McAfeeの「30日間スパム体験実験」が終了、スパムの傾向が明らかに 39
ストーリー by hylom
いまそこにある危機 部門より
いまそこにある危機 部門より
insiderman 曰く、
イギリスやアメリカ、フランスなど世界10か国からインターネットユーザー50人を集めてスパムの被害者になってもらい、どのようなスパムが届くかを調査する実験がMcAfeeによって行われました(McAfeeの「THE S.P.A.M.EXPERIMENT」ページ、japan.internet.comの記事)。
この実験はMcAfee製のウイルス対策ソフトのみがインストールされたPCを被験者に与え、そのPCで無防備にWebを巡回、MLへの登録、スパムメールへの返信、掲示板への書き込みといった活動を行ってもらい、その結果どのような「危機」が発生するか、というのを調査するもの。実際にどのようなことが起きたかは、各参加者がそれぞれブログで報告を行っています。
実験は30日間にわたって行われ、最終的に50人の参加者は合計で10万4000通のスパムを受け取りました。最も多くスパムを受け取ったのはアメリカ、次いでブラジル、イタリアで、逆に最も少なかったのはドイツだったそうです(BBC NEWSの記事)。
また、スパムのうち8%がフィッシングメールで、またスパムメールの内容として最も多かったのがWebサイトなどの広告メールで、続いてローンやクレジットカードなどの金融系、健康や薬関係などが多く見られたとのこと。
実験対象に日本が入っていないのは残念ですが、/.の皆様は一日にどれくらい、どのようなスパムメールを受け取っていますか?
1日3000通 (スコア:5, 参考になる)
会社のサポート関係のアドレス(最近までWeb上でお問い合わせ先に乗っていた)とこに届くメールについてですが、
6月の一ヶ月で、98288通 3.1GBありました。(5アドレスあるので、1アドレスあたりでも1日650通。)
最近は画像添付なspamが多くてファイルサイズが膨らむ傾向にありますね。
今までは「誤判定されたときに救済できない」のが嫌だったので、
「とりあえず受信してから分類する」「スパム判定されたものも、一応目を通す」ってなことをしていたのですが、
さすがにこれでは対応しきれないので、7月からSMTPの入口での遮断も追加。
具体的には「S25R+tarpitting」 [hatena.ne.jp]です。
SMTP接続がかかったときに、接続元のIPアドレスを見て「動的IPアドレスっぽい逆引き名のホスト」「逆引き出来ないホスト」からの接続の時は65秒待つってだけなんですが、それだけで面白いようにメール受信数が減ります。
SMTP接続を待たせた時に、接続元からの切断(タイムアウト)にどれらくらい時間があるのかスパム送信者とハム送信者で比較した [mailchannels.com]調査があるのですが、正しいのメール送信者からの接続は、130秒ぐらい待たせても100%送信者が待ってくれてますが、
スパム送信者からの接続は、30秒も待たせれば10%以下に減ってます。
導入からまだ1週間経ってないのですが、メール受信数は1日500通ぐらいに減ってます。
スパム判定率が83%というのはあまり高くない数値ですが、false positive は起きてほしくないので、
これぐらいで満足してます。
画像添付系がのきなみ接続されなくなったのか、受信バイト数は格段に減りました。6月の平均が1通31kBだったのが、
ここ数日は1通平均2.8kBです。バイト数ベースだと、98.5%の削減。
Re:1日3000通 (スコア:1)
有意なデータではない気がする。 (スコア:3, おもしろおかしい)
などと競い合っていたに違いないから。
オイラなら間違いなくほかの奴と勝負している。
SSI つかってこんな感じで収集してます。 (スコア:3, 興味深い)
そのスジとかに転送してサンプルとしてくれるなら歓迎です。
qmail なのでハイフンが便利です。
====================================
<A HREF="mailto:trap-<!--#exec cmd='/bin/echo -n $(/bin/date +%Y%m%d%H%M%S)' -->-<!--#exec cmd='/usr/bin/env | /bin/grep REMOTE_ADDR= | /usr/bin/cut -f 2 -d = ' -->@example.co.jp">
Do not send any mail. If somebody does, must be a spam.</A><BR>
<P>
このペイジ中にある電子メイルアドレスは、電子メイルアドレス収集プログラム対策のために自動生成しております。
したがってこのペイジのアドレス宛てに電子メイルを送った場合、 spam とみなし追跡を行うことがあります。
この追跡について、当方から確認のための調査作業を行うときに攻撃と判定するモノもあるかもしれませんが、悪意あるものではございませんのでご了承のほどよろしくお願いいたします。
ただし、当方から追跡を開始することはなく、いただいたメイルの情報を元に行いますのでこのペイジ中に存在するメイルアドレスに電子メイルをお送りいただいた時点で調査にご協力することに同意いただいたものといたします。
また、このアドレス宛てにお送りくださった電子メイルはすべて公開することもありますのでこちらについてもご了承お願いいたします。
</P>
<P>
The E-mail address in this page is automaticaly made for E-mail address crawler.
