電子メールメッセージを偽装したり不明瞭化したりしてスパム対策用フィルタをすり抜けるというのは、スパマーの手口としてはごくありふれたものです。以前のブログ記事でも取り上げましたが、スパマーは電子メールのヘッダーやメッセージ本文を不明瞭化して、スパム対策フィルタを回避しようと試みるのです。
これまでのところ、正規の URL には出現しない非 ASCII 文字や特殊文字を使ってスパムメッセージ中のドメインやリンクを不明瞭化する、というやり方が確認されています。こうした不明瞭化には多くのバリエーションがあるため、コンテンツベースのスパム対策フィルタでは、検出の成功率は低くなります。
不明瞭化されたドメインの例としては、次のような形があります。
• example[dot]com
• example(dot)com
• example com
• ёxample.com
最近確認されたスパムの例では、URL 不明瞭化の新たな手口が使われていました。URL のいたる所に目には見えない「ソフトハイフン」(shy(シャイな)文字、とも言います)を挿入する、という巧妙なやり口です。
ソフトハイフン(SHY: Soft HYphen)
ソフトハイフンとは、ハイフン(-)を表す記号と同一か類似したグラフィック記号として表現されるグラフィック文字で、単語の途中に改行が入るときに使われます。HTML4 標準では、ソフトハイフンを「­」という文字実体参照で表します。Microsoft Office 文書や少数のブラウザで shy 文字が表示され普通のハイフンとして扱われるのと異なり、大半のブラウザ(Firefox 2 など)では「shy」文字は無視されます。
ソフトハイフンで不明瞭化された URL の例を以下に示します。
実際の URL:
example.¬¬¬¬¬com/ zt7btk1qlumjbx10001aqyykbtlqvi/VJ4TBBE9203/hN6foQ
不明瞭化された URL:
http://e­­xt­­ao­­m­p­l­e­­.­­com/zT7btk1qlUMjBX10001aqyykbtlqvi/VJ4TBBE9203/hN6foQ
大多数の Web ブラウザや電子メールクライアントでは shy 文字が無視されるため、不明瞭化された URL もユーザーには普通にクリックしていい URL のように見えてしまい、このリンクをクリックしたユーザーはスパム Web ページに誘導されてしまうのです。
URL ベースのスパム対策フィルタでは、このような不明瞭化の手口によって回避されてしまいますが、シマンテック製品をお使いのお客様は、高度なコンテンツフィルタとシグネチャ技術によって保護されています。シマンテックではこれまでどおり、ウイルス対策とスパム対策のソリューションをインストールしておくことをお勧めします。また、シグネチャは忘れずに定期的に更新してください。
備考: コンテンツの寄稿者である Paresh Joshi 氏に感謝します。