写真 米IronPort SystemsのPatrick Peterson副社長
写真 米IronPort SystemsのPatrick Peterson副社長
[画像のクリックで拡大表示]

 迷惑メールを送りつけてくるスパマーとはどんな連中なのか。まずは敵の正体を知るべきだ---。そう語るのは,米国のセキュリティ・ベンダーIronPort SystemsのPatrick Peterson副社長。Peterson氏は「RSA Conference 2007」で,200億通のスパムを分析した結果を披露した。

 Peterson氏(写真)がスパムを調査したのは,2006年5月のこと。2週間の調査期間中に,200億通のスパムが送られてきた。「スパマーの正体は,怪しげな医薬品販売サイトや,偽造品の時計販売サイトなどであることは,皆さんもご存知の通りだ。しかし,彼らのビジネスの実態がどうなっているのかは,ご存知だろうか」(Peterson氏)。Peterson氏はそう問いかけて,実際に送られてきたスパムの実態や,スパマーがおびき寄せようとしたWebサイトの特徴などを説明した。

スパムの80%は新鮮なゾンビから

 まず,スパム・メールを送信していたのは,全世界で10万台以上に上るゾンビ・パソコン(トロイの木馬に感染したパソコン)。ここから数百億通のスパムが送られてくる。ただし,スパムを送ってくるゾンビPCには,ある特徴があるという。それは「80%のスパムは,30日以内にゾンビになった『新鮮な』パソコンから送られてくる」(Peterson氏)ということだ。

 これには理由がある。「最近になってブロードバンドが普及した地域では,ブロードバンドに接続しているパソコンが非常にぜい弱だ。ウイルス対策ソフトやパーソナル・ファイアウオールの利用率や,ユーザーの意識が低いからだ。こういった,新入りのブロードバンド・ユーザーのパソコンがゾンビになって,スパムを送るのだ」(Peterson氏)。

 Peterson氏らが調査したスパムは,その28%が10個のISP(インターネット・サービス・プロバイダ)から送られてきており,それらのISPは,スペインやフランス,ブラジルなどの非米国地域だった。「また最近は,ポーランドからのスパムが増えている。ポーランドでブロードバンドが普及し始めたからだ」(Peterson氏)。

1500個のURLを使い分ける

 続いてPeterson氏は,ある「カナダの医薬品販売業者」を名乗るスパマーの実態について説明した。このスパマー(バイアグラ販売業者)の特徴は,同一の文面のスパムを送りながら,ユーザーをおびき寄せる対象となるURLが,非常に多岐にわたっていたことだ。「彼らは,1500個のURLと100台のWebサーバー,15種類のWebコンテンツを使い分けていた。しかし,支払いに使われている業者の名前は1個だけだった」(Peterson氏)。

 このスパマーがURLを使い分けていたのは,スパム・メールをスパム・フィルターに引っかかりにくくするためだ。「彼らのメールは,広告文面は同じなのだが,ユーザーをおびき寄せるURLがメールによってかなり違っていた。またそれに加えて,『Hashbuster』と呼ばれる小説から引用した文章が添付されていた。Hashbusterの目的も,スパム・フィルターを欺くことだ。『スパム的』ではない文章を紛れ込ませることで,そのメールのハッシュ値を変えて,スパムと判定されにくくしているのだ」(Peterson氏)。

 ユーザーをおびき寄せるWebサイトのコンテンツ内容も凝っていた。「『My Canadian Pharmacy』や『International Legal RX』などを名乗る15種類のWebサイトがあり,各サイトには偽の創業者のプロフィールや,偽の本社所在地,『スパム・メールは使っていません』と宣言するアンチ・スパム・ポリシーまで掲載されていた」(Peterson氏)。Peterson氏は実際に,カナダにあるという本社所在地まで行ってみたが,そこにはサブウエイの店舗があるだけで,医薬品販売業者に関連する建物は一切なかったという。

全世界でWebサイトをホスティング

 またこのスパマーの特徴は,「Webサイトのホスティングに『Webゾンビ』と呼ばれる,ぜい弱なWebサーバーを使っていた」(Peterson氏)ことである。彼らは,ぜい弱なWebサーバーを乗っ取って,ユーザーをおびき寄せるWebサイトを運用していたのだ。

 例えば,彼らが利用する10個のドメイン(URL)は,ある1個の中国にあるIPアドレスに紐づいていた。また,405個のドメインが,米国で運用されているフリーのホスティング・サービスのIPアドレスに紐づいていた。このほか,「注文サイトはハンガリーに,商品サイトは中国にホストされていた」(Peterson氏)。世界をまたいで,サイトが運用されていたわけだ。

スパマーの正体は結局不明

 「では実際に,彼らはどこにいたのか?」(Peterson氏)。このスパマーのWebサイトでクレジットカード番号を入力すると,「クレジットカードの認証に失敗しましたので,24時間以内にセールス・マネージャから連絡します」というエラー・メッセージが表示され,実際にPeterson氏の元にメールが届いたという。このメールを送信しているメール・サーバーは,ゾンビ・パソコンではなく,静的なアドレスを持つメール・サーバーだった。

 このメール・サーバーをホスティングしていた業者は,米サンノゼに存在したが,連絡先は私書箱だけで,誰が契約したサーバーなのかは判明できなかった。これだけでは,スパマーの正体が米国人だったかどうかも分からない。

 このスパムの面白いところは,実際に商品が郵便で送られ,クレジットカードによる決済も成立するところである。郵便の差出人は,インドのある会社になっていた。「実際にインドにまで行って,差出人の住所を確認したが,そこには貸しオフィスがあっただけだった」(Peterson氏)。ちなみに送られてきた商品は「バイアグラではない,成分のよく分からない10個のタブレット」だった。

 Peterson氏は「クレジットカードによる請求が成立していたことに注目してほしい」と語る。クレジットカード会社に,誰による請求かを確認したところ,2週間後にはその請求者は音信不通になっており,スパマーの正体は,結局確定できなかった。

 「敵は非常に賢くなっている」とPeterson氏は語る。最後にPeterson氏は,「スパマーに対抗するためには,ISPやベンダーが協力して,ユーザー教育を進めていく必要がある。消費者に対して,ウイルス対策ソフトやファイアウオールの使用を呼びかけたり,スパムを信用しないように教育する必要がある。またISPは,顧客の保護を進めるべきだし,ゾンビ・パソコンをネットワークから切り離して,スパムのインフラを絶つ必要がある」と呼びかけた。