So if you send to E-mail in this page, we recognize as a spam to it, and maybe pursue you.
This pursuit makes you feel "DoS or something like it", but we do not have any malice, please give us your cooperation.
And we do not start pursueing first, when we get an E-mail to the address, we start pursueing by information on the E-mail.
When you send to the address, we recognize that you agreed the pursuit.
The E-mail might be opened to the public.
</P>
Re: (スコア:0)
日本語も変ですね。「調査にご協力すること」
「ご利用できます」のなかま?
Re:SSI つかってこんな感じで収集してます。 (スコア:1)
指摘ありがとうございます。
こんな感じでどうでしょう?
「…お送りになった時点で調査への協力に同意をいただいたものと…」
恥ずかしいけど出した甲斐があるってものです。
[SPAM] (スコア:3, おもしろおかしい)
元々自分のアドレスにはスパムは届かないので効果がよく判らなかった。
先日、客先のターゲットマシンにウイルス対策ソフトをインストールする事になった。
そしたらオンラインアクティベーションが必要な上に、
アカウント作ってユーザー登録が必要になるらしい。
面倒くさいが仕方なく、会社のアドレスでアカウント作ってアクティベーション完了。
その後、会社のメーラー(ノーツ)を開いたら・・・
[SPAM]○ortonアカウントを確認する最終ステップ(Message-ID=0000000000)
流出元は分かるんだが、止めようもない (スコア:2, 興味深い)
Yahoo! JapanのIDを取得してから、スパムが200件/日に増えた。
仕方ないのでISPのメアドは捨てた。
内容はエロ関係のなりすましと斡旋がやたら多い。
Re: (スコア:0)
流出してスパムが届き始めるまでにはタイムラグがあるから、その間は悩まずに済む。
#Yahoo! JapanのID取ったくらいで増えたりしてないけどな
0通 (スコア:2, おもしろおかしい)
なぜなら、迷惑だと思ってないから。
たぶん一斉送信ツールなんだろうけど (スコア:1, 興味深い)
たぶん変なツールで送ってるんだろうけど。
Apple から。
いつになったら直してくれるんだろう。
Re:たぶん一斉送信ツールなんだろうけど (スコア:1)
そのメールの From: が、To: と同じ問い合わせ者のものになってるんですよね。
初めて届いたとき、もうちょっとで「差出人詐称のスパム」として削除するとこでした。SPFとかは導入するなってことなのか…
一斉送信ツール (スコア:1, 興味深い)
お試し使って自分のアドレスにも送ってみたところSpamAssasinにかかったので
詳細見たら「X-mailerがSpammerが好んで利用するソフトです」が最高スコアだったorz
なんてこったい。
# 名誉のために晒しませんがSpamAssasinのデフォルト設定見たらわかるかもね。
少ない (スコア:1, 興味深い)
自分の記録調べたら 1000通/週だった。
ここ1年ぐらい統計とっているけど、春厨が多い感じ。
春厨シーズンは、スパム率 90%超なのにはちょっとショックだった。
Re:少ない (スコア:2, 参考になる)
lazy greeting + helo check + tarpitting + greylisting + rbl で蹴落とすようにしてから、数十通/日 くらいに減りました。
一番効いているのが reject_non_fqdn_hostname + check_helo_access で宛先ドメインのheloをはじくルール。
