「G」の彼方に．．．RR

迷惑メールの効果的なフィルタリングは？

13:40 |

迷惑メールのフィルタリング方法として、迷惑メールに使われるドメイン名をフィルタリング対象に指定する事を推奨していましたが、最近は短期間で発信アドレスや一次誘導先のドメインを変更し、ドメイン名によるフィルタリングは追いつかない、現実的ではない状況になっています。

下のURLは実際に迷惑メールに記載されていたモノです。（IDやPassは編集しています）

【1】出会い系詐欺　http://nuts-ga1.jp/ にリダイレクト。

• http://juy25gree.me/t/sitemess.php?id=1234567&pass=4141&p=0
• http://atre12gree.me/t/login.php?id=1234567&pass=4141
• http://wyfgree.info/t/login.php?id=1234567&pass=4141

【2】出会い系詐欺　http://royal-support8.net/ にリダイレクト。

• http://i2ky5soecrc868.info/login0.php?UC=vHjkl81FghjkSfrty23D
• http://2vwxa3iymrc860.info/login0.php?UC=vHjkl81FghjkSfrty23D
• http://jvx1qlh3yrc843.info/login0.php?UC=vHjkl81FghjkSfrty23D

この様にアンカーサイトのドメイン（ nuts-ga1.jp や royal-support8.net ）はメール本文に記載されず、多い時で１日で４種類以上の新しい使い捨てドメインを一次誘導先に使ってきます。

こうなるとドメイン名でフィルタリングするのは現実的では無いので、別の共通要素をフィルタリング対象にした方が効果的です。

注）
本文記載の文字列をフィルタリング対象に指定した場合は、受信拒否ではなく削除や迷惑メールフォルダへの振り分けになります。

◆◆◆gTLD、ccTLD でフィルタリング◆◆◆

【1】と【2】に使われているドメインのTLD（トップレベルドメイン）は、.info や.me ですが、ドメイン全体（juy25gree.me や jvx1qlh3yrc843.info ）を指定せずとも、.info や.me だけ指定すればフィルタリングが可能です。

注意しなければならないのは、『.jp』や『.com』、『.net』など、普通のサイトにも使われているgTLD、ccTLD をフィルタリング対象に指定してしまうと、大事なメールが迷惑メールに振り分けられてしまうので、自分の使用状況に合わせて指定する必要があります。

迷惑メールのドメインに .info や.me が多く使われるのは、単純にドメイン取得に掛かるコストが格段に安いからです。多くが『お名前.com』経由で取得されていますが、『.info １ドメイン当たり99円』などのキャンペーンが頻繁に行われ、キャンペーン期間中に詐欺サイトの運営者が使い捨てドメインとして大量に取得、使用しています。（真っ当なサイトのドメインに『.info』や『.me』を使っている運営者には迷惑千万な状況ですが．．．）

◆◆◆ID やパスワードでフィルタリング◆◆◆

【1】ではURLに生のIDやパスワード『id=1234567&pass=4141』が記載されています。
【2】では符号化され、一見するとIDやパスワードに見えませんが、vHjkl81FghjkSfrty23D の部分がこれに該当します。

犯人はとにかく迷惑メールのURLをクリックさせ、実際のアンカーサイトに誘導する必要があるので、重要なハズのIDやパスワードを平気でURLに記載してきます。まともな企業から発信されるメールでは考えられませんが、コレを逆手に取って記載されるIDやパスワードを迷惑メールのフィルタリング対象にしてしまいます。

ただこの方法にも弱点があり、犯人側のアンカーサイトでIDやパスワードをランダムに変更して迷惑メールに連動させたり、複数のアンカーサイトを展開し、新しいアンカーサイトを構築する度にIDとパスワードを勝手に発行するとイタチごっこになる可能性があります。

◆◆◆メールヘッダに含まれる要素でフィルタリング◆◆◆

これは使っているメールソフト（クライアント）によって指定出来たり、出来なかったりするのですが、メールヘッダに記録されているFrom（送信者）：、To（宛先）：、Subject（件名）：以外の要素に共通して使用されるキーワードを指定する方法があります。（Outlook Express は不可）

【1】ではメールヘッダの envelope-from に xxx-m@ret.nuts-ga1.jp が決まって指定されていますし、【2】も envelope-from=mail-xxx@royal-support8.net が指定されています。（xxxの部分はランダムな数字）

envelope-from は有効アドレスを確認するDHA（Directory Harvest Attack：ディレクトリハーベスト攻撃）目的の迷惑メールにも記載されていますが、通常は　Return-Path:　や　Reply-To:　と同様に未達メールの返信先に指定される要素です。

詐欺サイト一つに１ホスト（ret.nuts-ga1.jp、royal-support8.net）が指定されているので、頻繁に変わるURLのドメインを指定するより効率的です。

■Link：メールヘッダチェック
http://spam-db.jp/antispam/mh_check.php

◆◆◆究極のフィルタリング．．．か？◆◆◆

ユーザー側で迷惑メールをフィルタリングせねばならない事がそもそもおかしな話ですが、詐欺サイトが成立してしまう現状が続く限り、迷惑メールは止まらないでしょう。究極のフィルタリングは、やはり詐欺サイトを壊滅させるだと思います。

出会い系詐欺や有料競馬情報詐欺に限ってですが、壊滅させる事はさほど難しくないと個人的には思っています。

単純に収益が得られない、ビジネス（？）として成立しない状況を創り出せば良いのですが、コレを実行すると迷惑メールの流通量が一時的に激増し、各個の精神力（？）が重要で、脳内お花畑の人間が１人でも存在すると、更に犯罪者に有利な事態になる可能性が大なので安易に書けません。

ヒントは『 今のインターネット上のサービスは ID と パスワード によって成立している 』という事でしょうか．．．。

問題が起きた時に受信者＝被害者が法的に保護されれば良いのですが、残念ながら法律はヒトが造ったモノなのに、機械と同じで０か１を決めるだけなのでアテにはなりません。（公的機関が積極的に詐欺サイトの情報を公開しない（できない？）のもゼロかイチかに縛られているからですし．．．）

迷惑メールも悪質・巧妙化しているので大変な日々はまだまだ続きそうです．．．。

ツイートする