通がYahoo!のメールフィルタでブロックされた。一方11月29日早朝段階で届いた11月のスパムは 2376通で、ブロックされたのは2329通（遮断率は98％）。確実に11月は80通／日に到達するだろう。傾向としては海外スパムが増加した。

今回のテーマは「技術の変革とアイデアの流用」だ。シマンテックの11月のスパムレポートをナナメに見ていたところ、筆者が2年前に記事の中で「三行広告風（メルマガ）スパム 」と言っていたものの英語版が出ているという。

　手元のメールボックスを見ると、三行広告どころか一行で終了しているものもあり、これはスパムトラフィックが減りそうな気がするが、一方スパマーの観点で見るとこんな感じになるだろう。

1. 1回で大量に届けられる（bccを多用した）スパムは遮断される傾向にある
2. しかし1通1通届けるとトラフィックが増える（≒時間がかかる）
3. 現代のスパムはwebサイトに誘導するのが目的
4. ならばメッセージそのものを短くしてトラフィックを減らさず数を増やそう

　この手のスパムではメールIDをきちんと把握している（≒本文にメールIDが明記されている）ものが多くなっていることからもそれが伺える（メー ルIDを記載するのは以前からも多いが）。本稿執筆の最終段階で届いた「私設ハニーポット」を見ると、お薬販売系とおぼしきスパムがフィルタをかいくぐっ て届いた。標準ヘッダを使って見ると、FromとToの名前が本文にも盛り込まれているし、メール本文も短くあっさり目の内容だ。NGワードとおぼしき 「Cialis」を偽装して含ませているが、日本語フォントだとバレバレというかワケが分からず。しかしこういうメッセージだとフィルタをかいくぐりやす いのかもしれない。

　Googleは同社のインフラストラクチャを利用して悪質なソフトウェアを配布しようとする犯罪者と戦うために、Googleの検索エンジンのユーザーが「悪質なサイト」を報告してくれることを希望している。

　Googleのセキュリティブログ によると、同社はすでに何十万もの「悪質な」ウェブサイトを確認しているが、ユーザーに対して、オンラインフォーム に記入してまだ警告されていない悪質なサイトを報告し、リストの充実に協力するように呼びかけている。

　この戦いはGoogleにとって重要である。悪質なソフトウェアを含むサイトがユーザーのPCを悪用したり、ユーザーのマシンを感染させたりすれば、Googleの評判が危うくなるからである。これは最近、セキュリティ企業のSunbeltがブログ で説明している。

　Googleは2006年、検索結果に表示されるサイトのうち悪質なソフトウェアを含むものを警告する対策に乗り出した。悪質なサイトを選択する と、そのサイトに転送される代わりに、「警告――あなたが訪れようとしているサイトはあなたのコンピュータに危害を与える可能性があります」というメッ セージが表示される。ユーザーはそのまま進むか検索ページに戻るかを選択することができる。

　悪質なウェブサイトとの戦いでGoogleと協力しているStopBadware.org によると、Googleは「（中略）独自の試験方法を用いて、悪質なソフトウェアまたは悪質なソフトウェアにリンクされているコードを含むサイトが存在しないか自主的にウェブをチェックしている」

　これはセキュリティ企業のMcAfeeにとっては何も新しいことではない。同社はすでにウェブから悪質なソフトウェアを含むサイトを徹底的に探し 出す取り組みを実施しており、悪質なサイトを「McAfee SiteAdvisor」に情報提供してくれるメンバーも確保している

　McAfeeの関係者によると、Googleの悪質なサイトの警告は、SiteAdvisorほど包括的なものではないという。

　SiteAdvisorはブラウザに組み込むプラグインソフトウェアであり、すべてのサイトを赤色、黄色、緑色に分類する。これらのサイトは、悪 質なソフトウェアを含むか、スパム送信サイトであり電子メールアドレスを入力すると多数のスパムメールが送信されてくる危険性があるか、悪質なソフトウェ アを含むサイトにリンクが張られているか、または 何らかの金銭詐欺が実行されている詐欺サイトであるかという情報に基づいてランク付けされる。

　さらに、SiteAdvisorに評価済みのウェブサイトのURLを入力すると、テストを実行した際の詳細な情報やそのサイトをランク付けした理 由が表示される。これによってユーザーは、悪質な要素を回避すると同時に、そのサイトを利用することが可能かどうか判断することができる。

　McAfeeによると、SiteAdvisorのダウンロード件数は「数千万単位に達している」という。