モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

トップ > spam

みずほ銀行を騙ったフィッシングメール

spam security pc

みずほ銀行を騙ったフィッシングメールが届きました。
HTMLメールではないところがホンモノっぽいです。

この度、みずほダイレクトのセキュリティー強化の為、サーバーのバージョンアップを行いましたので、お客様にもご面倒をお掛けしますが必要事項を記入し更新手続きをお願いしております。
更新お手続きを怠るとみずほダイレクト使用中にエラーなどの発生が生じる可能性がありますので大至急、更新手続きをお願いします。
ログイン後、更新をお願いします。

手続きページ
http://mizuho.serverkakunin.com/mizuho/indsex.php


ご面倒をお掛けいたしますがご協力お願いいたします。

みずほ銀行


メールサーバは mail.service-navi-jp.com というところを利用しており linode.com のVPSサーバのようです。
フィッシングするWebサーバは既に引けなくなっていましたが、whoisで serverkakunin.com のドメイン情報を見ると 登録者は wang dahai となっていて、これは中国のゲームのキャラ名らしいです。登録者の住所もデタラメな中国の住所。
最近は、この手の中国人が送ってくるフィッシングメールもだいぶ日本語が自然になってきて、ぱっと見ではわからないようになってきました。


んでページURLの最後、ファイル名が「indsex.php」となってます。typoだと思うんですがもうちょい気をつけろよとw

nmifoaij.comから「This is a permanent error」だけのスパムと中華系

pc spam

なんだか「nmifoaij.com」というドメインMAILER-DAEMONさんから、件名が「failure notice」で本文が「This is a permanent error」だけというメールが届く、という事例があった。
これって一体なに?というかなぜ出してもない先からエラーメールが届くの??と。


普通なら、このドメイン宛に出したメールがエラーになってそのエラーメールが返ってきた(にしてもこれだけしか内容がないエラーメールというのは普通はほとんどありえないが)と考えるところだろう。
しかし実はこれ、スパムを出そうとしたのだがなにかで失敗して、その成れの果てが届いた、というのが多分正解。


メールログ確認すると、ひとつのアカウントだけじゃなくていくつかのアカウントに対して出されていたので、スパムがこちらのいくつかのアカウント騙ってだしたエラーメールがとどいたの?と思ったのだが、whoisを引いてみてスパムだと確信できた。
whoisで「nmifoaij.com」を引いてみると、札幌の「fujikawa kinzou」がドメインのオーナーだとわかるのだが、これでピンと来た。


ちょうど7月の頭くらいに「小悪魔mail」という出会い系サイトのスパムをちょっと調査していた。
ちなみにその時の twilog


「小悪魔mail」というところへの誘導スパムがどんな感じかというのは、下記の「悪徳バサラ」というサイト(ここ自体が出会い系サイトっぽい見栄えではあるが…)から参照することが出来る。
たぶん一度くらいはみたことがあるスパムの文面だと思う。

悪質サクラ詐欺出会い系サイト【子悪魔(こあくま)mail】 | 悪徳バサラ(AKB)


この「小悪魔mail」というサイトの運営者情報を確認すると*1

会社名:ゼロス株式会社
運営責任者:藤川 欽三
本店所在地:札幌市中央区南2条西7丁目8−2 南2条ビル501

となっている。
ここでドメイン所有者の「fujikawa kinzou」と運営責任者の「藤川 欽三」がちゃんと重なってくる。このへんはスパマーも意外に律儀だな、と思った。


なぜか札幌には「藤川欽三」という名前で社長をされている方が複数いるのだが、だれが該当の「藤川欽三」なのか、もしくはその誰とも違うのか、はわからない。

まあなんにせよ、その登録の住所「札幌市中央区南2条西7丁目8−2 南2条ビル501」で関連すると考えられる会社を探していくと今度は「東方商会」という会社に行き着く。

決済代行・スマートフォンアプリ開発

会社名   株式会社 東方商会
住所    〒060-0062 札幌市中央区南2条西7丁目8−2  南2条ビル501号室
代表取締役 竹内 浩人

一応表向きの仕事は「決済代行・スマートフォンアプリ開発」ということらしい。


また、ゼロス株式会社と住所から調べていくと

決済代行のことならZEROTH《ゼロス》

会社名   株式会社 ゼロス
住所    札幌市中央区南2条西8丁目8−2  501号室
代表取締役 大平 達也

という会社が出てくる。
ちなみにこれは7/13の時点のキャッシュで、8/1時点では下記の住所に変っている… ヤバイ匂いしかしない住所だ。
ちなみに最後の501(号室)だけはかわっていないというのは偶然だろうか?

