最近のスパムの傾向 発信地の分布。 スパムが盛んに来始めたころは韓国発信のものが猛威をふるっていました。それから中国系が増えて、韓国系は毎回、発信のIPアドレスを変えるようになり、中国系が全盛になっていました。2007年12月の傾向を見ると、中国も激減し、今はヨーロッパ(ヨーロッパだけでなく、北米、南米、アフリカも含めていますが)が全盛になっています。本文に xxxxx.cnと中国のサイトへの誘導が一時目立ちましたが、下火になり、2008/1/6にはまた増えましたが、翌日には 2通に減りました。国の信用にかかわるので、中国も駆除にかかっているのではないでしょうか? 2008年になって目立つのはフィリピンの[117.104.245.xx]というIPアドレス、xxはいろいろ代わります。最近は[117.104.244.xx]に変わってきています。09/04/21以降、この関係は来なくなりました。韓国の[125.187.32.xxx](09/04/09以降来なくなりました。)、これらからほぼ毎日、数通、日本語のスパムが来ます。日本語のスパムは日本発は稀で、今現在はほとんど、この二つのIPアドレスから来ています。こういうのはネットワークの管理者がその気になれば容易に犯人を特定できるはずなのに?と思います。何か政治家の大物とかとの関係で摘発できないのかも知れません。政治家は日本人だけとは限らないでしよう。韓国の[125.187.32.174関係は 偽装屋の存在? 最近、from so-net.ne.jp ([58.248.200.204])などと、IPアドレスは中国のドメインなのに日本のプロバイダを偽装するものが増えています。本文内容は日本語です。圧倒的にso-net.ne.jpが多いのですが以前は a-net.ne.jp、 asahi-net.or.jpなども使われていました。so-netのガードが甘いので狙われるのでしょう。同様なものにfrom xn--y8j3a9fsd.jp ([220.101.214.x])などというのがあります。これは日本だけでなく、いろんなプロバイダを偽装するようです。09/04/12 最近、この手のものは減ってきています。外国のスパム発信業者・実はポットハーダーというロボットをほうぼうのコンピュータに侵入させて顧客の要求によってロボットに発信させる、日本語にするとロボット飼いを利用するものです。 こうしたポットを利用するスパムは、あるサイトに誘導して、そこでバイアグラの購入とかをするわけですが、そうした集金をするためのサイトを抱え込むプロバイダーもいるらしく、一時はほとんどのスパムが paycenter.com.cnと ename.comの中国のプロバイダが抱えるサイトに誘導されていました。09/04/12 ここ数日の傾向として、誘導するサイトが分散しはじめたようです。ポーランドとかウクライナなども顔を出し始めました。 2010年4月下旬あたりから関係ない無料ホームページとかガードの甘いサイトを乗っ取ってスパムサイトに誘導するものが増えてきました。日本のレンタルサーバー、無料ホームページも狙われているようです。以前は so-nt.ne.jpなどが狙われていましたが今は大手のプロバイダは防御が固くなって弱小のプロバイダが狙われています。 乗っ取りの特徴は URLが com/とかではなく、cayman84.htmlとかのファイル指定になっていることです。.comとかのホームページの管理者は乗っ取られた事実を知らないのがほとんどと思われます。きちんとアクセスを記録管理していれば、あるはずのないファイルにエラーにもならずアクセスしていることでわかりますが、そこまでは管理しないのが普通で、無料ホームページではチェックの手段もないのが普通です。 ボット発信屋の存在? 近頃ではパソコンに住み着くロボットは単にポットと呼ぶようです。欧米系のスパムの特徴は、本文は同じないようなのに発信のIPアドレスがまったくバラバラのものが多いことです。誘導先のURLが同じでも発信地はバラバラです。バイアグラとかですが、恐らく買いに来るスケベービジターにトロイの木馬としてボットを入り込ませ、大量のボットを抱え、あとはスパム発信依頼者に代わってロボットに司令を出して(これをやる人をボットハーダー bot herder: ポット飼いと呼ぶようです。)スパムを発信しているのだろうと思います。これは本人の知らぬ間にスパムを発信することになります。日本人でもボット化された人もいるようで、日本発信で英語のバイアグラの類とかが時々来ます。 