シマンテックは2011年5月26日、迷惑メール(スパムメール)の最新動向などを報告する月次レポート「メッセージラボ インテリジェンス 2011年5月度レポート」を公開した。
同レポートでは、スパマー(迷惑メール送信者)が迷惑メールを送信する際に利用し始めた新たな手口を二つ紹介している。特別な名前は付けられていないが、仮に付けるならば「踏み石偽URL短縮」(あるいは「多段短縮URL」)および「ドメイン名塩漬け」とでも呼べそうなテクニックである(命名は筆者による)。
踏み石偽URL短縮は、スパマー自らが「偽URL短縮サービス」のWebサイトを開設し、この偽URL短縮サービスと正規の短縮URLサービスの二つを経由させることにより、最終的に誘導したい迷惑サイト(海賊版ソフトの販売やアダルトサービスへの勧誘など)の存在をセキュリティソフトによる探知などから隠ぺいしようというもの。
スパマーからユーザーに届くメールには、迷惑メッセージなどは書かれておらず、「ここにアクセスしてみて」という具合に正規の短縮URLサービスを使って作られたURLだけが記載されている。実はこのURLは、偽URL短縮サービスのWebサイトのURLを短縮したものである。
しかし、届いたメールと同様に、飛び先となる偽URL短縮サービスのWebサイトにも迷惑メッセージなどは書かれていないため、仮にセキュリティソフトが同サイトをチェックしても迷惑サイトとは判定できない。さらにその先まで飛んで初めて迷惑サイトであることを確認できる。このように、偽URL短縮サービスを「踏み石」として設置しているわけだ。
なお、同社が今回確認した偽URL短縮サービスは、本来のURL短縮サービスとは異なり、ドメイン名の後ろにどんな文字列を入れても同じ迷惑サイトに飛ぶようになっていたという。つまり、技術的にはWebアクセスを単純にリダイレクトしているだけである。
もう一つの「ドメイン名塩漬け」は、スパマーが上記のような偽サービスを立ち上げる際に使うドメイン名について、新規に取得してもしばらく使わないでおき(塩漬け)、数カ月間ほど経ってから悪用し始めるようにするという手口である。
これは、正規のURL短縮サービスが、新規登録したばかりのドメイン名が悪用目的で取得されている可能性を考慮して、サービス利用を拒否することを避けるための措置である。ドメイン名登録後の経過年月(同社では「ドメイン年齢」と表記している)が一定期間経ってから使い始めることで、正当性が高いドメイン名であると思わせている。