決済代行のことならZEROTH《ゼロス》

会社名   ゼロス 株式会社
住所    東京都新宿区歌舞伎町1-5-9-501
代表取締役 大平 達也


ちなみにこの会社のページには「メール配信ならお任せ!!」(そりゃそうだろうね…)と「香港・華南情報満載」というページヘのバナーが貼られている。

そしてその香港・華南情報を発信している会社はもちろん、札幌の東方商会だ。

Across Business Group 会社概要

株式会社東方商会
〒060-0062 北海道札幌市中央区南2条西7丁目8-2 902


なんかいろいろわかってきて味わい深いですな。
そういう人達が出会い系日本語スパム出して稼いでるってことですね。
あとドメインwhoisしてみて「fujikawa kinzou」ならスパムでFA。


こういうのこそ、京都府警ががんばるべきだと思う。

*1:ちなみにこのサイト自体、ウイルスバスターでは害のあるサイトとしてブラックリストに入っているので、リンクも張らないでおく。

twitterスパムの進化 2012/6

pc spam

twitterを利用したスパムがあるのだが、メールと比べ意外に目立ってはいないと思う。
が、存在しないのではない。まだ数が少ないのもあるが、tweetがスパムだと目立たないように、いろいろと偽装されているのだ。


友人のtweetで「日本酒」のキーワードに反応してスパマーからリプライされた、というのを見かけた。

Twitter / suno88: 日本酒の話題を振ると…

日本酒の話題を振ると、藪からスティックにリプライを飛ばしてくるアフィリエイターがいるみたい。ツイートに含まれるリンクは楽天アフィリエイト ID を含む短縮 URL だ。→https://twitter.com/#!/makitaka320


のでそのスパマーtweetを見に行ってみた。
パッと見は普通のアカウントのように見える。

maki (makitaka320)

例えばこんなtweetが流れている。

@******* 私、この日本酒好きなんです。肉料理にも合うと思います。 http://a.r10.to/*******

今日のTVタックルアツい。大竹まことさんいいこというなぁ

そういえば、娘の大学の先生が毎回辛口批評をするらしいので、しくみを教えた^^人を評価するというのはその人の中の問題だもんね。先生といえども。それがなければ生徒に映らないよねーw

普通だ。
…のだが、よくよく見ると同じtweetが何度も繰り返されている時があることがわかる。


そこで、特徴的なものでぐぐってみる。
例えば「娘の大学の先生が毎回辛口批評をするらしいので、しくみを教えた」で探してみたところ、いくつかヒットした。
例えばこのtwitterアカウントだ。

kamiyamakei (keikami763)

見てもらえばわかるが、先のアカウントと同じ物をtweetしていることがわかる。


そしてこのtweetの元になっているのはこのtweetだった。

Twitter / Kaori333: そういえば、娘の…

こちらの方はスパムアカウントではない、ちゃんとした「人」。
女性キャラでtweetさせるため、そのイメージに合いそうなtweetをしてるアカウントを選んで、そこから問題なさそうな(メンションがついてないとか)tweetを使って、適当なタイミングでtweetするように作ってあるのだろう。


同様に、芋づる式に探していくとどんどん該当するアカウントが見つかる。

川本葉子 (youko767) は Twitter を利用しています
高橋理菜 (rinataka744) は Twitter を利用しています
梅田千佳 (chikadhc8) は Twitter を利用しています
今井瑤子 (youkorin330) は Twitter を利用しています

最後のキャラなんて、大学3年生って設定なのに娘の幼稚園が始まって1週間とかどんなだよ、とw


これらを見ると、「日本酒」だとか「ミルクレープ」だとかの単語の他、作家や役者の名前で引っ掛けて、それに合った楽天の商品へのアフィリエイトIDつきページヘと誘導していることがわかる。


