寄稿: Emily Liu(シマンテックセキュリティレスポンス技術者)
ロシアから発信されるスパムメールの大半は、オンライン広告、商品のプロモーション、トレーニングワークショップに関するものです。このようなスパムメールは通常、フリーメールアカウントや個人になりすましたメールアカウントからユーザーの許可なく一方的に送りつけられ、スパムフィルタに掛からないように件名がランダムに付けられています。シマンテックでは、ランダムな件名が使われているメールについても、唯一の連絡手段として直接 URL リンクではなく電話番号をメール内に記載するスパマーを監視し続けています。
一例として、ロシアから最近発信されたイベントプロモーションスパムを次に示します。
この英語訳は次のとおりです。
図 1. ロシア語のプロモーションスパム
このメッセージのおかしな点にお気付きでしょうか。最下部に記載された電話番号をよく見てください。一部の桁が、数字ではなくアルファベットで書かれています。スパマーが電話番号の数字を、それに似たロシア語や英語の文字に置き換えたのです。これは、下記のようなスパム検出を避けるためのテクニックです。
まず、ここ数年間スパマーがこの手法をどのように使ってきたかを、いくつかの例で説明します。最初に、次のようなシンプルな連絡先電話番号のセットがあるとします。
次に、スパマーはこれらの数字の間にランダムな記号をいくつか挿入して、電話番号に手を加えます。
スパマーの手法は次第に精巧になり、数字をそれに似たロシア語または英語のアルファベットに置き換えるようになります。数字に似たロシア語と英語の文字のリストを次に示します。
図 2. 数字に似たロシア語と英語のアルファベット
上記の表を使い、多少の創造力を働かせると、普通の電話番号だった元のリストを次のように変えることができます。
スパム対策テクノロジは、しばらくするとこれらのスパムパターンを識別し、フィルタで除外し始めるため、スパマーはさらに創造力を駆使し、さらに巧妙な新しいトリックを考案しなければなりません。たとえば、シマンテックでは 2010 年に、スパマーが電話番号を次のような実際のロシア語の単語でスペルアウトし始めたことを確認しました。
図 3. 数字を表すロシア語と英語の単語
この手法と、最初に示した元の電話番号リストを使うと、連絡先電話番号は次のようにさらに複雑になります。
しかしながら、スパマーの創造力はこれで終わりではありません。彼らは、市外局番をそれに対応する実際の都市名に置き換えるというアイデアも生み出しました。たとえば、モスクワという都市で考えてみましょう。モスクワの市外局番は 495 です。したがって、市外局番 495 はモスクワのロシア語表記(Москва)または単に略記の都市名コード(MOW/Moc)に置き換えられます。
もっと最近では、数字をもじる別の手法も確認されました。これまでの例では、一部の数字がロシア語でスペルアウトされていましたが、一度に 1 桁のみでした。それが今度は、次の例のようにスペルアウトが 2 桁(1 桁だけでなく 2 桁分の数字)に進歩しているのです。
図 4. スパムで使われている 2 桁のスペルアウトの例
スパマーがスパムフィルタによる検出を逃れようと考えるトリックを見破るのは面白いものです。幸い、前述したトリックはすべて最新のテクノロジで検出することができます。スパマーにしてみれば、さらに知恵を絞って新しいトリックを生み出さなければなりません。シマンテックインテリジェンスでは、スパムの最新傾向を常に注意深く監視しているため、ここで取り上げたロシアの電話番号パズルのようなトリックに対処する最善策を開発できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。