(2004.11.12執筆)
スパムの語源には諸説あり、「SPAM」という缶詰から来ているということを良く耳にしますが、これも定かではありません。
不要なゴミということで、ジャンクメールとも言いますが、スパムメールの方が定着しています。
スパムメールの基本は、受信者にとって不要なメールです。その多くは広告ですが、詐欺やウイルス配布を目的とした物もあります。
広告メールですから、相手に届くこと、読まれること、Webサイトで商品を買ってもらうことが目的です。
詐欺の場合、実際に商品はなかったり、フィッシング(Phishing)詐欺のようにカード情報や個人情報収集が目的です。
ウイルスの配布というのは正しくないですが、アドウェアやスパイウェアをウイルス的な手法で組み込んでしまうものです。個人情報収集が目的の場合、ウイルスとして機能するものもあります。
このようにスパムメールは、ただの広告メールではなくなってきました。ありとあらゆる方法を使って広告を押しつけるだけではなく、あなたの財産を騙し取ったり、個人情報を盗み出そうと狙っているのです。
(2007.7.14執筆)
ここではスパムメールの技術的な変遷を見てみたいと思います。
当初、メールは文字だけを扱うものでした。そのため、スパムメールもテキストで構成されていました。
その後、HTMLメールが利用されるようになります。これは見栄えの良いメールを作るだけでなく、添付した画像を表示させることができます。添付ファイルはウイルスとして警戒されていたのに、Windowsに添付されたメールソフトが標準でHTMLメールを開いてしまいます。そのため、画像にウイルスを仕込んだり、画像をサーバからリンクさせてメールの開封状況を調べたり、スパムの文面を画像で送りつけるというように利用されました。
画像スパムでは、テキストが少なくなり、画像にほとんどの文面が入りました。これは対策ソフトによるフィルタリングを回避するために利用されました。
その後、画像よりも趣向を凝らしたPDFスパムが登場します。おそらく、画像で作成するよりも作りやすく、修正もしやすいため、宛先毎に文面を変えるのも容易であるために移行していると思われる。HTMLメールのようにデザイン性にも優れていることもあるが、PDFを閲覧する環境が普及し、最新のWindowsVISTAや携帯電話でも開くことができるのがスパムへの転用の理由ではないだろうか。
時期 種類 解説 参照記事 テキストメール 文字による広告・宣伝のメール 1999年頃 HTMLメール 画像を組み込んだメール。Windows98に標準搭載されたOutlook Express が、初期設定でHTMLメールを表示するために、多くのユーザーが画像を含んだメールを不用意に開いてしまう事態となった。 掲示板スパム 掲示板にURLを書き連ねることでHPを宣伝する。後にブログのコメント欄も利用される。
リンクとして表示されるURLもあり、これらは被リンク数を稼ぐことで検索結果の上位に昇るという効果も狙っていると思われる。2002年頃 Webビーコン HTMLメール内に表示する画像をWebサーバに置くことで、メールの開封を調べるという手法。画像自体は目に見えないものを使っても良い。
開封されるということはアドレスが有効だということになり、メールを確実に見てもらえると判断され、更に大量のスパムの標的とされる。ITmedia 2005年頃 トラックバックスパム ブログのトラックバック機能を利用して、広告・宣伝のHPやブログに誘導する。
掲示板にリンクを貼り付けるのと手口は同じだが、関連したリンクのように表示されるため、クリックされる確率は高いかもしれない。ITmedia 2006年頃 画像スパム 文面の一部に画像を使用するのではなく、広告・宣伝の文章を全部GIFやJPEGにしたもの。フィルタリングソフトによる文面の調査を回避することを狙っている。
ただ、画像の文字は綺麗ではなく、URLが書かれていてもそれをわざわざ入力し直すとは思えないので、実質的なHPへの誘導効果は低いのではないだろうか。2007年6月 PDFスパム PDFファイルを開く環境が普及したため、画像スパムの発展型として登場する。
文字や画像にリンクを埋め込むことができる。
それにしては文字だけの汚いものもあり、品質が誘導効果に大きく影響しそうだ。