楽天アフィリエイトIDを確認してみると

we_twt_upc60
we_twt_upc44

など複数のものがあるのがわかるので、ひとつひとつ通報で潰すだけではなく、楽天側で同一カードや電話番号などで一網打尽にしてもらう必要があると思う。

ちなみに楽天アフィリエイト規約違反通報先はこちら。
【楽天アフィリエイト】規約違反行為の通報について


問題なのは、フォロワー見ると結構普通の人達がフォロワーになってしまっていることだ。
このスパマーはメンション(@〜でメッセージを送る)するのと同時にフォローもしてくるのだろう。
それで一応tweet確認しても普通っぽいため、ついフォロー返ししてしまうんだと思う。
だからフォロワーの情報ではスパムアカウントかどうかを判断することは難しい。
このへんは以前twitterのスパム報告に思うコラボレーションフィルタの限界で書いたとおり、ちゃんとスパマーのことを意識している人間の評価でなければあてにならない、ということだ。


逆に、そういうのをちゃんと意識しているユーザももちろんいて、こいつらのアカウントをスパムとしてリストに入れている。

Twitter / makitaka320追加されているリスト
Twitter / keikami763追加されているリスト
Twitter / youkorin330追加されているリスト
Twitter / chikadhc8追加されているリスト
Twitter / youko767追加されているリスト

これらを眺めると

Twitter / @mimibom/decoy - フォローしている
Twitter / @NStyles/spam-bots-must-die - フォローしている
Twitter / @satorugo/綺麗な方々 - フォローしている
Twitter / @fumieval/agepoyospambot - フォローしている

あたりのリストが参考になるのがわかると思う。


これらの手法が成功すると、同じ手法を使ったスパマーがどんどん参入してきて、今はあまり目立たなくても、将来的にはこいつらで溢れてしまうということが考えられる。
だから、ユーザは気をつけてこいつらの利益になることをなるべくしないようにすべきだし、twitterもこの手のぱっと見グレーなやつらも容赦なく排除すべきだ。
またアフィリエイト提供側も、こういうスパマーの利用を見つけたらブラックリスト化して二度と使えないようにするべきだろう。(もうそういう対応しようとしてるだろうけども)


たぶん、スパマーのやってる行為が生産的な価値を持つほどに進化するまでは、こういうくだらないイタチごっこが続くのだろう。


ちなみにFacebookでも、同様に人間の評価のあてにならなさを利用したスパマーが出てきている。
こちらもまた後日にエントリーにまとめたい。


(関連)

twitterスパマーがだんだん巧妙になってきた - モーグルとカバとパウダーの日記
アニオタ偽装したtwitterスパム - モーグルとカバとパウダーの日記

「サブミッションスパム」による5/15〜16のメール障害の解説と対策

pc spam


この5/15の12:00あたりから、新しいタイプのスパム送信手法により、多くのメールサーバが自サーバから多数のスパムを送信されてしまう攻撃を受けており、その影響でメール送信の遅延や障害が発生していました。


ここで使われたスパム送信手法のことを「サブミッションスパム」と呼ぶことにします*1
このサブミッションスパムがどうやって送信されていると考えられるか、またその対策について説明します。

各社の状況

まず、各ISPなどの障害報告をリストアップしてみました。

シナプスシナプスメール遅延発生 - 鹿児島のプロバイダSYNAPSE(シナプス
http://www.synapse.jp/info/cgi/?trouble2012051401

ケーブルテレビ可児】メール送受信障害のお知らせ(5報)(午後5時5分) - CTK ケーブルテレビ可児
http://www2.ctk.ne.jp/support/trouble/detail/id=13054

【OCN】故障情報
http://www.ocn.ad.jp/portal/servlet/TechWeb?HDType=TroubleInfo&HDMsgID=50457&HDKanriNo=104&HDDate=20120515&HDTime=120225

【NMC CASH RADAR Pro】(復旧)メール通信の障害発生につきまして
http://www.nmc.ne.jp/crp/osirase/SN120515_2.htm

ジェイコム】ケーブルテレビのJ:COM (ジェイコムジュピターテレコム) 【復旧】メール送受信不安定について
http://www.jcom.co.jp/notice/_46121.html

DTIDTI | アナウンス
http://info.dti.ne.jp/announce/docs/20120516_07.html

【ジェットインターネット】障害発生のご報告(2012/05/15)|相談できるプロバイダー-ジェットインターネット|ジェットインターネット
http://www.jet.ne.jp/index.php?id=332

【NetLaputa】NetLaputa Secretariat: 障害情報
http://notification.paslog.jp/category/82717.html

【フューチャースピリッツ】メールサーバー配送遅延復旧のご報告|フューチャースピリッツのレンタルサーバー・ホスティングサービス
http://server.future-s.com/trouble/2012/05/post_25.html