スパムが使うメーラー: メールソフト これまであまり気を付けていませんでしたが、2007年12月30日に The Bat!というメーラーがよく使われているのに気づいて、過去五ヶ月の削除済みのメールを調べたところ 45%が、このメーラーによるものでした。しかし、12月30、31日の結果を見ると、かなり下火になっています。2008/10/13の状況では絶滅の雰囲気です。いろんなところでマークされたのでしょう。2008/9/30を最後に来なくなっています。 バイアグラの類 このところ、多いのはズバリ、バイアグラの類です。9割方がそうでしょう。これに関しては日本人は製造能力がないのか? まったく見かけません。最近、スパムが一番多かったのは07年11月20日の215通で、全部の中身をチェックしたわけでもありませんが、そのうちの206通がそうだったと思います。 これらははっきりバイアグラ Viagraとか サイアリス Cialisとか記されているもののほか、いろいろと婉曲に言い表す言い方をしています。以前は Viagraを Vlagraとか Viaglaとかに書き換えてセキュリティチェックをすり抜けようとするものもありましたが、最近はほとんど、そうした誤魔化しは見られません。これはセキュリティチェックの甘いところだけを狙えばよい、と考えているのか? それともセキュリティチェックをする方で、そうした文言でチェックしてもすり抜けられることを理解したため、別の方法、送信元のIPアドレス、つまり、どこのプロバイダから来たとかの情報でのチェックをメインにするようになったからでしょう。私も自分自身でメールを振り分けるというスパム対策をしていますが、viagraという文言ではチェックしていません。もっと効率的な判別方法があるということです。 2008年8月中頃からドイツ語のものが目立ち始めました。 一口にバイアグラの類と言っていますが、私は次のようなのも含めています。 - The way to make your girlfriend happy ガールフレンドをハッピーにする方法
- Hymen destroyer 処女膜破り
Hymenの代わりに vagina、destroyerの代わりにpenetratorとかのバリエーションがあります。 - Everything for your health これはほんとの当たり障りのない言葉です。
- you will never have a problem with your size any more サイズというのは男のモノのサイズを言っています。バイアグラとは少し違うかも知れません。この手は特に中国から発信されたものが多いようです。中国人は世界一、サイズに関して劣等感を持っているようです。
トロイの木馬 はっきりトロイの木馬と分かるスパムは少ないのですが、実際はかなり多いと思われます。たまたま、これは怪しいと思って検索をかけて分かるものはありますが。件名とか本文に使われている語句に特徴があるので、だいたいは分かります。しかし、その他のバイアグラの類もそうですが、あるサイトに誘導するものはすべて行き先のサイトでトロイの木馬をインストールされる場合があるでしょう。トロイの木馬はコンピュータを壊すようなことはしないのですが、もっと悪質なことをするようです。侵入されても気づかないため、かなりのコンピュータが侵入されているものと見られます。次のような場合があるようです。 - もっとも悪質なのはフィッシング詐欺に使われる奴です。最初の頃は銀行などに偽装してサイトで暗証番号を入力させようというものがありましたが、今ではキーボードの入力順を送信するソフトを忍び込ませて盗み取るというものが多いようです。
- ある目的のために司令で一斉に動作するロボットを侵入させるもの。普段は何事もないのですが、ある時司令で特定サイトにアクセスを集中させて、そのサイトのサーバーをダウンさせるなり、セキュリティに穴を開けて、改竄したりといった、いわゆるサイバー攻撃に使われるのが典型的です。次に説明するガセ投資情報もこの手のロボットから発信されている可能性が高いようです。
