セキュリティ組織の米SANS Instituteは2007年9月21日、同組織のスタッフによる公式ブログにおいて、新しいタイプの迷惑メール(スパム)を報告した。検索サイト「Google」の「I'm Feeling Lucky」機能を悪用することで、迷惑メール対策ソフト(迷惑メールフィルター)を回避しようとする。
迷惑メールの本文には、特定の商品やサービスの宣伝文句と、それらの販売サイトへのリンク(URL)が記載されていることが多い。そこで迷惑メール対策ソフトの多くは、メール中に書かれたリンクを、迷惑メールかどうかの判断材料の一つにする。
このため、メール中のリンクを偽装する迷惑メールが増えている。偽装方法の一つが、検索サイトのリダイレクト機能を悪用すること。例えば、Googleが提供するリダイレクト機能を使えば、特定のWebサイトに誘導するリンクを、「http://www.google.com/」から始まる文字列にできる。SANS Instituteの「Internet Storm Center(http://isc.sans.org)」へ誘導するリンクは、以下のようになる。
http://www.google.com/url?sa=U&start=4&q=http://isc.sans.org
ただし現在では、この偽装方法はほとんど通用しないという。迷惑メールフィルターの多くが対応しているからだ。リンク中の「http://www.google.com/url?」といった文字列からリダイレクト機能を使っていることを見抜き、実際の飛び先のURLを抽出して判断するようになっているという。
また、検索サイト側でも対応が進んでいる。例えばGoogleでは、リダイレクトする前に、「リダイレクトの警告」を表示する(図)。
そこで迷惑メール送信者(スパマー)は、検索サイトの別の悪用方法を編み出した。それが今回報告された、Googleの「I'm Feeling Lucky」の悪用。「I'm Feeling Lucky」とは、検索結果のトップになったWebサイトを直接表示させる機能。通常の検索とは異なり、検索結果の一覧は表示しない。
「I'm Feeling Lucky」を使った迷惑メールの具体例は以下のとおり。
Order All of your favorite RxMeDs Online!
With fast discreet trackable USPS shipping!
No Prescription Needed!
Order__NoW ~ <a href="http://www.google.com/search?
q=myvisameds+global+cart&btnI=ec">Click__Here</a><br>
上記メール中の以下の部分が、「I'm Feeling Lucky」を使ったリンクである。
http://www.google.com/search?q=myvisameds+global+cart&btnI=ec
Googleのリダイレクト機能ではなく、検索機能(http://www.google.com/search?)を使っている。上のURLのリンクをクリックすると、「myvisameds」「global」「cart」で検索した結果のトップに表示されたWebサイトへアクセスすることになる。リダイレクトではないので、図のような警告は表示されない。
上の例では、Internet Storm Centerのページが表示される(9月21日17時現在)。上記のキーワードの代わりに、商品やサービスの販売ページが一番最初に表示されるようなキーワードを使えば、そのページにユーザーを誘導することができる。キーワードはどのようなものでもよく、いくつ組み合わせても構わないので、「誘導したいページが一番最初に表示されるようなキーワード」を見つけることはそれほど難しくないだろうという。
上記のURLでは「btnI=ec」という引数を付けて「I'm Feeling Lucky」を使っているが、この方法以外にも「I'm Feeling Lucky」を使う方法がある。このため、「btnI=ec」の有無だけから、メール中のURLが「I'm Feeling Lucky」を使っているどうかは判断できないという。SAN Instituteのスタッフは、今回の手口を見抜く良い方法(ルール)があれば教えてほしいと結んでいる。