ぷららplala メンテナンス・故障情報(東京都): 【故障】メール送信(海外からの接続) http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=122635


他にもたぶん多くのISPのメールサーバで、このスパムによる障害対応が必要だったのではないかと思います。

どうやって出しているのか

今回のサブミッションスパムがどうやって出されたのかを説明するのに、まず従来のスパムがどうやって出されているかを説明します。


従来のスパムは主に、botnetと呼ばれる、ウイルスに感染して遠隔操作出来るようにされた多数のPCから、直接送信先のメールサーバの25番ポートに対してメールを送り付ける、という方法で行われてきました。


【botnetからのスパム送信】


これに対抗するため、(特に日本では)OP25B(Outbound Port 25 Blocking)という、外部への25番ポートへの接続を塞いでしまうことで、botから「スパムを出させない」手法が導入されてきました。


OP25Bでのスパム対策】

OP25Bが導入されている場合、自分が接続に利用しているISP以外のメールサーバからメール送信を行う場合は、通常サブミッション(Submission)と言う587番ポートを使った接続が使われます。(図の左下PCの例)
サブミッションではユーザ名とパスワードで認証を行なってからメール送信を行うため、単にbotからポート587に接続してメール送信を行おうとしても出来ません。


今回のサブミッションスパムでは、このサブミッションを使ってメールの送信を行ってきました。


【サブミッションスパムの出し方】

ということは、なんらかの手法でユーザのメールアカウント(ユーザIDとパスワード)を取得しているということです。
ユーザIDとパスワードが取得されてしまえば、メールサーバ側では正規のユーザかbotかを見分けることは出来ないため、メールサーバの管理者側はアカウントを乗っ取られていると思われるユーザIDをログから調べ、そのアカウントIDのパスワードを変更することで新規のスパム送信を止めたはずです。

どうやってアカウントを取得したか

どうやってユーザのアカウントを取得したかは、具体的な証拠はありませんが、状況からみて以前に該当ユーザのPCにウイルスを感染させて取得した可能性が高いと考えられます。*2


これは2009年頃に流行ったガンブラー(GENOウイルス)のことを思い出してもらうと良いでしょう。
ガンブラーとは、ホームページを見ただけで感染してしまうような脆弱性をついて広まったウイルスで、感染したユーザPCからFTPアカウントを盗み出してbotnetの管理者に送っていました。
そしてそのFTPアカウントを他のbotが利用して、感染したユーザの持っているホームページを、新たな感染元となるように改ざんして広めていきました。


この時に、FTPのアカウントだけではなくメールのアカウントも取得していた可能性は十分ありますし、他のウイルスもメールのアカウントなどを取得するように作られているものも多いでしょう。
そしてそういったアカウント情報のリストは、アンダーグラウンドで売買されているそうです。
こうやって過去に(ガンブラーに限らず)ウイルスにより取得されたアカウントを用いてアクセスしていると考えられます。

対策

サブミッションスパムはこちらのメールサーバからスパムを出すため、メールサーバのキューにエラーメールが大量にたまり、メールサーバの負荷が高くなって、一般ユーザのメールも遅延しだして気が付きます。


メールログからスパムのキューIDなどで特定して、スパマーに盗用されているユーザIDを割り出します。
盗用されているIDのパスワードを変更してしまえば新たなスパム送信はできなくなります。
そしてキューに溜まっているスパムを削除すれば遅延は解消されます。(頑張りましょう…)
また大量のスパムを出すと、DNSBLや海外の大手ISPから、メールサーバのIPをスパム送信のブラックリストに入れられてしまうことがあります。
この場合、特定のメールサーバに対してメールが届かないということが起こるので、そういったところを調査してブラックリストからの解除を申請する必要があります。


サブミッションの認証ログ(postfixだとsasl_usernameあたり)を抜き出すと、接続元のIPとFQDNがわかります。
日本のISPはほとんど逆引き設定をしているため、接続元のFQDNが「.jp」じゃない場合、海外からの接続である可能性が高いです。
海外から接続してくるユーザは全体から比べればごく少数ですから、それだけでbotからの接続である可能性が高いです。


