« まだまだ続くセカンドライフ狂想曲 | トップ | 「+Lhaca」の脆弱性狙うウィルス?Ver1.21で解消。 »

2007年06月26日

txt→gif/jpeg→gif/jpeg(mz)→pdf(スパム・うぉっちんぐ)

暗号のようなタイトルだが、スパムメールの変遷史である(笑

最初はすべてのメールはテキストだけで書かれていた。のどかな時代である。
ところがメール内容を解析してスパムメールを取り除く「スパムフィルター」が普及するにつれ、登場してきたのがgifやjpeg画像を貼り付けたスパムである。
もちろん、それまでから画像を貼り付けたスパムはあったが、それは主に「見栄え」を狙ったものだった。ところが2、3年前から出て来たのは、本文がなかったり全く関係ない内容が書かれていて、本来の「本文」(広告が多い)が画像化して貼り付けられているスパムメールである。

この種のものは「去年あたりから」などとのん気なことをどこかのメルマガに書いているライターがいたが、とんでもない話で、嚆矢はすでに数年前から飛び回りはじめていたし、一昨年末くらいにすでに主流を狙うくらいの割合が出回っていたと思う。

ところがスパムフィルターが画像解析エンジンでテキスト化した上で解析しだすと、今度は単純な文字ではなく、上記に見られるように歪ませたりノイズを乗せたりあれやこれや手を変え品をかえ・・・いつものいたちごっこと言うやつだ :-)
この種の「解析しにくい」画像を貼り付けたスパムが増えたのは昨年半ばあたりだろうか。そしてこの種の「歪ませ」は行き着くところまで行って、時にはノイズだけとしか思えないほど判読不能(笑)なものまで現れた。本末転倒とはこのことだ。

もっともこれらの話はすべて英語のスパムである。内容は多岐に渡るが、多いのはオンライン薬屋さん(たいていはバイアグラなどのセックス系か坑うつ剤など)とか肥満対策や若返り薬、そして上記のような株関係である。株関係と言っても、売り込みではなく、どうやら(デマ?で)煽って値上がりを狙っているとしか思えない類だ。

スパムメールには英語以外の外国語のものもかなりあるが、内容が読めないのでよくわからない。ロシア語や中国語、朝鮮語のものは大半が普通の通販とか店の広告だ(と思う、絵を見る限りでは^^)。
今年になって急激に増えてきたのが日本語のものだが、大半が出合い系や逆援助などのセックス系で、この種のものは他国語ではあまり見られない。ほんとに日本ってどうなってんの?って感じのものばかりだ(-_-;)
内容もこの種↓の、どう考えても誰が引っかかるんや?と言う類のワケわからんやつとか、ここへの引用も憚れるようなエゲツナイ内容のものばかり。

【逆援助指名受信メール1件】届きました。
『名前』:佳代 ID:274508
『年齢』:32歳
『職業』:自営業
『年収』:1700万円
『援助』:出来ます
『写真』:あり
『内容』:今日会いたいです。
『一言』:男性との出会いがありません。遊び相手になってもらえませんか?
     メル友でもいいし、電話友達でもいいんですけど、
     今は買い物に行きたいです☆何かプレゼントしますからね
     夜も二人きりで腕枕されながらテレビ観て。。。。☆彡

その上、スパム技術的には英語のものより数年以上も遅れており、ほとんどがテキストオンリーか、htmlで画像を貼り付けたもの。日本では高度なスパムフィルターが普及してない証拠なのだろうか?
ただし、発信元は必ずしも国内とは限らないし、日本語的にぁゃιげなものも散見されるから、日本人の関与したものは案外少ないのかも。

一方、英語のもので最近増えだしたのが、画像ではなくて pdf ファイルを添付したものだ。画像貼り付けが一般化し過ぎたため、画像添付の時点で怪しまれる or 弾かれるケースが増えたのだろうか?
企業などでは一般メールでも pdf 添付が多くなっているので、pdfならうまくすり抜けられるとか見てもらえる確率が高い、と踏んでのことだろうか。
もっとも pdf とは言っても、中身は上記のような画像化した文字がそのまま貼り付けてあるものがほとんど。
つまり pdf は一種の目くらまし用カプセルとして利用されている、と言った感じだ。

いずれはスパムフィルターも pdf にも対応しだすだろう。
そうなれば、次はどのような手を考えてくるのだろうか?
まさにいたちごっこ。しかしこの大量のスパムで、スパマーはいったいどれくらい潤っているのだろう。単なる愉快犯だけとは思えないのだが、さりとて「ビジネスモデル」がいまいち良くわからないのも事実だ。

投稿者 shoda T. : 2007年06月26日 12:08

トラックバック

このエントリーのトラックバックURL:
http://shoda.tk/MT/mt-tb.cgi/493

コメント

Subject: と本文がどっちも日本語以外ならサーバで削除、
というスパムフィルターが欲しい。
私の場合、日本語以外の(必要な)メイルが届く可能性は
ゼロなので。(^_^;)

投稿者 CYBORG : 2007年06月27日 15:09

どうやら、今流れているpdfファイル添付のスパムの大半は「W32/Stration」ワームに感染したPCから送信されているようだと言う。
McAfeeのセキュリティ・ラボの研究員がブログで見通しを述べている。
http://itpro.nikkeibp.co.jp/article/COLUMN/20070710/277128/

つまりこのワーム(ウィルス)は自身の複製をばら撒くだけでなく、スパム発信基地のばら撒きも行なっているわけだ。
最近はウィルスメールが横ばい or 縮小気味であるのに対し、スパムが急増しているのも、このあたりに原因がある。

しかも、このウィルスと言うわけではないが、最近は Windows の通信機能(ネット接続機能等)を使わずに、自前の通信機能を内蔵したウィルスも出現していると言う。いずれはこれらを「統合」したウィルスが出てくる可能性は高いわけで、これだけを見ても、現在各プロバイダがスパム対策の切り札のひとつだと称して進めている OB25B(Outbound Port 25 Blocking) が、ほとんど何の意味もないことは明白だし、この種の「自前」派には、現状のウィルス対策ソフトもお手上げである。なぜなら、ほとんど全てのウィルス対策ソフトは Windows の通信機能をフックして監視を行なっているからである。

それにしても・・・何度も書いているが、ウィルスとスパムを統合してしまったり、自前の通信機能まで実現してしまうウィルス作者のアイデア力と力量だが、他に活かせる場はないのだろうか :-(

投稿者 shoda T. : 2007年07月13日 17:42

そういえば、このブログ(MovableType)で使用しているスパムフィルタ(プラグイン)の一つが「Subjectと本文がどっちも日本語以外なら」スパムと認定するってやつだった。
しかしメールサーバ用で、そういうのってあるのかなぁ。

投稿者 shoda T. : 2007年07月31日 18:49

相変わらずPDFなスパムがちらほら来るが、最近増えて来たのが .txt や .xls や .doc なファイルをzip圧縮して添付してあるやつ。
zip圧縮(パスワードも何もかかってない)すればスパムフィルターをすり抜けられる確率が高くなるんだろうか?
.txt や .xls や .doc と言っても、中身はあいも変わらず株の売り込み文だけなんだが、時世を反映してか、中国株が増えて来たような気がする(-_-;)

投稿者 shoda T. : 2007年07月31日 18:54

コメントしてください

名前とメールアドレスは必須です。メールアドレスはブログ上には表示されません。私に届くだけです。 TypeKey ID のサイン・インも必須ではありません。持ってる方だけサイン・インすればいいです。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)