でも最近はこれも抜けてくるのが多くなったんだよなあ。
Re:少ない (スコア:1)
全てフィルタリングのためのサンプルです。
少なそう (スコア:1, 興味深い)
10年以上同じメアドでいろんな掲示板に書いたりしてるけど、こんなもの。
Re: (スコア:0)
意外に少ない・・・と言うべきかな。
自分のサイトを持ってた頃に、(当時のネチケットに従って)連絡先メールアドレス明記していたのが拾われたらしく、アメリカ中心に売られているCD-ROMに入ってるんですが、それでもこんなもん。
#某(自称)IT系ベンチャーにいたとき、馬鹿社長がそのCD-ROMを買って来たので確認済み。(「このアドレスリストで宣伝メールを送ろう!」とか言い出したので、スタッフ全員で必死で止めましたw)
まあ、アドレスのドメイン名がmbn.or.jpだったりするので、古いアドレスとしてリストから外されつつあるのかもしれません。
#某サービスでは「ISPのメールアドレス」として認めてくれなかった;;
スパムフィルタ (スコア:1)
SPAMが届く度にサーバのフィルタに登録してたら、いつのまにか0に。
実は大量に届いてて、サーバがそれをみんな捨ててるだけなのかもしれませんが。
Yahoo!メールの捨てアド機能 (スコア:1, 参考になる)
メールアドレスを追加・削除できる機能があって便利ですよ。
Yahoo!メール ヘルプ - セーフティーアドレスとは
http://help.yahoo.co.jp/help/jp/mail/anti-spam/anti-spam-40.html [yahoo.co.jp]
Gmail の real+junk@gmail 機能と違って、フィルタを掛けるのではなく、
アドレスを完全に消去できます(復活も出来る)。
Re: (スコア:0)
(Yahoo!のと違ってハイフンも入らないから見た目ではバレない)
実アドレス10個のそれぞれに10個ずつのエイリアスを設定できるから、ユーザー登録用とか懸賞応募用とかでどんどん作ってる
漏れたエイリアスは消去
フィルタ要らずよ
スパムなんて0 (スコア:0)
スパムがきてたアドレスがひとつあったけど、そのアドレスで利用してたサービスは全てアドレス変更し、先月末に捨てました。
実に平和です。
よくわからん (スコア:0)
リスクはあなた様に,成果は俺様に,って事か?
Re:よくわからん (スコア:1, 参考になる)
たぶん (スコア:0)
Re: (スコア:0)
さすがに被験者の(実験終了後の)安全は確保されていると思うよ。
Re: (スコア:0)
体験談ブログを書いてる時点で、参加者はある程度わかってる人間におもえるんで
実験の意図がわからんってのに同意
Re: (スコア:0)
同じ様なパターンの人間だと情報収集には物足りませんから。
Symantecは (スコア:0)
McAfeeのやった調査では「利用者本人の感想」あたりは読み物にはなるだろうけど。
ちなみにうちの会社、外来メールの3/4がspam・・・
増えた一方で減り行くものあり (スコア:0)
ロレックスレプリカとか怪しいバイアグラとかは衰え知らずに来てますね。ここ半年ほどで増えたのは、まるで知人からを装った日本語のsubの出会い系(?)メール。しかも決まってyahoo.comドメインなんで、開くまでもなく届く端から削除してます。
一方で減ってきたのが米SECが頑張った甲斐あった [nikkeibp.co.jp]のか「~株は上がるから買っとけ」的な株価操作目的の英文メール。この半年ほどは逆にまったく見なくなりましたね。
1日400~500通 (スコア:0)
SPAMは1日に約400~500通来てます。Thunderbirdのフィルタでは古いわけ切れず、毎日100通前後を手で削除してます。たまに大事なメールも一緒に削除してしまうときがあって、「キーっ」となってしまいます。
Re: (スコア:0)
spamフィルター (スコア:0)
結構賢いのね
内容やアドレスで判断してくれて1日50通程度来てたspamをほぼ全て弾いてくれます。
たまに英語のメールが漏れるけど、学習させてます
でもそのレンタルサーバは、携帯から来たメールは自分の携帯に転送、とか言う使い方できないんだよな…