またbotは大量にメールを送ることを意図した設計をしているため、本来はメールサーバからの返答を待たなければいけないタイミングで、すぐに送信を送ってきたりします。
その動きのクセを逆に利用して、遅延を掛けることでスパムの受信をフィルタする手法をtarpittingといいます。
自分はこのtarpittingを、怪しい接続に対してだけ選択的に掛ける、taRgreyStarpitというスパム対策手法を提案しています。


この考え方は、このサブミッションスパムにも応用が出来る可能性が高いです。
つまり、サブミッションの接続に対してFQDNが怪しい(自ネットワークではない、逆引きが「.jp」じゃない等)時にだけ、tarpittingを掛けるわけです。
こうすると、自ネットワークの接続を利用しているユーザや、国内ISPから接続しているユーザの場合はこれまで通りすぐにメール送信でき、海外の接続からでもメール送信時に数秒待たされるだけで送信可能です。
Postfixの場合だと、master.cf の submission の設定に -o で smtpd_recipient_restrictions などでチェックを増やしてやり、該当する接続に対してだけ sleep を何秒か掛けてやればよいでしょう。


(追記)

twitterで@muses_pさんからレポートいただきました。

https://twitter.com/#!/muses_p/status/203360244187922432

手元のサーバだとunknownに対して5秒のsleepでほぼ止まってます。3秒だと駄目でした。

とのことです。
たぶん、.jpに対しては1秒、それ以外は5秒あたりがいいんじゃないかと思っています。
他にも良さそうな設定などあればレポートいただけますとありがたいです。

(/追記)


(追記)

2014/12 に Postfix Advent Calendar 2014 用に、この対策をするための具体的な設定方法を書きました。

Postfixでのサブミッションスパムの簡易対策方法 - モーグルとカバとパウダーの日記
http://d.hatena.ne.jp/stealthinu/20141211/p1

(/追記)


しかしこの手法も、このスパマーがちゃんとこちらの応答を待たない、ということを前提としたものなので、ちゃんと待つサブミッションスパムが出てくると簡単に破られます。
その時には、policydなどのスロットリング(流量制限)が出来るフィルタを導入して対抗することになります。

感想

実はこの流れ(OP25Bの普及→Submissionを使ったスパム送信)は、OP25Bの導入が進められていた時点ですでに想定されていたことでした。
当時、JEAGOP25Bすすめようって頑張ってた時の説明資料にも、そういうロードマップがあって、そこで想定されていた対策はスロットリングだったように思います。*3

が、最近のスパムの主戦場はすでにメールからSNSへと移行されつつあり、自分はもはやメールに対して新しい手法は使われてこないかなと思っていました。
今後もまだ何年かは、スパムとの戦い続きそうですね。



(追記)

JPCERTからこの件に関してと思われる、情報提供のお願いが出ていました。
どうやってメールアカウントが取得されたのかについて、情報を出して欲しいとのこと。

メールアカウント不正使用に関する情報提供のお願い


あと、このニュースリリース見ると、去年2011年8月頃からこの手のスパム送信が行われていたそうです。
そうなると、なんらかの法則性(IPだとかAS番号だとか?)にそって順繰りにMTAが攻撃に使われてたのではないかと思います。

Telecom-ISAC Japan News Release 2011/12/5

(/追記)


(追記)

友人のいる会社で、特にこの件を意識した対応をしたアップデートをされてた。
IPアドレスによる大量メール送信のチェック以外に、認証ユーザに対してのスロットリングも行うとのこと。


急増するISPへの攻撃に対し、SpamGuardのメールシステム保護機能拡充版を緊急リリース
〜 SMTP認証によるメール大量送信に対してメールシステムを保護する機能を追加 〜

(/追記)

*1:この手法で送ることにたぶんまだ名前がついていないと思うので、手法から呼びやすそうなのを勝手につけました。もしすでに名前がついてるようなら教えてください

*2:アカウントが「root」だとか「info」だとかよく使われるものが狙われたのではなくバラバラの一般アカウントであることなどから

*3:うろ覚えなので識者の方のフォローお願いします

postfix-2.9用のsleepパッチ

pc spam

postfixtarpittingすると、相手が切っても設定時間だけプロセスがずっと生きてるので、プロセス数が増大してしまうという問題があり、以前その対策パッチを作っていました。


Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ


今まではほとんど smtpd_check.c へ修正が入らなかったので、ずっとパッチ自体書き換える必要が無かったのですが、2.9で結構修正が入ったため2.9用のパッチを作りました。
と言っても、sleepパッチに直接関係する部分は無かったため、パッチが当たる場所の指定を変更しただけです。


