Secure Scienceのセキュリティ研究家Curtis Kret氏によると、誰もが迷わずにゴミ箱に直行させるスパムメールの中に、テロリストの連絡のような意外なメッセージが隠されている可能性があるという。

「Nobody's Anonymous」と題された同氏の講演は、スパム追跡の最新状況のレポートである。その作業は、大量のスパムメールを分類・整理し、その中から画一性を見つけ出して、それを手がかりにスパム送信者を特定するというもの。

悪質なスパム送信者の場合、身元を徹底して隠しているため、本文や件名から送信者を特定するのは難しい。大抵の場合は、どこからか取ってきた文章が貼り付けられているだけなのだ。ところが、「犯罪捜査も同じだと思うが、注目すべきは『スパム送信者も人間』という点だ」と同氏。人は意外と行動パターンを変えないもので、例えばレイダース・ファンのスパム送信者は、レイダースのホームゲームの日だけは、その時間に必ず10時間ぐらいの空白ができるそうだ。また、ツールの性格も手がかりになる。スパマーはツールを効果がなくなるまで使い続けるし、そのツールは自分でプログラムを書いているか、同業者と共有しているため、ツールあたりのユーザー数は意外なほどに少ないという。

以上のような点から、同氏の研究では、ヘッダや署名、メッセージIDに焦点を当てて、同じパターン、同じ矛盾をきっかけにスパムを整理・分析する。

合法商業メールはわずか1%

さて、同氏のスパムの定義は「望まないのに送られてくるEメール」である。これを、(1)合法的な商業目的のメール(UCE: Unsolicited Commercial Email) (2)応答のない商業目的のメール(NCE: Non-responsive Commercial Email) (3)リストメーカー (4)詐欺メール (5)カバート・メッセージ(Covert Messages)の5つに大きく分類している。

UCEは米国のスパム対策法に従った商業目的のメールで、実在する企業が自社の顧客に対して送信する。受信者が送信中止を求めるオプトアウトを行うと、すみやかにリストから外してくれる。完全に合法的なメールだが、スパムメール全体の1%程度に過ぎない。

NCEは実在する企業が自社のサービスを利用していた顧客に送ってくる。UCEのメールと文面は似ているが、オプトアウトしても送信は続けられる。Kret氏が紹介した米国のケーブル大手の場合、メールに関する注意書きに「プロモーションサービスをご紹介するEメールをオプトアウトしても、弊社からサービスやアカウントに関するメールは引き続き送信されます」と書かれている。プロモーションセールに惹かれて申し込むと、同時にオプトアウトの権利を失う契約をすることになる。合法と言えるのか疑わしいが、同氏によるとNCEに含まれる企業にはEコマース最大手、セキュリティ大手、書店チェーン最大手など誰もが知っている企業が多数含まれている。

リストメーカーは、メールアドレスのリストを作成し、販売している業者である。大量に送られてくるスパムメールのほとんどは、リストメーカーの手によるものだ。これはヘッダが偽装され、送信元や返信先が有効であっても本文の内容と食い違うので分類しやすい。また、スパム送信者の特徴が現れやすく、スパム送信者を推測するのはそれほど難しくはない。

詐欺メールは、受信者の資産をだまし取ったり、そのパソコンなどに被害を与えるのが目的。広く知られているのはウイルスやワームである。さらに最近話題となっているフィッシング・メールも含まれる。フィッシングは、オンラインバンキングを提供している銀行などから、「システムのメンテナンスを実施したため、以下のリンクでお客様の情報を再確認させていただきます」というような内容のメールが送られてくる。リンク先のアドレスもユーザーが利用している金融機関のように偽装している。そのリンクを開くとパスワードや認証番号を入れるためのウインドウがポップアップする。そこで情報を入力してしまうと、金融機関にではなく、フィッシャーに情報が送られてしまう。

米国のニュースで大きく取り扱われたCitibankをターゲットにしたフィッシングの場合、短期間で偽装の方法や情報の集め方が改善され、ユーザーが信じてしまっても責められないような完成度だった。ポップアップするサイトはロシアのURLであったため、ヨーロッパのグループによる詐欺と見られていた。問題のサイトへのアクセス記録を調べたところ、被害者がアクセスし始めるよりも前に数回のアクセスがあった。詐欺犯のシステムテストと思われる。それを追跡すると、意外にも米国のデラウエア州からのアクセスで、今ではこの犯行グループの一部は米国内に存在すると考えられている。

スパムの匿名性を利用したカバート・メッセージ

最後のカバート・メッセージに対しては、様々な議論が起き始めている。カバート・メッセージは、あるグループが身元を隠してメンバーにメッセージを伝えるためにスパムを利用している。スパムフィルターにひっかかることを前提としているので、メール自体はリストメーカーのメールをそのまま利用して、そこにメッセージを隠していることが多い。使われるのは不動産やダイエットなど無難な内容が多いそうだ。ポルノや詐欺っぽい内容のメールを使うと、受信ターゲットではない大多数からじっくりと読まれる可能性があるので好まれないという。

同氏が挙げた例では、ユーザーネームに「75573.270cQDiR7@〜」が使われていた。「75573.270 CQ(通信の呼び出し) DiR7」というように、75573.270がDiR7を探していることを現す。同氏の研究グループが、送信パターンやヘッダ/本文/署名の一致などから一連のメールを選び出し、コミュニケーションの内容を整理したところ、フィリピンの学生によるIRCグループの存在が浮上した。これらのメンバーのユーザーネームをGoogleで検索したら、一部のメンバーがIRCの補足に利用していることが裏付けられた。

フィリピンの学生のケースでは、コミュニケーションの内容はソフトウェアのやり取りなどの違法性を除くと、学生の日常的な会話の範囲だった。しかし、カバート・メッセージは、送信者と受信者を隠した状態で、グループのコミュニケーションに使えるため、「テロリスト・グループの情報交換に利用されている」という指摘がある。Kret氏の研究では、それを裏付ける結果は出てきていない。だが、コミュニケーションの存在が推測されるのに、肝心の部分は巧みにエンコードされていて、グループの特定やコミュニケーションの内容を解読できないメッセージが増えているのも事実なのだそうだ。