RSS | ディスカッション | アンケート  




全ての脅威

ウイルス

ハッカー

スパムメール
サイト全体    ウイルスについて
   
スパムメールについて
分析
最新ニュース
用語集
研究者日記(weblog)


スパムメールとは
最新のスパマー技術
スパムの発展
スパムの種類
スパムメールの回避方法

 
ウイルス百科事典

ウイルスやトロイの木馬、ワームといったマルウェアの情報やその対策に関してはウイルス百科事典を参照してください。
ハッカーについて

ハッカーの侵入手口やそれに利用されるプログラムの脆弱性に関しては、ハッカーと脆弱性のページを参照してください。
 

  ホーム / スパムメール / スパムメールについて / スパムの種類

スパムの発展

始めに

スパムメールが登場したのは1990年の中頃、一般にPCやインターネットが普及した時期と重なります。1997年には早くもスパムの問題が騒がれるようになり、最初のリアルタイムブラックリスト(RBL、スパム配信するサーバのIPを登録したブラックリスト)が登場しました。

スパム技術の発展

スパム技術は、すなわちスパムフィルタの発展と言い換えることもできます。セキュリティ会社が有効なフィルタを開発するとすぐに、スパマーはそれを破る新しいスパム技術を生み出しました。同時にスパム問題が高まれば高まるほどスパマーは新たな技術を開発し、スパム技術の革新が早まれば早まるほど、スパム産業は巨大化し、技術発展への投資も大きくなってきました。

直接配信

スパムの登場当初、スパマーは自身のメールサーバとメールアドレスを使って配信を行なっていました。しかしこうしたスパムは程なくブロックされるようになり、スパマーは送信者の偽装を始めとする新たな技術を生み出すようになったのです。開いた中継

オープンリレーの利用

1990年代半ば、メールサーバ解放された中継ポイント(オープンリレー)として、どんな送り主も任意の受取人のもとへ電子メールを送ることができました。スパム配信にうってつけであったこうした世界中のメールサーバが再設定の必要に迫られました。しかしすべてのメールサーバ管理者がこの取り組みに積極的ではなかったため、オープンリレー検索サービスが登場します。これを受けてRBL(realtime blackhole list)が作成され、ここに登録されIPからのメールの受信は遮断されるようになりました。今日でも全てのオープンリレーが消滅したわけではなく、これを利用したスパム配信は未だ続けれらています。た。

モデムプール

オープンリレーを用いたスパム配信が効力を失うと、ダイアルアップ接続を利用したモデムプールといった方法が採用されるようになってきました:

  • 通常ISPのメールサーバは、ユーザが送信したメールをそのまま転送します

  • ダイアルアップ接続では、接続の度にIPが変わるため、スパマーは複数のIPアドレスからスパム配信が可能となりました

これに対しISPは、ユーザーが1セッションで送信可能なメール数を制限し始めた他、ダイアルアップアドレスリストの採用や別モデムプールからのメールの遮断といった処置が執られるようになりました。

Proxyサーバー

21世紀に突入し、ADSLやCable接続といったインターネットの高速化が進むと、スパマーはクライアントのハードウェアの脆弱性を利用するようになります。当時の殆どのADSLモデムには内蔵のSOCKSサーバーあるいはhttp Proxyが内蔵され、エンドユーザが設定を簡単に行えるよう、パスワード入力やアクセス管理無く、これらのモデムにアクセスすることができました。つまり、スパマーは世界中のあらゆるADSLユーザのIPアドレスを利用して、スパムを配信することが可能になったのです。最近はハードウェアメーカの努力により、こうしたモデムは殆ど市場には出回っていません。

ゾンビまたはボットネット

2003年以降、スパム配信のターゲットととしてもっとも利用されているのが、rootkitを仕込んで、外部からのアクセスを可能にした、ボットやゾンビと言われる一般ユーザのPCです。こうした犠牲マシンに侵入する方法は次の通りです:

  • ファイル共有P2Pネットワーク(Kazaa(eDonkeyなど)を介して配布される海賊版ソフトウェアにトロイの木馬を混入

  • MS Windowsやユーザ数の多いソフトウェア(MS IEやMS Outlook等)の脆弱性を利用してバックドアを仕掛ける

  • メール経由で感染させるワームを利用してバックドアを仕掛ける

もっとも控えめな統計上でも、世界中で数百万台のPCがトロイの木馬に感染していると言われています。こうした最近のトロイの木馬は、自身をバージョンアップしたり、WebサイトやIRC経由からコマンドを入手し、スパム配信やDDoS攻撃を仕掛けたりすることができます。

スパムコンテンツの変遷

殆どのスパムフィルタがスパムメールのメッセージ内容を分析して判断を行なうため、スパマーはテキストの配置(テキスト形式では読めないが、HTML形式になると意味が通じるメールなど)や使用する単語等を巧妙に変化させます。

単純なテキストおよびHTML

当初のスパムメールは内容も単一で、検知も容易でした。

個別化されたメール

次のステップでは、joe@user.com宛のメールには「Hello, Joe!」といった、受取人のアドレスに基づいた挨拶を含む個別対応のスパムが登場するようになりました。このため、スパム対策側も変化する内容に適応するため、ベイジュアンのような新しい技術が開発されました。

任意テキストや見えないテキストの挿入

メッセージの始めまたは末尾に通常のメールに用いられる文章や脈絡のない単語の羅列を混入させる。またHTML形式のメールで、極々小さいフォントを利用したり、背景と同一色のテキストを挿入したりといったトリックが用いられる。 これらはファジーマッチングやBayesianフィルタリング方法の誤認識を招くのに有効でした。しかし現在では引用スキャナーやHTMLエンコーディング分析を強化することによって、同様のトリックを回避しています

画像形式のスパム

テキストを画像形式で配信。登場当初は有効な手段でしたが、最近のスパム対策製品にはOCR機能を搭載するものが登場しています。

テキストのバリエーション化

一通のスパムメールを複数のメールに分散させ、まとめて読むことで中身が分かるようになるメール。スパムフィルターはまとまったメールをセットにして判定を行なう必要があります。

要約

今日、スパマーは最後の3つの方法を組み合わせてスパムメールを作成しています。市場に出ている多くのスパム対策製品はまだこれらの全てを検知する事はできません。日々迷惑メールで受信トレイが一杯になっているのならば、スパム対策製品の切り替えを検討してみてください。

 

  

Copyright © 1996 - 2012
Kaspersky Labs Japan
All rights reserved

Email:
  お問い合わせはこちら
  新しいウイルスはこちら