その後、翌月にはExcel版が登場。ITmedia
ITmedia
ITmedia
(2004.11.12執筆。2007.1.26追記)
まずはどのようなメールがあるのかを知らなければ、対策も考えられません。様々なパターンの手法が考えられていますので、参考例を随時追加しておきます。
目的 メールの内容 解説 広告 ・商品やサービスの案内をする一般的な広告 取込詐欺(お金は受け取るが商品は発送しない)の可能性もある。 広告 ・弁護士も違法でないことを明言しているカジノなので安心
・数億円が当たる宝くじの購入権が当たりました宝くじやギャンブル、カジノの広告。詐欺目的。カジノの場合、日本人が参加するだけで違法なので、海外のカジノであっても参加者が罪になる。 広告 ・あまりにも安価な商品の販売
・違法な商品の販売
・メーカーからの販売を装う商品販売を装った詐欺の可能性が高い。 広告 ・パソコンでのオペレーターを募集します
・チャットで男性の相手をしてください内職詐欺。仕事ができる人を募集して、登録料や道具代、材料費を騙し取る。 広告 ・出会い系サイト 特に女性との出会い(特にオフでの出会いを強調している)を100%などと宣伝するのは誇大広告というだけでなくそれだけで詐欺の要素が強い。
女性会員がいない場合やさくら(バイト)の女性が定型文を返信するのみで、無料期間があるサイトでも時間を稼いで会費を支払わせることが目的のこともある。
ひどい場合は、何もしていないのに加入しただけで会費を請求されることもある。目的 メールの内容 解説 収集 ・メールを受け取ったという知らない人からの問い合わせ
・友達へのメールを装ったもの
・女性から男性を誘うもの
・メールが届かなかったことを知らせるものメールを無作為に送りつけ、返信をさせることでメールアドレスの確認を行う。名簿の整理や、別のメールを送るための下準備。特に知らない女性からのメールに注意しましょう。 収集 ・メールマガジンへの登録確認
・メールマガジンとしてメールマガジンへの登録を拒否したり、解除しようとするとメールアドレスが生きていることを確認されてしまう。 収集 (内容はまったく重要ではなく、メールを開いた時点で目的は達成される) HTML内にビーコン(画像ファイル)を埋め込み、メールを開くと画像をWebサーバーから読み込ませることでメールの到着を確認する。 収集 ・アンケート
・プレゼント謝礼を餌にして個人情報を集めることが目的で、趣味趣向を詳細に尋ねることで、それに合わせた広告や詐欺の材料にする。 収集 ・Webページへの案内
・コード付きのリンクを含む「page.cgi?code=0123」のように怪しげな番号がついたリンクを用意してクリックさせます。クリックするとこの番号が相手に記録されます。相手はメールを送る時点で各メールアドレスにコード番号をあてており、アクセスの記録と照らし合わせることで誰がアクセスしてきたのかを知ることができます。
アダルトサイトや女性の個人名で男性をサイトへ誘う内容のメールに多く見られます。目的 メールの内容 解説 詐欺 ・正規ユーザーへの連絡事項
・パスワードが無効になったので確認の手続きをしてください
・クレジットカードを再発行します
・クレジットカードの番号を確認しますフィッシング詐欺。大手企業の名前を使い、サービス内容の確認としてユーザーIDやパスワード、クレジットカード番号などを入力させて盗む。
当初は、いきなりダイヤログを表示してIDとパスワードを入力させるという手口でしたが、今では正式なHPに見せかけたサイトを作成して手続きをさせます。リンク先に飛んでみるとURLが表示されない場合は要注意です。ステータスに表示されるリンク先を偽っている場合もありますので、正式なHPへ別の方法でアクセスし、内容を確認することをお薦めします。
この発展型にファーミングというものがあり。DNSの情報を改ざんして正規のURLをクリックしたときに詐欺サイトへ誘導します。
また、DNSポイズニングという似た文字をURLに混ぜるという手法もあります。lと1のように形の似た文字を入れ換えて表示するので間違いに気づきにくいというものや、ユニコードを使用した2byteコードの文字にある他言語で似たような文字に置き換えるという手口です。詐欺 ・サービスの利用料を要求する