一応2つの環境で4日くらい実稼働してテストされているので、まあだいじょうぶかなということで公開します。
該当パッチが必要な方はtaRgreyのページからダウンロードしてください。


taRgrey - S25R + tarpitting + greylisting (tarpit + greylist policy server)
http://k2net.hakuba.jp/targrey/


余談ですが、taRgreyパッチとかsleepパッチとかやりだしてもう6年も経ってるんだ…
ほそぼそとですが、これからもちゃんとサポート続けていきますので、お使いの方はご安心下さい。
でも、milter-manager + milter-greylistの環境でも同じ事が出来ていろいろ高機能な部分もあるので、そっちもお勧めです。

twitterトレンドキーワードのスパムについての雑感

pc spam

最近ステマステルスマーケティングCGM、口コミサイトなどで、一般人を装って宣伝の書き込みをすること)のことが話題になっていたが、twitterのトレンドキーワードのスパムについての指摘もいくつか目にした。


大量のbotTwitterのトレンドがひどいことに - Togetter
http://togetter.com/li/243462


Twitter / @hkoba:

なんでそんなものが trend に、と思ってクリックしてみた結果にゲンなり... Twitter の trend って意外に簡単に汚染できるのね...

https://twitter.com/#!/hkoba/status/158933099789565952/photo/1


で、この2件の例については、これらは実はトレンドを狙ったスパムではなく、結果的にスパムとなってしまったという例だと思う。
前者は、楽天トラベルで地域ごとに評価が高い宿をランキング順でtweetしており、後者はパチンコ屋の広報だ。
たぶん、これまでは(携帯向けの)メールマガジンでやっていたような内容を、そのままtweetするようにしたのではないだろうか。
でも、cron(タイマー)で処理されているので、多数のアカウントからほぼ同時に一気にtweetされるため、トレンドスパムとして作用してしまっている。


ある意味正しい使われ方をしているのに、トレンドを参照してる人から見たらスパムに見えてしまう、というわけだ。
単純に上がってきてるものだけ見るんじゃなく、多少はそこの意味まで見ないと、ちゃんとトレンドを拾い上げることはできないのだ。
あと例えば、朝のおはようtweetとかをトレンドキーワードとしても良いのかということも。これも今話題になってることを知りたいという視点から見たらノイズだけど、twitterの空気感をつかむにはあったほうがよいだろうし。
そう考えるとスパムの定義やフィルタすべきものって難しいよなと思う。


結局、トレンドの検出方法のアルゴリズムを改善するしかないんじゃないかなあと思った。
同じ時間に同じアカウントから同じワードであがってくるものについては、ポイントを低くするとか。

ついにワンクリ詐欺から直接脅し電話が掛かってくる可能性が現実に

pc security spam

このブログで3年半ほど前に書いて凄く閲覧数が多かった

携帯の契約者固有ID通知開始はどんな危険があるのか?

というエントリーがあります。


ここでは、携帯の固有ID通知が行われるようになることで、ユーザ情報の名寄せと顧客情報の流出から、アダルト等のワンクリック詐欺業者から実際に払込みを催促される電話が掛かってくる可能性を指摘していました。


幸い、今のところそれが大きな社会問題になるまでには至っていませんが、やはりそういう手法を使って架空請求を掛けている連中は出てきているのだそうです。

携帯の契約者固有IDを悪用した詐欺が予測された通りになりつつある


それでもまだ、そんなに大きな問題とはなっていないのですが、他の方向からもっとヤバそうな手法が出てきました。

スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も


これはAndroidスマートフォンに、動画のビュワーを装ったトロイのマルウェア(普通のソフトを装った悪意のあるソフト)をインストールさせ、架空請求の画面を出し続けるというものです。
実はこれまでも、PC向けの架空請求詐欺でこのようなマルウェアはたくさんありました。


が、今回のものは大きく違っている点があります。
それは、自分の電話番号が漏れてしまうという点です。
マルウェアスマートフォン内のデータを読むことが出来るため、そこから携帯の番号を読み出すことができます。
そして実際に、脅しの画面に携帯の番号を表示してきています。
当然、マルウェアはそのデータを詐欺業者のサーバへ送っている・送るようになるでしょう。
そうすると、オレオレ詐欺なんかよりもずっと効率よく、入金を督促する電話を掛けることが出来るはずです。


