| Symantec Security Response Weblog |
June 25,2008 Posted by Kelly Conley
職場で受信メールを斜め読みしていたJohn Doeは,「Mail delivery failed:returning message to sender」(配送失敗:送信者にメールを返送)というサブジェクトのメールに気付いた。
Johnは「配送失敗だって?」と疑問に思った。「Janeに出したメールがブロックされたのかな?」。そこで問題のメールを開いたところ,オンライン医薬品販売のスパム・メッセージが書かれていた。そのようなメールは送っていないので最初混乱したものの,すぐにこれが配信不能レポート(NDR:Non Delivery Receipt)スパムであると理解した(関連記事:NDRスパムの配信に加担していませんか?)。
シマンテックの調査で,2008年5月にNDRスパム攻撃の増えたことが分かった。NDRスパムは目新しい手口ではないが,急増したので詳しく調べることにした。「どこから送られてきたのか」「何が目的なのか」など,NDRスパムに混乱させられる人は多い。
この種のスパムは,ずる賢い手口を使っている。通常のスパムはメールの「To」行にターゲットとするユーザーのメール・アドレスを記載する。これに対し,NDRスパムは「From」行にメール・アドレスを入れ,いい加減なあて先に送信する。メール・サーバーはこのメールの配信を試みるが,実際には存在しないメール・アドレスあてであるため,「送り主」に返さざるを得ない。その際「From」行に記述されたターゲットのアドレスに,NDRメールが送信されることになる。
メール・サーバーの中には,元メールの全文を入れたままのNDRメールを返すものがある。この動作こそNDRスパム送信者の狙いだ。配送失敗を告げるメッセージと元メールのメッセージが一緒になっていれば,スパム・メッセージがターゲットの目に触れる。
NDRスパムのサブジェクトは一見してスパムと分からない曖昧(あいまい)な内容なので,開いて読んでもらえる可能性が通常のスパムよりも高い。NDRスパム送信者はこの点に賭けている。たいていの人は自分のメール・アカウントを毎日確認し,配送失敗メールを見付けると開いて中身を調べ,どの送信済みメールが相手に届かなかったか確かめるものだ。もちろん,最近メールを送っていないにもかかわらず配送失敗メールによるスパムが届いたなら,NDRスパムである可能性が非常に高い。NDRスパムを使うスパム送信者はここに来て増えているようだ。当社は現在増えているNDRスパムの監視を続けるとともに,これまで通りエンドユーザーのメール受信箱を守る手段の実現に取り組む。
Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Where do Bounce Messages come From?」でお読みいただけます。
