私のアドレスが、メールヘッダーに全く入っていないスパムが届いたので、メールサーバのあるプロバイダに配信経路がおかしくないか問い合わせてみました。先日返ってきた返事は、一言「それは、あなたのアドレスがBcc(ブラインド・カーボン・コピー[e-words.jp])されているだけで、この手のメールではよくある方法です。」スパムにしてやられましたね。まさか送りたい相手をBccにするなんて奴がいるとは思わなかった。もともと、インターネットは通信資源を互いに分け合おうという、ボランティア精神で始まった技術ですから、ルールを無視すれば、容易に悪意のある使い方ができてしまうネットワークでもあります。この弱点は、いかにセキュリティ技術があがっても消えることはなく、結局、引っかかるほうが馬鹿、という一言で片付けられる可能性が大きい。ある意味、強くなくては生きていけない、実にハードボイルドな(^_^)ネットワークなのです。

今回のスパムのポイントは、転送されるメール自身にはあて先の情報が入るとは限らないという点です。メールは、利用者が書き込んだ文章の最初にFrom, To,などのヘッダーをメールソフトがくっつけ、それをバケツリレーのようにメールサーバーが転送していきます。ただし、どこにバケツをリレーするかは、言ってみれば口頭で教えるだけで、必ずしもメールのヘッダーを読んで、転送先を決めているわけではありません。また、パソコンのメールソフトが書き込んだBcc行は、転送時にサーバーが削除するので相手には届きません。一方で、メールサーバーはメールを転送する時に、Receivedという項目でデータを誰から受け取ったのかという情報を先頭に追加していきます。ついでに、誰に送れと言われたかという情報まで書き込んでくれるサーバーもありますが、サーバーによってはそれをしません。全部のサーバーが、あて先の情報をReceived行に書き込まないと、受け取った人は、ヘッダ部のToやCc行に書かれた情報以外に、そのメールが本当に自分に送られたものなのかを知る方法がありません。もし、Bcc行にあて先を書かれてしまうと、証拠は消滅するということになります。スパムの送信元としては、一つのメールで処理したいが、受信者に他のあて先を知られたくないので、あて先リストをBcc行に列挙して、メールサーバーに多量配信させているのでしょう。この方法だと、パソコンから別々にメールを送信する手間が省けます。稀に、個別にメールを発送しているところも見かけます。この場合、メールごとにターゲットとなった相手の情報を、HTMLメールのタグなどに埋め込むことができます。つまり、受信した人がメールの中のリンクをクリックするだけで、Webサーバは誰が返答してきたかをデータベース化できるという仕組みです。そのデータベースは、高く売れるでしょうね。

Bcc自体は、電子メールの仕組みにもともとある機能で、私もメールサーバーが自分のメールをちゃんと処理したことを確かめたい時や、複数のアドレスを使い分けているときに、自分のアドレスをBccに入れたりします。つまり、使いようによっては便利な機能で、どう使うかは使う人次第ということです。例えば、Ａさんに送るメールをＢさんにBccすると、「私はＡさんにこういうメールを送ったけど、Ｂさんにも教えておきますね」というようなメールになりますね。一方で、普通の人はやりませんが、To行がなくてBccのみのメールも送ることは可能です。この場合、あて先の分からないメールが届くことになるので、本当に自分に送られたメールなのかは、本文を見ないと分かりません。一般的なコミュニケーションでは、こういう使い方は有り得ないはずで、インターネットのエチケットにも反するものです。問題は、スパムのほとんどは、普通では有り得ないやり方でメールを送りつけてくることです。このコーナーでも最近書きましたが、発信者の名前が入るべきFrom行に、関係ない人のアドレスを入れるのは普通ですし、To行とFrom行に同じアドレスをいれることだってやります。ほぼ、全てのスパムは、送信元と返信先が違います。もちろん、返信先を必ずエラーメッセージを返すような、不正なアドレスにするなんてことは平気でやります。こうしたルール破りの目的の一つは、経由するメールサーバーに自分を規制させないためでもあります。

ほとんどのプロバイダは、自分のドメインからの大量メール配信をスパムとみなして警戒します。特定のIPアドレスから、常に大量配信されていれば、すぐに転送を規制してスパムの配信ができないようにします。それを回避する方法が、プロバイダのメールサーバーを使って、そのプロバイダのドメイン内に向けて大量送信する方法や、規制されていないメールサーバーを探して使う方法です。さらに、最近は、国外のプロバイダを使ってメールを送りつけてくるケースが増えています。よくあるのは、中国や韓国のプロバイダです。この場合、日本国内のプロバイダは、そのプロバイダからのメールを全てとめるわけにもいかないので、相手のプロバイダの管理者にやる気が無かったりすると、お手上げになります。こうした、海外のプロバイダを使う場合、引っかかった獲物からのメールを中国で受けるのは不都合なので、たいていの場合、国内の無料Webメールなどを使って受信することになります。Webメールは規制されても、簡単に新しいアドレスを開くことができます。相手は、それが仕事ですから、いくらでもアドレスを開きますね。私の場合、中国のプロバイダのIPアドレスを、サーバーでフィルタしたら、スパムが半減しました。もっとも、中国のプロバイダを使っている人は、私にメールを出せません。それでも、ぜーんぜんかまわん。できれば、返信先がyahooのドメインになってるものも無条件でブロックしたいんですけど。

