Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Response

少しのスペースもスパマーに譲らないために

Created: 22 May 2012 09:26:44 GMT • Translations available: English
Paresh Joshi's picture
0 0 Votes
Login to vote

スパム対策ソフトウェアでコンテンツベースのフィルタを使ってスパムを遮断するのは特に難しいことではありません。そのためスパマーは、URL ベースのフィルタをすり抜けるためにさまざまな不明瞭化の手法を編み出しています。以前このブログで取り上げたソフトハイフン(shy(シャイな)文字)の挿入もそのひとつですが、最近では、従来のスパム対策技術に見られるごく小さな盲点を狙って利益を得ることも試みられています。スパマーが試しているのは、大きさの異なるスペース(空白)文字を挿入する、あるいは通常の「.」(ドット)文字を「。」(句点)に置換することによってスパムメッセージ中の URL を不明瞭化しようという方法です。

具体的にはどうするのか、そのテクニックを紹介しましょう。

HTML では、大きさの異なるスペース文字を使えます。ほとんどの言語では単語の区切りにスペースを使いますが、スペース文字の大きさは言語によって異なります(詳しくはこちらを参照)。Unicode では、字体のデザインに応じてさまざまな幅のスペース文字を使うことができます。次の表に、スペース文字の一部をまとめました。

スパマーは、このようなスペース文字をメッセージ本文中の URL に挿入して、スパム対策フィルタをすり抜けようとします。ふつうに表示すると、この URL は次の画像のように見えます。

URL を表す HTML タグは、実際には次のようになっています。

余分なスペース文字があるため、クリックしてもリンクは機能しません。ところが好奇心の旺盛なユーザーは、入力ミスだと思ってわざわざスペースを削除することがあり、スパマーの思惑どおり犠牲者になってしまうのです。

URL を不明瞭化するもうひとつの方法は、「.」を「。」で置き換えることです。HTML 上では、「。」は "。" で表されます。次の図がその動作の一例です。

URL を表す HTML タグは、実際には次のようになっています。

スペースの場合と違い、ブラウザはこの文字を通常のドットと解釈するので、クリックすると所定のリンク先が開きます。どちらの方法でも、スパマーはちょっとした文字種の違いだけを狙って目的を達成しようとしています。URL ベースのフィルタを回避しようというスパマーの懸命な試みではありますが、シマンテックの製品やサービスをお使いのお客様は、高度なコンテンツフィルタとシグネチャ技術によって保護されています。今までと同様、ウイルス対策とスパム対策のソリューションをインストールしておくことをお勧めします。また、シグネチャは忘れずに定期的に更新してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。