• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

調査・統計ニュース

「IPアドレススパム」が急増、対策製品の回避が目的

ドメイン名ではなくIPアドレスでURLを記述、複数サイトを経由する

勝村 幸博=日経パソコン 2010/05/13 日経パソコン
図1 全スパムに占める「IPアドレススパム(dotted quad spam)」の割合の推移(米シマンテックの情報から引用)。割合は少ないが、増加傾向を見せていて、今後もこの傾向は続くという
図1 全スパムに占める「IPアドレススパム(dotted quad spam)」の割合の推移(米シマンテックの情報から引用)。割合は少ないが、増加傾向を見せていて、今後もこの傾向は続くという
[画像のクリックで拡大表示]
図2 IPアドレススパムで最終的に誘導されるWebサイトの例(米シマンテックの情報から引用)
図2 IPアドレススパムで最終的に誘導されるWebサイトの例(米シマンテックの情報から引用)
[画像のクリックで拡大表示]

 セキュリティ企業の米シマンテックは2010年5月13日、同社の観測データを基に、2010年4月の迷惑メール(スパム)動向を発表した。ユーザーを誘導したいWebサイトのURL(リンク)を、ドメイン名ではなくIPアドレスで記述した迷惑メールが急増しているという。

 シマンテックは、インターネット上に設置した観測システムのデータに基づいて、迷惑メールの流通状況や特徴などを集計して毎月公表している。今回公開されたのは2010年4月の動向。それによれば、全メールに占める迷惑メールの割合は89.22%。同年3月は89.34%、同年2月は89.99%だったので、9割近くを維持したまま推移している。

 同社によれば、2010年3月末以降、メール中のURLをIPアドレスで記述した迷惑メールが急増しているという(図1)。このタイプの迷惑メールでは、ユーザーを誘導したいサイト(例えば、医薬品などの販売サイト)のURLを、ドメイン名ではなく、IPアドレスで記述している。具体的には、「http://example.com」ではなく、「http://255.255.255.255」といった形式で記述する。

 IPアドレスは、ドットで4つに区切られた数字列で記載されているため、シマンテックではこのタイプの迷惑メールを「dotted quad spam」と呼んでいる。

 IPアドレスにすることの目的は、迷惑メール対策製品(迷惑メールフィルター)の回避。誘導先のサイト名をそのまま記載すると、パターンマッチングによって、迷惑メールであることが簡単に見抜かれるためだという。

 加えて「IPアドレススパム」の多くでは、医薬品の販売サイトなどに直接は誘導しないという(図2)。不正侵入したWebサイトなどを何度か経由した後、目的のサイトへたどり着くようにする。これにより、メール中のURLから迷惑メールだと判断されないようにする。

 具体的には、攻撃者はセキュリティの甘いWebサイトに侵入し、以下のような内容のリダイレクト用HTMLファイルを置くという。

<html><head><script>location = 'http://(誘導先のサイト)';</script></head></html>

 2010年4月の迷惑メール動向としては、有名なファーストフード店のアンケートを装った迷惑メール(フィッシング詐欺メール)や、母の日にちなんだ迷惑メールが出回ったことも挙げている。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る