実際どんなことが起こりうるかというと…


アダルトものの動画を見ようとしたら、いきなり画面に「入会されましたので入会金5万8千円を入金して下さい」とか出てきて、自分の携帯番号が表示されている。
すると直後に、知らない番号から携帯が鳴って、自動音声ガイダンスで入金の案内という名目の督促がなされる。
1週間くらい経つとまた電話がかかってきて、今度は人間が電話してきて住所もわかってんだぞ(これはガセの場合もあるが、名寄せした携帯番号や携帯固有IDから住所が割り出される場合もある)とか言ってくる…


これだと、気が弱い人とか良くわかってない人は払っちゃう人多いのでは。
脅しとわかってても、家族に知られたくないという気持ちから払っちゃうとかも。


(追記 2012/3/28)

このエントリー書いてから2ヶ月ちょっと過ぎましたが、実際にこの手の架空請求詐欺でどんどん電話が掛かってきており、徐々に社会問題化してきているようです。
オレオレ詐欺の次はこれがメインストリームになるのかな…?


スマートフォン架空請求激増、東京都が「緊急消費者被害情報」で注意喚起
http://security-t.blog.so-net.ne.jp/2012-03-27

(/追記)


というわけで、特にAndroidのようなスマートフォンを利用している場合、アプリケーションのインストールには非常に気をつけて行う必要があるでしょう。

ほんとに「オオアリクイ」スパムはベイズよけのため生まれたのか?

pc spam

5年くらい前に流行った「オオアリクイ」スパムについて、面白い考察が出ていた。


なぜ「主人がオオアリクイに殺されて1年が過ぎました」なのか? - あんちべ!
http://d.hatena.ne.jp/AntiBayesian/20111125/1322210338


要約すると、スパムフィルタでよく使われている、(迷惑メールによく使われる単語を自動学習する)ベイズフィルタを抜けるために、「オオアリクイ」というスパムではまず使われないであろう単語が、偶然(コンピュータのランダムによる文章自動生成によって)使われた、というわけである。


確かに説得力がある説明なのだが、自分はそれはたぶん違うんじゃないかなあ、という感想だった。


この説通りだとすると、その時期に同じテンプレートを使って、似たようなパターン、つまり「オオアリクイ」の代わりに「パンダ」だとか「ペンギン」だとかが入った文がたくさん出まわっていてもおかしくないはずだ。
だが、当時話題になってたのはあくまでオオアリクイだけで、他の単語が入ったパターンは取り上げられているところはなかったように思う。
少なくとも自分あてに届いたものも、他のブログで紹介されてたのもは見たことがない。
確かに「オオアリクイ」はインパクト強いが、他のいろんなパターンがあったなら、そういう例も見かけていると思う。*1


そしてなによりも直感的に違うなと感じたのは、日本語のスパムを出している連中は、そこまでスパムフィルタを抜けることを研究したり、頑張ったりしてない、という感触があるからだ。
世界のスパムでは既に、botを使って大量のスパムを吐き出すというのすらもはや終えようとしていて、もっと効率の良いSNSをターゲットとしたスパムやフィッシングへと移行しようとしている感じだ。
だが、日本のスパムは未だにフィリピンや韓国などの特定サーバ群から出されるタイプであり、換金手法も出会い系サイトへ誘導して架空請求とかそんなのをやってる。
あと例えば、日本語スパムでは画像スパムすら例が少ないし、(アンチOCRフィルタの)歪んだ文字使った画像スパムなんてなかったはずだ。


はっきり言って、日本のスパム界は旧態依然のガラパゴスなんだよね。
まさに言語の壁によって守られているという状態。


なので、ベイジアンフィルタを抜けるためにいろいろ工夫して… なんてやってるとは僕には到底思えなかったのだ。
だからと言って、日本のスパム業者もっと頑張れ!と言いたいわけじゃないんだけどさ… なんというかこんなとこでも日本のIT技術は遅れてる感じを受けてちょっと悲しい気になったり。

*1:その頃はもう、迷惑メール対策についていろいろ作ったり、調べたりしていたので

「みんなの評価」はあてにならない

pc spam

スパム対策の手法として、コラボレーションフィルタと呼ばれる、利用者からのスパム報告を元にスパム判定を行う仕組みがあります。
人間がスパムを判定して、それをみなで共有するわけですから、基本誤検出は起きない、と思いません?
ところが実際にはそう理想通りにはいかないようです。


