スパムの標的にされやすいメールアドレス体系
送信元アドレスの詐称がどうだとか、ベイジアンフィルタによる自動識別がどうだとか、 スパム(迷惑メール)の問題には実に様々な側面がある。 だが、技術的に難しい話に至るより以前に、 考え無しに決めたメールアドレス体系そのものが原因かもしれない、という例を紹介しよう。
対策を打つには現状を知ることからだ。まずは迷惑メールを送る側の手口のひとつを解説する。
当然のことだが、大量にメールを送るには大量のメールアドレスが必要だ。 ではメールアドレスのリストをどうやって集めるのか? 単純に考えると、
- 巷で大流行の、流出した個人情報というものを闇ルートで買う
- ロボットソフト等でWebをクロールし、 Webページ上に書かれているメールアドレスを自動収集したものを買う
- 苗字のリストをつくる。 tanaka, suzuki, sato, kondo, shimada...
- 名前のリストをつくる。 taro, jiro, saburo, hanako, yoshiko, eriko...
- 苗字と名前をピリオドまたはハイフンで片っ端からくっつける。
taro.tanaka, taro-suzuki, taro.sato.....
名前部分はイニシャルだけでもいいだろう。t.tanaka, t.suzuki, t.sato.... - 最後にドメインをくっつける。@docomo.ne.jp とか @nifty.com とか。
taro.tanaka@****.comというアドレスが本当に実在するかわからないじゃないか!? なんて話もたいした問題ではない。 スパマーにとっては数打ちゃあたる作戦が全てなのだから。 スパムに対する返信率がわずか0.001%でも採算が取れるほどだ。 名前のスペルリストをつくるというのはまだ気の利いているほうで、 ひどいときはアカウント部分(@の左側)をまったくのアトランダム文字列にして メールアドレスリストを生成していることすらある。
名前のリストいうものも実は既に存在する。欧米人名版はもちろん日本人名のも。 パスワード認証に対する辞書アタック用としてかなり昔からアンダーグラウンドな世界で流通しているのだ。 それがメールアドレス生成用に転用されることは想像に難くない。
さあ、かくしてメールアドレスのリストはできあがった。あとは送るだけだ。 当然ながらこのリストの中には実在しないアドレスが大量にあるはずなので、 標的とされたかわいそうなドメインは次のようなことになる。
....該当する大量迷惑メールは7月22日より断続的に... 海外より発信されており...@niftyの件の犯人はどうやら海外(≒日本人ではない)のようだが、 手口が輸入されるのも時間の問題だろう。いや、輸入されるまでもなく 日本でも携帯メール向けに昔から同じ手口が使われていると考えてよいだろう。
その時間帯は通常の数倍の負荷が当社のメールサーバにかかっていました。
...数千万通の該当メールが@nifty会員向けに発信されており、 そのうち99パーセント以上のメールが宛先不明となるものでした。 その結果、@niftyのメールサービスの受信が遅延するという問題が発生し、 一部のお客様に大変なご迷惑をおかけしていました。
@nifty:会員サポート:お知らせ(サポート): 大量スパムメールによるメール遅延、ならびに対策について(2004/8)
ドコモによるとその業者は、今年の4〜5月にかけてiモード向けの広告メールを 大量に送信しており、そのうち約400万通は宛先不明の架空アドレス であったため...
...同社では、迷惑メールが大量に送信されることでサーバーに負荷がかかり、 本来のメール配信に遅延などの支障をきたす問題への対策...
NTTドコモ、迷惑メール送信業者に約650万円の損害賠償を請求 (ケータイWatch 2002/6)
どう対抗すればいいのだろうか? という問題の答えは 「なぜ迷惑メールというと巷の記事では@niftyの話ばかりなのだろうか?」 という問いを掘り下げることで簡単に見つかる。 「nifty 迷惑メール」 で検索した結果と 「biglobe 迷惑メール」で検索した結果を比べてみよう。Biglobeのほうでは、 Biglobe宛に送られてくる迷惑メールに関するページではなくむしろ Biglobeから送る迷惑メールに関する記事のほうが多いことがうかがえる。 つまり、niftyでの大量の迷惑メール&架空アドレス処理由来のメールサーバ障害のような問題がBiglobeでは起きていない。 似たような歴史と規模のプロバイダなのに、なぜ?
