櫻庭秀次/インターネットイニシアティブ メッセージングサービス部
サービス推進課シニアプログラムマネージャ

 迷惑メールの対策を考えるには,まず迷惑メールがどのように送られてくるのかを把握する必要がある。

 これまで迷惑メール送信者は,メールの第三者中継が可能なオープン・リレーのサーバーを利用したり,一般利用者が用いるいわゆる動的IPアドレスを接続回線に利用するなど,実際の送信者が誰かを分かりづらくする工夫をしてきた。最近では,ボットネットなどのようにさらに送信手法が複雑巧妙化してきている。

 オープン・リレー・サーバーについては,迷惑メール送信者は現在でも絶えず探し続けているようで,例えばインターネット上にホストを追加すると,すぐにメール配信に使われる25番ポートへのアクセスが定期的に発生するようになる。以前,こういった25番ポートへの接続で実際何を送ろうとしているのかを,試験的に環境を構築し,調査したことがあった。接続元は主に米国,アジア圏からのものが多かったが,遠く南米や欧州方面からの接続もあった(図1)。

図1●25番ポートへの接続送信元の分布
図1●25番ポートへの接続送信元の分布

 調査した結果わかったことは,実在するドメインを送信あて先に設定していることが多かったこと。これは,メールの中継が実際に可能かを調べるためだと思われる。これらのことからも,設定が不十分なメール・サーバーを短時間でもインターネット上に置くことは,非常に危険であることが改めて認識できる。

迷惑メール送信サーバーの情報をリアルタイムで提供する「RBL」

 迷惑メールが問題になり始めたころ,こうしたオープン・リレーなメール・サーバーからの迷惑メールの受信を防ぐために,オープン・リレーなホストの情報(IPアドレス)を集めて情報提供をする組織が現れるようになった。これらは,オープン・リレーなメール・サーバーの情報だけでなく,実際に迷惑メールを受信したり,報告を受けた情報などから迷惑メールの送信元のIPアドレスのリストを蓄積するようにもなった。DNSなどの仕組みを利用することによって,リアルタイムで情報を提供することからリアルタイム・ブロック/ブラック・リスト(RBL:Realtime Block/Black List)と一般に呼ばれる。また英国のThe Spamhaus Projectなどのように,動的IPアドレスのリストを集めて提供し始めるなど進化も続けている(Spamhausの「The Policy Block List」)。

 動的IPアドレスについては,欧米の大手通信事業者の一部と日本の主要インターネット・サービス・プロバイダ(ISP)が,外部ネットワークへの直接メール送信を抑制するOP25B(Outbound Port25 Blocking)を導入するなど,迷惑メールの送信は以前ほど簡単にはできなくなくなってきている。

ボットを使って一般利用者のパソコンから迷惑メール送信

 こうしたなか,迷惑メールの送信に新たな手法が使われるようになった。ウイルスやマルウエアといった不正プログラムを一般利用者のパソコンで密かに実行させ,それを経由して外部からパソコンを制御することにより,迷惑メールの送信などを行う手法である。このような不正プログラムに感染したパソコンは,ロボットのように操られることからボット(bot)と呼ばれ,それらの集合をボットネット(botnet)と表現する(関連記事)。また,ボットのことをゾンビPC(Zombie PC)と呼ぶこともある。

 不正プログラムを実行させる方法は様々である。メールの添付ファイルを実行させたり,そこに示されたURLのWebサイトを表示させることによって不正プログラムをダウンロードさせるなど,手口も巧妙化している。最近では興味を引くような,いわゆるソーシャル・エンジニアリングの手法を使ったり,その確率を上げるために対象を絞るスピア型(ターゲット型)攻撃など,単純な手法でも様々な工夫により誘導してくるため注意が必要である。

 こうしたマルウエアはあくまで彼らのビジネスのツールであるため,従来のウイルスとは異なり愉快犯的にばらまかれることは少なく,なるべく目立たない挙動をする。そのため,たとえパソコンが感染させられていても気がつかないケースも少なくない。なかなか発見されないためにウイルス対策製品の対応が遅れるなど,被害が拡大する傾向にあるようだ。

 ボットネットが厄介な点は,遠隔地から操作ができることである。いうまでもなくインターネットは世界中を結ぶネットワークなので,これに接続されたパソコンは世界中に数多くある。その中で,どれが迷惑メールの送信元かを識別することは事実上不可能といえる。

 また,こうしたボットからの迷惑メールは,特定の送信元(IPアドレス)からの送信数自体が少ないという特徴があるため,仮にブラックリストを使って接続を拒否しようとしても非常に効率が悪い。