Hotmailのスパム対策で使われているコラボレーションフィルタでは『ユーザーが「迷惑メール」と判断しているメールの 75% が、昔に購読したメール マガジンやダイレクト メール、サービス通知など、「いらないメール」だった』とのことなのです。


Hotmail の「グレーなメール」対策について - Windows 開発統括部 Blog - Site Home - MSDN Blogs
http://blogs.msdn.com/b/jpwin/archive/2011/10/19/hotmail-declares-war-on-graymail.aspx


Hotmailでは、そういう本当の意味ではスパムではないけれど、ユーザーから不要と思われているメールは「グレーなメール」と呼んで、それ用に分類していくなどの対処をしていくそうです。
スパム対策ソフトではPopFileなどを使えば同じようなことが出来ます。


自分は元々コラボレーションフィルタも万能ではない、という見方をしていて以前そういうエントリーも書きました。


twitterのスパム報告に思うコラボレーションフィルタの限界 - モーグルとカバとパウダーの日記
http://d.hatena.ne.jp/stealthinu/20110510/p1


が、75%がスパムじゃないメールに対してのスパム報告だというのは、ちょっと想像以上でした。
ユーザーからの情報を集約して利用するようなものは、ユーザが設計者の意図通りの使い方をしてくれるとは限らない、というよりも、想定を超えた使い方をしてくる、と考えてものを作らないとダメだと感じました。

twitterスパマーがだんだん巧妙になってきた

pc spam

こんなアカウントからフォローされた。

沢田隆文
@sawadatakahumi
ネットワークに興味があり、学習中です。色々、教えて頂けると嬉しいです。 

http://twitter.com/#!/sawadatakahumi

これだけ見ると普通のアカウントで、僕がコンピュータ系のtweet多いのでフォローしてきた、みたいに見える。


が、よくtweetを観察してみると「【】」が入ってるtweetはほぼ宣伝tweetであることがわかる。

でも、他の人にmentions付きのリプライつけてたりするから、やっぱ人が書いてる?とか思ったが、よくよく見ると

RT助ったー
@rtsuketter 

無料でフォロワーが増やせます。
あなたのつぶやきがコミュニケーションを変える!
自分のつぶやきを広めたい人とつぶやきのネタを探している人が集まる場を無料で提供しています。

というフォロワー広げる用のアカウントに対してのものばかりであるとわかる。


さらに、rtsuketter以外にもまれにリプライつけてるのがあるのだが、リプライしてるアカウントは例えば

ホニャララ☆★☆
@poi9900 長崎県
糖尿と高血圧とヘルニアと喘息と緑内障と知恵熱が自慢です \(^o^)/
気に入ったら勝手にフォローします・:*:・(*´エ`*)ゴメンネェ・宜しくお願いします♪
好き:いちご、和菓子、温泉、料理、グルメ、ネコ、公園、海、ランニング、ガーデニング、
ジャネットジャクソン、阪神。
http://samu45.blog9.fc2.com/

http://twitter.com/#!/poi9900

というアカウントであり、これも普通の人っぽく偽装されてるけど、tweetをちゃんと観察するとアフィリエイト目的のスパムbotであることがわかる。


状況から見て、そういtwitterスパムbotクラスタが作られていて、その中でtweetをまわしてそれっぽく見せているのだろう。
ここまでくると、ぱっと見ではスパマーかどうか見分けるのが難しくなってくる。


ただやはり、宣伝tweetが多いとどうしてもばれてしまう。

で、だ。宣伝tweettweetしてちょっとしたら消しちゃえばいいのに、と思う。
狙ってるのはSEO目的ではなく、tweetから直接アフィリエイト付きのURLを踏ませて買わせることなのだから、そのtweetを見られるようにしておくのは、せいぜい数日で十分だろう。
そうやって宣伝tweetを刈り取っておけばTLは汚さないで済むから、現在使ってる偽装手法を使えばほぼ普通の人と見分けることは出来なくなる。
たぶんここまでされると、日々twitterスパマーに気をつけてる僕でも気がつけなくなると思う。

まあ世間の人はそこまで気にして見てる人少ないだろうから、あまり労力掛ける意味無いのかもしらんけども。


(関連)

アニオタ偽装したtwitterスパム - モーグルとカバとパウダーの日記
http://d.hatena.ne.jp/stealthinu/20110530/p1