答えはメールアドレス体系の違いにある。
- @niftyは (好きな文字列)@nifty.com (nifty.ne.jp)
例:***@nifty.com - Biglobeは (好きな文字列)@(勝手に決まるサブドメイン).biglobe.ne.jp
例: ***@muj.biglobe.ne.jp
(ちなみに、Biglobeのメールアドレスのサブドメイン数は50種類をくだらないらしい)
もちろんniftyでは「abc00001@nifty.com」といった類推しやすいアカウント名を そのまま使っている人が(歴史的事情で)多いというせいもある。 ドコモの携帯電話についても、初期状態では「携帯電話番号@docomo.ne.jp」になるという 仕様が長く続いてしまったことがスパムの標的となった要因のひとつだろう。 しかし今後、メールアドレスの自動生成という手口が日本でも間違いなく広まる(既に広まっている?)だろうし、 その場合やはり標的にしやすいのはniftyやdocomoのようなメールアドレス体系であることに変わりは無いだろう。
標的にされるのはプロバイダなどの通信事業者だけではない。 一般企業のアドレスに対しても同様の手口でスパムが送信され、 メールサーバがパンクしてしまうという事態は欧米では既に日常茶飯事である。 「株式会社example」という日本企業があるとしよう。 社員のメールアドレスが皆 *******@example.co.jp という体系だったら、 残念ながらスパムの標的にされる日は近い。
逆に *******@hoge.example.co.jp のように、社員のメールアドレスを サブドメインにランダムに振り分けてあるだけで、被害にあう確率はぐっと下がる。 サブドメインは2文字以上がいいだろう。i(アイ)、l(エル)、0(ゼロ)、o(オー)などの 紛らわしい文字を排除しても、2文字なら少なくとも400種類以上のサブドメインを作り出せる。 なお、サブドメインを使うようにすると、同姓同名の対処がしやすくなるというメリットがある。 つまり鈴木一郎という社員が二人いたとしても、ichiro.suzuki@hoge.example.co.jp と ichiro.suzuki@fuga.example.co.jp というふうにすれば済む。 Biglobeが沢山のサブドメインを使っているのも、 複数のユーザーが同じアカウント名を第一希望として申し込んできたときに対処しやすくするため、 というのが当初の目的だ。 迷惑メール対策としても機能したのはおそらく結果オーライである。
「うちは100人もいない企業だから標的にはされないだろう」という考えも希望的観測にすぎない。 スパマーが企業規模をリサーチするなんて考えにくい。 標的にしやすいメールアドレス体系(ドメイン)であるかどうかでしか判断しないだろう。。
なお、日本では2002年に設けられた「特定電子メールの送信の適正化に関する法律」 のなかで、「数字や文字などをランダムに組み合わせて作成した架空のアドレスに対してメールを送信すること」が明確に禁じられている。 しかしこれは抑止力というよりは、国レベルで禁止を明確化することによって通信事業者が送信停止などの実力行使をする根拠にしやすくするため、という意味合いのほうが強いと思われる。
さて、いつかスパムの標的にされメールサーバがパンクし社員や顧客にブーイングされあわてて対策ソフトを買ったりメールサーバの設定を変更したりし助けてくれはしないだろう警察や関係省庁に届出し・・・つまりあとで後悔するか。 それとも、いまのうちからサブドメインを含むようにメールアドレス体系を変えておくか。 企業の情報システム担当者は、選択しなければならない。あまり猶予は無い。 企業からメールサーバの運用のアウトソーシングを受けている業者さんも頭が痛いことだろう。
♪きっと来る〜 きっと来る〜 (映画「リング」のテーマより)
2004年9月 7日
Comments [0]
|
Trackbacks [1]
コメントする
(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)