・債権を引き継いだので連絡を求める利用していないものを請求する不正請求詐欺です。一度連絡を取るとしつこくなり、1度支払っても数回同じような詐欺を繰り返すことが大半です。
利用したサイトや債権の内容がかかれておらず、業者の住所や電話番号さえ書いていないものが多い。弁護士や債権回収機構をかたる。詐欺 ・サービスの登録料や使用料を請求する これも不正請求詐欺の場合があります。携帯でメールを開いただけであったり、サイトにアクセスしただけであったり、無料登録と偽って会員登録させます。登録時に確認画面がなかったり、正確な契約内容を表示しないものもあります。
また、アクセス時にコード番号付きのURL(リンク)を使って、アクセスした時点で個人情報と照合することもあり、携帯の場合、電話が掛かってくることがあります。詐欺 ・特定の株を買うように進める
・株価操作の報酬を要求する自分が持っている株の価格を上げるために、嘘の情報で株を買わせる。買い注文が増えることで株価は上昇するが、情報が偽物だったことが判ると買い注文がなくなり売り注文に変わるため株価は下落する。仕掛けた株主は株価が上昇している間に株を売り抜けて利益を上げる。
また、偽の株情報を提示し、株価を釣り上げることを約束して報酬を要求する物もある。ITmedia
ITmedia詐欺 ・殺人依頼 あなたの殺害を依頼されたが、その報酬より高い金額を支払えば見逃すというもの。もちろん、殺害依頼は嘘である。
目的 メールの内容 解説 参照 特殊 ・サブリミナル効果 特定の株を購入させるために、画像を表示させてそこに「買え!」というメッセージを埋め込んで、無意識に訴える。
株を売り抜けるための詐欺なのかはわからないが、その可能性が高い。ITmedia 特殊 ・URLの8進数、16進数化 URLフィルタリングを回避するためにIPアドレスを8進数や16進数で表示する。
ブラウザが8進数や16進数を自動的に10進数に変換してしまうことを利用している。更に、不要な0を読み飛ばすためこれを利用して表記の種類を無限に作り出せる。
(IE7.0、FireFoxでは機能しませんでした。)ITmedia
(2004.11.12執筆/2004.11.16加筆)
対策の基本はメールに反応しないことです。返信しない、クリックしない、添付ファイルは開かないこれらは基本です。
それと、パソコンのシステムについても注意が必要です。HTMLメールは閲覧しない、Windows Updateを怠らない、対策ソフトを導入することも安全対策です。
・返信しない
返信をすることは、メールアドレスが生きていることを相手に知らせる行為です。受取拒否であっても、相手は真っ当ではありませんから目的を達したら、次の狙いを定めるだけです。同じメールアドレスを毎回使うとは限りませんから、一々相手をしても時間の無駄です。
・クリックしない
コード番号付きのURL(リンク)はクリックしないでください。また、HTMLメールだとURLを偽ることもできますので、コード番号がなくても信用はできませんし、大手企業のURLであっても信用できないことがあります。
次のリンクを見てください。これをクリックするとどこのサイトにつながるか予想できますか?→「http://www.yahoo.co.jp/」
見ただけでは正しいリンク先は分かりません。マウスを持っていくとステータス欄にリンク先が表示されます。一部のブラウザでは、JavaScriptを使って偽装されたURLが表示されるでしょう。このようなリンクにコード番号を埋め込んでどのメールに送ったリンクか判別しています。
・添付ファイルを開かない
ウイルスの可能性もありますし、スパイウェアがあなたのプライバシーを盗むことも考えられます。言葉にだまされないように、相手は一枚上手だと常に気を付けることも大切でしょう。JPEG画像や文書ファイルのマクロによって感染する不正プログラムもあります。
・HTMLメールは閲覧しない
Webビーコンという手法を使えばHTMLメールを閲覧させるだけで相手がメールを開いたことを知ることが出来ます。メールに埋め込まれた画像の保存先(リンク先)をWebサーバーにして置きます。画像のファイル名にはコードが振ってあるので、コード付きのURLをクリックさせるのと同じなので、このコード番号を記録して送信したリストと照合してメールアドレスを特定します。メールソフトのHTMLの使用に関する設定を使用しないようにすることで防ぐことが出来ます。