とにかく怪しいサイトに近寄らないのか一番ですが、アダルト系の好きな人は、まずトロイの木馬に侵入されているでしょう。一頃、アダルト系の客寄せか?アダルト系のサイトから渡辺組のサイトにアクセスし、その記録が残るので、管理者たる私が、いったいどこからアクセスしてきたか?と行ってみると、アダルトサイトに出会うということがよくありました。だんだん智恵がついてきて、見ただけでわかったり、特徴を掴んで自動的に「アダルトサイトから」と判別したりするので最近はあまりみられません。こうしたサイトはだいたいにおいて極めて動作が遅く、何らかの悪質ソフトを侵入させようとしている場合が多いのではないか?と思っています。私の場合は Macなので侵入しにくいと思いますが。がせ投資情報 次に最近目立つのはガセ投資情報です。これは今のところ、英語に限られますが、特定の会社の株とか、特定の通貨に買いを集中させて、犯人は売り抜けるといった目的らしいです。株価が上がりそうな秘密情報とかを提供するわけです。目立つのは情報が pdf形式になっているものです。多分、欧米では本文中の current priceとかがセキュリティチェックに引っかかるのでチェックにかからないようにしているのだと思います。この手のは特に行き先の URLとかはなく、単に受信者の行動を期待しているわけです。実際に反応して行動する人は極めて少ないでしょうから、一定の効果を得るには、そうとう大量に発信しないと効力がないでしょう。ですから、この手のは無数に侵入させたロボットから発信させているものと思われます。実際、英文のものが、日本の各地から発信されています。 逆援助の誘い 一頃はこれがほとんどのということがありました。これはエッチな表現があって面白く、楽しませてもらいました。ごく初期には特定のサイトへの誘導ということもなく、メールで勝負というのもありましたが、そういうのは数十メガのガラクタを添付して送り返すという反撃方法があって、半年ほどで無くなりました。今では特定の URLを指定するのが定番です。エッチな文章に興味がある方はスパム日記をご覧になれば、かなりのところは紹介しています。引用といえども、これはマズイというのもあって紹介していないのもありますが。 この仕組みが今ひとつ分からないのですが、入会すると 100万円とかをまず、振り込んでくるというのもあって、実際に振り込まれるのもあったようです。それから出会いは実際には成立せず、契約不履行とかで法外な利子を請求されたり、というともあるようです。失うものが何も無い人はいいですが、そうしたことで会社まで電話がかかったりしたら、普通の人は対抗できないでしょう。契約不履行と言っても、指定の出会い場所に先方はもともと来てなくて、「約束を違えたのはお前の方だろ!!」と水掛け論の持ち込まれたらどうしようもありません。 とにかく入会とかは必須で、その際に様々な個人情報、振込先とかで口座番号なども提供することになり、トロイの木馬を忍び込ませられてバスワードも盗まれるといったこともあるかも知れません。そこまで高度なテクニックがあるようにもおもえませんが。 海賊版ソフト これは以前から、よく来ます。これも特定のサイトに行って、しかも支払いをするわけで、セキュリティ上は極めて危険なものでしょう。偽ブランド品 最近は少なくなりますが、ときどきは来ます。一頃は半分近くがこれでした。これもセキュリティ上、極めて危険なやつです。 三日で博士号が取れるの類 これも昔から、だいたい同じようなペース出来ます。週に1、2通は来ているでしょう。 最近は見られなくなったもの 最初に来始めたのはナイジェリアとかシェラ・レオーネなどから入札価格の水増しとか、軍資金を横領したとかの不正資金をローンダリングする、と見せかけて口座を貸してくれれば ん億円を礼金として出すというものでした。最初に来たときは心動いたものです。そのうちに、故アバチャ将軍の妻が 4人も 5人も出てきたりで、「何じゃコリャ」となりましたが。まあ、あのあたりはイスラムだから「妻の 4人はおかしくないのじゃないの」というのは娘の言ですが。掲示板に紹介したところ、挑戦したいという人が出てきて、先方のアドレスを教え、実際にコンタクトし、語学の出来る人で電話でもやりとりされたということですが、何とかの手続きをするのに、「何万ドルとかが必要で今、手元にないので送金してくれ」とかいうことになったようです。シェラ・レオーネのものはタイランドのどことかで会いたいというのが定番でした。ときどき東南アジア方面で行方不明になる人がありましたが、これではないかと思われます。身ぐるみ剥がれたのだろうと思います。 次に来始めたのはクジで 50万ユーロとか当たったから、こちらに電話しろ、とかいうものです。なぜか、電話でのアクセスです。これも口座番号とかを聞き出されて、全額引き出されてるとかだったようです。最近は見られません。 |