こういったスパムのほとんどは、タイトルでスパムだと分かります。たとえば、「異性紹介」「理想の女性に出会える」「秘密の・・・」といった、そのままずばりなタイトルは、容易に文字列だけでフィルタで来ます。しかし、敵は、逆にタイトルと送信元アドレスで、開封させる心理作戦にでます。例えば、送信元が鈴木さんで、タイトルが「先日はありがとうございました」というメールが来た場合、お得意先の鈴木さんかと思って開く人がいるでしょう。あるいは、送信元が山田さんで、タイトルが「お返事いただいておりませんが」というメールは、これまた、職場の山田さんかもしれないから、開いちゃうかもしれません。はたまた、「その件は、昨日やっておきましたが」というメールが、佐藤さんから来たとき、思い当たることを考えてしまいませんか。実際に、こうしたスパムは繰り返しやってきます。繰り返しやってくるので、ばればれですが。一応、こうしたメッセージは、メールソフトのメッセージ・ソース表示機能で、内容を確認してからポイしていますが。どうせ、本文には、例によって、あなたを待っている女性を紹介みたいなキーワードが並んでいるでしょうから、そっちでフィルターすればよいのだ。と、思ったら、さらに敵は電子メールのテクを駆使して、そうしたキーワードフィルタを潜り抜けてきます。すなわち、base64[e-words.jp]攻撃です。

これは、本文が完全にbase64でコーディングしてあるメールです。これによって、文字は一見ランダムな英数字に置き換わるので、キーワードでフィルタすることはできません。受けた人が何気なくこれを開いてしまうと、電子メールソフトがbase64をデコード(復元)して、フィルタを潜り抜けた情報を表示してしまうのです。どうやら、base64の中身はhtmlになっていて、リンクをクリックすると、その手のサイトに誘導するようです。アダルトサイトの業者が、ここまで凝るとは思えないので、もしかすると、スパム専門の業者がいて、アダルトサイトの下請けをしているのかもしれません。エンドユーザーとして、こうしたアダルト情報に興味が無いのであれば、base64でコーディングされたメールを開かないようにすることですね。そもそも、普通の人はそんな面倒なことはしないでしょうし、当然エチケット違反です。今のところ、私は、プロバイダのメールサーバとメールソフトの2つでフィルタしています。プロバイダのほうは、Received行に入る発信元のIPアドレスの上位ビットでプロバイダごとフィルタしたり、X-Mailer行で大量配信用らしいソフト名を見かければ、それでフィルタしたり。でも、こういうことをやっていると、なんかむなしくなってくるのね。なんで、返信アドレスが大手ニュース配信会社で、タイトルが巨乳や逆援助交際といった、くだらんスパムをフィルタするのに、ここまで手間をかけなきゃいけないのか。インターネットには、義憤に駆られてホームページに対策を紹介している人も見かけますが、ゴミメールであるうちは、まだましです。本当の危機は、フィッシング[nikkeibp.co.jp]にあるかもしれませんよ。このリンクはちょっと古いですが、その後も被害は増え続けている[nikkeibp.co.jp]ようです。

フィッシングというのは、完全に犯罪です。でも、詐欺サイトに誘導する方法としてスパムが使われているので、スパムの目的がアダルトネタだけだと軽く見ないほうがよさそうです。フィッシングは、銀行やカード会社を偽装したメールを送りつけて、結果的にパスワードを盗むという犯罪です。例えば、皆さんは、次のような文章があったら、クリックしますか。

カードを引き続き有効にする場合は、認証サイトhttps://akabei-bank.co.jp/card-validate/へ。

でも、ソースコードは、

カードを引き続き有効にする場合は、認証サイト
<a href="偽装サイトのURL">https://akabei-bank.co.jp/card-activation/</a>へ。

という具合です。表示されているURLと、実際にタグに書かれたURLが一致しているもんだと思っている人は、フィッシングの第一段階ではまっています。人を馬鹿にしてますが、それがフィッシングの世界です。実際、フィッシングではない、一般的な(?)スパムのHTMLメールに入っているURLでも、直接そこに飛ぶわけではなくて、別なサイトのCGIを使って飛ばしているケースもあります。多分、そのサイトを経由することで、スパム業者の出したメールのリンクがクリックされたという記録をとっているのでしょう。話をフィッシングに戻せば、誘導された先のページは、Webブラウザのセキュリティホールを駆使して、本物そっくりに銀行のサイトを再現したページです。多分、フィッシングだという認識が無い人は、引っかかってしまうでしょう。まずは、引っかかるものだと思って、ブラウザのセキュリティホールが報告されたら、まめにパッチをあてることですね。

フィッシングの手口については、上に紹介したnikkeibpの解説記事を読んでください。でも、知ったからといって被害にあわないという保証はありません。何も信じないことがインターネット利用者の知恵なんでしょうか。そんなことでは、インターネット利用者はローカルなネットワークに戻っていくことになるでしょう。とはいえ、インターネットは、危険がいっぱいの大海で、しかも、いきなり海辺でモンスターに食べられちゃう可能性もあるというのも現実なんですね。まずはアダルト向けのスパムを使って、スパムに引っかからないトレーニングから始めましましょうか(^_^;。