・ソフトウェアのアップデートを怠らない
Windowsだけではありませんが、OSやアプリケーションソフトウェアのアップデートを常に心がけることは重要です。どんな不具合が標的となってあなたのパソコンに誰が何を目的で侵入をしてくるか分からないのです。ウイルスのように1時間で数万台というコンピュータに侵入することだってあります。決して自分だけは被害に遭わないと思ってはいけないのです。
・対策ソフトを導入する
ウイルス対策、スパイウェア対策、不正侵入対策(ファイアウォールや侵入検知)をソフトウェアに任せます。そうすることで、ユーザーが気づかないうちに被害を被ることを防ぎます。というよりも、危険を感知できないユーザーを守ると言う方が当たっているでしょう。
・疑わしいものを信用しない
詐欺に引っかかる人は、そもそも相手の言い分を疑っていないのかもしれませんが、少しでも妙だなと思うことは確認をしましょう。
時間を制限して焦らしたり、内容を曖昧にしか伝えなかったり、自分の身分を証明できなかったり、聞かれたことに答えずにはぐらかしたり。急がせる割りに正確な情報を避けるのは、確認を遅らせてだまそうとしているからです。メールの場合、もっと落ち着いて行動できるでしょう。
悪い知らせを受け取ったら、とにかく一人で行動しないで周囲に確認を取ってみるのも良いと思います。大手掲示板など情報が集まるところを利用して質問したり、他の人が同じ情報を持っていることもあります。情報が少ないときはより慎重に行動しましょう。・クリックしたら請求書が表示された場合
ただクリックしただけで一方的に購入契約に基づいて請求書を表示するというサイトがあります。いわゆるワンクリック詐欺です。
このようなサイトは契約自体が無効なので支払の義務はありません。ポイントとしては、購入前に価格の確認画面がない場合は契約成立にはならないということです。また、業者の連絡先や返品方法など通信販売法に基づく記載がないサイトでは、期日に関係なくクーリングオフすることができます。
請求書と一緒にアクセス情報としてIPアドレスやプロバイダの情報を表示させて、いかにも個人情報を取得しているかのように見せるサイトもあります。これはほとんど脅迫に近い行為ですが、プロバイダ経由でアクセスしている場合、実際にはそれだけで個人を特定することはできません。ただし、メールからコード付きURLをクリックしてアクセスした場合には、メールアドレスを表示することもあります。これも個人情報と言えますが、これだけであなたのその他の個人情報を得ることはできません。ただし、HPでそのアドレスを公開していたら検索で見つかる可能性がありますし、そこに住所が書いてあれば誰でもそれを知ることができるでしょう。
相手が再びメールなどで連絡を取ってきても、応じてはいけません。早急に国民生活センターへ相談してください。
(2005.1.23執筆)
迷惑メールの対策には官民の協力が不可欠です。迷惑メールを報告する窓口がありますが、果たしてどれだけの人がそのことを知っていて、更にその内のどれだけの人が報告をするでしょう。しかもその窓口機関もメールアドレスを表記して転送させるだけというもので、蔓延した迷惑メールに対処することはできません。
私たち利用者が望むのは迷惑メールを認定して業者を罰することよりも、迷惑メールを受け取らないことです。もちろん、罰則を与えることで次の犯罪をさせないことを目的として迷惑メール防止関連の法律があります。しかし、メールを受け取ることそのものが第1の被害であり、受け取ったメールにだまされたり、ウイルスに感染するのは第2段階と言えるでしょう。現在ある、「※未承諾広告」の表示義務や、再送信禁止義務についてはまったく機能していません。そもそもスパム業者(迷惑メールを送信する者)が表示を守ること自体考えられません。そして、そのようなメールに返信しないことを被害拡大の防御策としているのに、送信しないように返信することは非常に馬鹿げていて矛盾する行為です。それらを遵守する優しい人がスパム業者だと思っているのでしょうか?