まあ、今までフィルタリングの条件文を必死に構築して弾いていたのが不要になったんだけど
フリーメールのspam対策 (スコア:0)
Yahooはドメインの指定の自由度が高い。comでも、example.comでも@hoge.example.comでも可。アドレスと合わせて500件まで。これでspamのほとんどをたたき落としてます。ただ、汎用jpが指定できないのが痛い。新規の国を除けば、spamで来るのはこれとFrom空欄だけなので。From空欄も削除指定できるといいんですけどね。フィルタは漏らしがありますけど、私の場合は月に数通なので問題なし。
Infoseekはアドレスとfullドメイン指定のみ、1000件だったか? でも、これは数じゃないので(使い捨てる業者相手に追いつくわけがない)意味ナッシング。あとそもそもフィルタがない。Infoseekのspam対策は評判悪いですね。
Hotmailは同じくアドレスとfullドメイン指定だったかな。フィルタはまあまあ。Yahooと同程度。
gooは退会しちゃったので知りません。以下、他のサービスの状況をどうぞ。
Re:フリーメールのspam対策 (スコア:1)
フリーメール併用のメール振り分けを検討してます。
大まかな傾向として、
・spamフィルタを用意しているところ(Gooとか)は
「メールが行き止まり」になっているところが多いようです。
メールサービスへのログインがあってナンボの商売なのでしょう。
・反対に、メールの転送や受信が自由なところ(Gmailなど)は
フィルタリングにそれほど熱心でないようです。
・Gmailは(自分が所有する別のアドレスに)Fromを変更してメールを
送信することが可能です。
・ヘッダのX-Spam-*で振り分けが可能なメールサービスは、
有料のものを含めても非常に少ないようです。
需要としてはこんな感じ。
・自宅のメールサーバが落ちていてもメールの送受信がしたい。
・ホワイトリストに引っ掛かったメールは携帯にも転送して、
普段使っているFromアドレスから返信したい。
・パソコンで受信するときはともかく、携帯でspamを自動受信する
ハメになるのは勘弁して欲しい。
で、ちらっと見たかぎりではniftyの無料メールが非常に
便利そうなのですが「@nifty会員登録」なるものが必要なようで。
すでに会員(もちろんお金払ってます)なんですが、、、登録したら
二重登録になりそうな気がしてまだ申し込んでいません。
# spam判定をヘッダじゃなくて件名に書いてくれるあたりが嬉しい。
既存会員からはセカンドメール(現在使用中)で追加料金を取るのに
既存会員でない人には無料でメールアドレス配るというのは
ちょっとなさそうな気がしますが、なにぶんniftyのやることなので、
念のため現在確認中です。
# 問い合わせ用のメールフォームがnifmail.jpドメインの
# メールアドレスを要求してるのはどういうことなんだ・・・
結局全部自宅のメールサーバに流して、ローカルで処理してから
転送するのが早い気もしますが、携帯から閲覧できるウェブメールとか、
自前で構築するのはちょっと面倒なので、少なめの出費で解決できる
方法があればいいなぁ、と。
yp
自己レス (スコア:0)
http://www.nifty.com/mail/compare/both.htm [nifty.com]
# それだけなのでAC
楽天 (スコア:0)
罠メアドを晒してみるテ・ス・ト (スコア:0)
ところで………コレ(業者注意) [net8.jp]って合法な商売なの?(´・ω・`)詐欺だと信じたい
#業者サイトを/.しちゃうのは威力妨害だろうか?
Re:罠メアドを晒してみるテ・ス・ト (スコア:2, 興味深い)
ダミーのメールアドレスを掲載しているのですが(ここに届いたメールは、そのままスパム学習に直行)
#フォントサイズを小さく、色を背景色と同じにした上で、スタイルシートで表示を消してるので、普通の人がこの記述を見ることはないはず。まあ、w3mとかlynxなら丸見えですけど。
で、それを掲載から丸1日経った頃には、もうメールが届き始めました。最近のメールアドレス収集ロボットは対応が早すぎです…