これらの対策はアメリカでの施策を真似たものですが、スパム業者を知らない人が考えた方策としか言いようがありませんし、それを真似ただけでは更に何も分かっていないのです。迷惑メールがどういうものか、一番分かっているのは受け取った人です。当然に必要のないメールは全て迷惑メールです。しかし、大量に送信されたものでなければ、スパムメールとは呼ばれません。個人的な恨みで送られてくるメールはここでは除外して考えます。
迷惑メールに一番頭を悩ませ、一番困っている人たちこそが、迷惑メールを評価するのにふさわしいと考えます。そこで、私たちが受け取ったメールを評価し、撃退するための協力ができないものかと考えました。そこで、利用者の意見を取りまとめる機関が必要になってきますが、ISP(インターネットサービスプロバイダ)や利用者の3者が協力しあった迷惑メール対策が必要であり、効果的だと思ったのです。それでは、具体的に「迷惑メール評価システム」がどのようにして迷惑メールを認定し、各人がどのような役割を受け持つのか説明します。
メールを受信する一般の人々をユーザー、迷惑メール対策を受け持つ公的機関を評価機関、そして、メールサーバーを所有しているISPや個人・団体を管理者と呼ぶことにします。
評価機関はユーザーからの迷惑メールの報告窓口として機能し、データベース化を行い、評価の認定と開示を行います。また、後に書きますが、大量送信メールの認可機関としても機能させることができます。
管理者は常に評価機関のデータベースを参照することができ、迷惑メールと認定されたメールを転送拒否したり、ユーザーの指示の元でメールボックスから削除することができます。【基本的な流れ】
ユーザーは受け取ったメールに対して迷惑メールであるかどうかの評価をします。もし、迷惑メールだと評価した場合、評価機関に対してメールを転送するか、メールソフトの機能によって自動的に転送されます。
評価機関はユーザーから転送されたメールをデータベース化します。そして、同じメールが一定数蓄積された場合にこれを迷惑メールであると認定します。
管理者はメールボックスにあるメールを評価機関の情報と照合し、迷惑メールと認定されたメールをメールボックスから削除します。
迷惑メールが自動的に削除されるため、これによりまだ受信していないユーザーはメールを見なくて済むのです。【迷惑メールの評価について】
メールの内容が同じというだけで評価できることは少なくなるでしょう。しかし、1つ1つのメールを完全に違うものにしてしまっては本来の目的である広告にはなりません。そこで、文面の一部や記述されたURL、発信されたサーバー名(発信者のメールアドレスではない)、発信された時間、同じサイズの添付ファイルを手がかりにします。基本的にはメールの内容を評価の対象としていますので、まったく別の人物が真似をしても対処できるものを期待しています。
迷惑メールを自動認定せずに仮認定とし、最終的に専門家が判断する体制も考えられます。その場合、どれだけ短時間に対処できるかが問題となります。
また、このデータベースは一般に公開され、誤認による認定の取り消しにも対処する必要があります。そのための許可制度も考えています。【ユーザーの権限】
ユーザーは迷惑メールの扱いを管理者に事前に依頼しておき、管理者はその依頼に基づき迷惑メールを処理します。
迷惑メールをどうして欲しいか、それを決定するのはユーザーです。迷惑メールを削除したり、印を付けたり(タイトルに迷惑メールの表記を追加することを管理者に許可する)、受信したりという選択が可能です。
また、メールの処分をどの時点でするかも選択したいところです。メールボックスに入った時点、定期的に行う、メールをPCに読み込む時点など考えられます。また、明らかな迷惑メールは管理者が転送しないことでも良いでしょう。【管理者の役割】
管理者のサーバーに負担が増えますが、利用者にとっては優良なサービスですから、優良なISPの証として評価機関の利用を押し進めることにもなるでしょう。
管理者はユーザーの依頼と評価機関の認定情報に基づいてメールを処理するため、誤認による責任は問われないようにしなければなりません。
また、ISPは下記「大量メールの許可制度」の窓口(代理店)にもなります。【評価機関の役割】
迷惑メールと思われるものをユーザーの報告または独自の調査によりデータベース化し、ユーザーまたは管理者からの問いあわせに対して各メールの迷惑認定を行います。
迷惑メールの発信者を特定した場合、発信者や管理者に警告・通知を行います。
違法なメールを発見した場合、警察等へ通報します。
迷惑メールと誤認されたメールに発信の許可を与えることができます。
管理者の負担を減らすようなメールシステムの構築や提供を行います。【大量メールの許可制度】
そもそも、個人がメールを出すのに複数の人にメールを出すことは非常にまれなことです。ですから、例外的なものの多くを規制対象にして良いと思っています。基本的にはメールを10人以上に同報メールは送れない、短時間に大量のメールを発信できないというようなことです。管理者はメールの発信時と受信時にこれを規制します。
メールの仕組みそのものを大量メールは許可がない限り送信できないものにするには、世界中のシステムを変更しなければ意味がありません。ここでは任意に許可を取る制度として考えます。
大量メールを送りたい場合には評価機関から許可をもらうという制度で、許可申請の段階でメールの内容を検査したり発信者の特定を行います。
業者としての許可や、個人が1回限りの許可をもらうということが考えられます。もちろん、この許可には手数料が発生することになります。
許可されたメールには認定番号が与えられ、メールのタイトルに必ず表記しなければなりません。管理者は認定番号が付いたメールを受信した場合、評価機関に問いあわせ、事前に登録された内容と同じかどうか判断し処理します。
管理者には許可のない大量メールは発信・受信できないように協力してもらいます。大量メールが発信できない変わりに受け取ることもないとしたら、魅力あるメールサービスになると思いますので、ISPなど事業者にとってもメリットはあるはずです。こうして、発信を規制できなくても受信を規制していけば、この制度の存在価値が上がります。
もちろんですが、許可を受けたメールであってもユーザーからの迷惑メールの認定を免れるわけではありません。大量メールの規制を掲げる管理者のサーバーにメールが届くことを許可するための仕組みであって、迷惑メールを送っても良いということではないのです。
事前に内容が決まっていないメールの場合には、許可番号を先に与える制度も必要かもしれません。その場合はより厳しい条件や罰則が必要となるでしょう。
メールマガジンの利用者には心配な制度かも知れませんが、送信者としての登録を評価機関に行うことと、ユーザーからの迷惑認定がないことを条件にするなどの施策も考えることが出来ます。【考えられる問題点と対策】
ユーザーの利便性…評価機関への面倒なメールの転送が自動化されるようにメールソフトが対応すること。
メールサーバーの負担増…迷惑メールを転送時点で判別するような専用のシステムを評価機関が構築して、管理者の負担を減らすことも可能です。この場合、ユーザーの権限は無視されることになりますが、類似の迷惑メールは送信時や転送時に消えてしまうでしょう。
不正な認定番号の取得や利用…許可の取り消しや刑事罰での対応。
不正な評価をねつ造される危険性…営業妨害を目的とする評価も発生するかも知れませんが、評価を与える条件を低くしないことで調整します。
個人のメールマガジンとメールマガジンを利用したスパムの判別…許可制度を使うことで結果として評価に違いがでるはず。
メールの内容を必要とする人にメールが届かない…メールの内容を判別してメールの受信を規制するシステムですが、本来はメールの発信そのものを規制することができないための対抗策です。そのため、迷惑メールが届かないことが理想であり、例えその内容が必要な人がいたとしても、スパム業者の利益を阻止する目的を優先させることになります。最終的には、これら評価機関と管理者の協力や、メールソフトの製作者、行政と法律によるバックアップも必要になります。
迷惑メールのデータベースを証拠品としてスパム業者を摘発したり、不正な認定番号の取得や利用についてもしっかりとした刑事罰を設けて、しっかりとした法律の規制を期待します。
(2005.8.9執筆/2005.8.12追記)
スパマーに利用されないメールアドレスの表示方法はないだろうか?そんな疑問がこの実験のスタートでした。
まず考えたのは、スパマーがどうやってメールアドレスを集めているのだろう?ということです。1つは、ユーザーが自ら公開したもの、もう1つはスパマーが適当に推測したものがあります。 では、ユーザーが自ら公開するとはどういうことか。実はこれが一番多いのではないかと思っています。その中でも2つのパターンが考えられます。
1つはHPや掲示板に書かれたアドレスです。WEB上に置かれたメールアドレスは、誰でもそれを知ることができます。もちろん、それのために公開しているのですからね。しかも、スパマーたちは1つ1つHPを見てメールアドレスを集めたりはしません。クロウラーと呼ばれる巡回プログラムによって自動的に集められます。
もう1つは会員登録やアンケートなどに記述したアドレスです。これらは回収した業者の管理が悪くて流出したり、最初から名簿作成が目的で名簿として流通してしまいます。
流れ出したメールアドレスを止めることはできません。では、どの段階で流出を防ぐことができるのか。それは、アドレスを公開しないことしかありません。しかし、これではアドレスを持っている価値がないというものです。
自らメールアドレスを公開したり提供したりすることは極力避けることはまず第一に考えなければなりませんね。そのために、公開用のアドレスを作るのも良いでしょう。プライベート用途は別にしてしまうのです。
では、HPでメールアドレスを公開したい場合はどうすれば良いか。そこで、クロウラーが公開後どれくらいでメールアドレスを発見するのか。また、どのような細工が通用するのか実験することにしました。メールアドレスをHPで公開する場合、テキストで表示するか、グラフィックで表示こともできます。ただし、グラフィックの場合、読み取りは目でないとできないため、覚えにくいアドレスだと利用者にも面倒を掛けます。クリックをしたらアドレスがメールソフトに読み取られるのが一番簡単ですね。ただ、そうするとクロウラーにも簡単に読み取られてしまいます。
そこで、実験には4つのアドレスを用意しました。どれもクリックしたらメールアドレスがメールソフトに表示されます。
アドレス ソース メール1 <a href="JavaScript:sendmail()">メール1</a> 【解説】JavaScriptを使ってメールアドレスを合成し呼出 参照 メール2 <a href="mailto:user@dammy.con">メール2</a> 【解説】mailtoを使用。アドレスをコード化
もともとWEBで表示される文字にはコードが割り当てられており、コードでないと表示されない文字もあるが、通常入力される文字(1 byte文字のみ)もコードで表示させることができる参照 メール3 <a href="mailto:user@dammy.con">メール3</a> 【解説】mailtoを使用。mailtoおよびアドレスをコード化
もし、mailtoが呼び水となっているとしたら、ということでmailtoもコード化してみた。しかし、良く考えたらアドレス部分の読み取りをされたらここも同じく読み取られるのであまり意味はない参照 メール4 <a href="mailto:user@dammy.con">メール4</a> 【解説】そのままメールアドレスを記述 このように4つのアドレスを見えないように実験ページに埋め込みました。それぞれの違いは上記の解説をご覧ください。
このメールアドレスを組み込んだページは2004年10月7日に公開を行いました。あとは、クロウラーがページを発見し、それぞれのアドレスにメールが届くのを待ちます。現時点での集計結果を下記に公表します。
(集計期間:2004.10.7〜2005.11.28) アドレス 最初のスパム 受信数 感想 メール1 なし なしスパムメールは届いていません メール2 2005.6.10 606通どちらも日本語のメールしか届いていません。メールが届き始めた時期は同じで、同じメールが届いています。最近はそれぞれ別のメールも届くようになっていますので、メールの受信数にも若干ですが差が出ています。
メール3の方のmailtoがそのまま読みとれないことが影響しているかどうかは誤差の範疇だと思われますので分かりません。メール3 2005.6.9 616通メール4 2004.10.12 3970通公開からわずか5日後に最初のスパムメールが届いています。内容は日本語です。11.6には初めてのウイルスメールが2通届きます。その後もあまり増えてはいません。多い時で20通を超えるメールが1日に届いています。
初めての英文メールは2005.1.21です。メール4がこれだけ早く発見されたのには驚きです。その後、メール2とメール3が発見されるまでに8ヶ月も掛かっています。この間にコードに対応したと思って良いようです。
メール3が思ったほど効果がなかったのが残念ですが、現時点ではスクリプトの使用が最も効果が高い結果になっています。一度流出した情報はいくらでも使い回しされますから、1度でもクロウラーに収集された方法は安全ではありません。
また、これら3つのメールアドレスには同じメールも届いています。メール4は1日に十数通届いていますので受信数が大幅に伸びています。
メール1は、さすがにJavaScriptを実行しないとアドレスを読みとれないため、クロウラーでは対処できないようです。スクリプトの記述にも注意を払い「user@dammy.con」のような記述はせずに、スクリプト内で文字列の合成を行っています。これは「mailto」のあるなしに係わらずメールアドレスが読み取られているからです。以前メールアドレスをリンクなしで記述して実験したことがありますが、これもメール4のようにすぐにアドレスを取得されてしまいましたので、今回はmailtoの影響を見るためにメール2とメール3を置いたという経緯があります。
現時点ではメール1の方法でまったくスパムメールが届いていません。Flashを使って表示とアドレスリンクを組み合わせても良いでしょう。引き続き経過を見てみようと思います。新たに3つのアドレスを貼り付けて見ました。
メール5はmailtoをコード化したものです。コード化そのものが無意味かもしれませんが、メールアドレスだけで読み取り対象になっている場合も効果はないでしょう。
メール6は、そのままメールアドレスを表示しています。リンクはありません。これを置くことでメールアドレスを<A>アンカータグ(リンク)や「mailto:」を頼りに探しているのではないことを調べます。
メール7は、メールアドレスのみをコード化してテキストで表示しています。これもリンクはありません。
(集計期間:2005.8.9〜2005.11.28) アドレス ソース 最初のスパム 受信数 感想 メール5 mailto:user@dammy.con 2005.8.11 349公開から2日目に、同時に同じメールが届きました。また、その同じメールは同日メール2〜4にも届いています。
コード化がまったく効果のないこと。リンクやmailtoがなくても@を頼りにメールアドレスを識別して抜き取っていると思われます。メール6 user@dammy.con (リンクなし) 2005.8.11 358メール7 user@dammy.con (リンクなし) 2005.8.11 321(実験用メールアドレスは2005/11/28に削除しました)