ここ最近、日本の出会い系スパムの監視に力を入れていたのですが、最もよく見られる攻撃の 1 つが「アダルト出会い系」であることがわかってきました。アダルト出会い系スパム自体はずいぶん前から存在していましたが、スパマーがこういったタイプのメッセージを使うことでどんな得があるのでしょうか。出会い系スパムの多くは「サクラ」です。「サクラ」とは、「偽のお客たち」のことです。つまり、出会い系サイトで出会いを求めているかのように仕立てられた、本当のお客を引き付けるおとりになっている女性たちです。こういったアダルト出会い系メールを送るスパマーの意図は、メールを受け取ったユーザーを偽の出会いサービスに登録するように誘い出すことであり、実際に使われている電子メールアドレスアカウントを手に入れることです。このようなスパムの多くは、適当に作られた差出人名や興味をそそるような件名から簡単にわかります。
送信者:石本 孝治 <r543r2hiqlhf3mh5zp@yahoo.com>
送信者:新規事業 <cjyoud@yahoo.com.cn>
送信者:ninjya_ark@yahoo.co.jp
送信者:"meguu" dshfgkhgl459@yahoo.it
送信者:"市場事務局" <xsyxkdmldvdh@molyduval.com>
送信者:"市場事務局" <sdfwfwefewf@jioiiwww.com>
送信者:"野口梨花" <zysivemqgo@check1check
件名: 女の子と遊ぶだけでお金がもらえます!
件名: デートの相手はここに居ますよ!
件名: 【※重要】お金にお困りの男性必見
件名: 熟年からの恋愛探し
このタイプのスパムの常套手段として使われているのがワンクリック詐欺です。ワンクリック詐欺の場合、ユーザーが入り口をクリックすると、料金請求画面と使用期限がすぐに表示されます。支払ってからでないとサイトにはアクセスできないため、正当なサイトかどうか確認する術がありません。
また、このスパムの第 2 世代の進化形として、2 クリック詐欺も登場しています。2 クリック詐欺では、ユーザーが入り口をクリックすると、まず、年齢確認と契約条件への同意を求めるダイアログボックスが表示されます。このような確認手順は、正当なサイトで通常見られる手続きであるため、スパマーはこの方法を使うことで自分たちのサイトを正規サービスのように見せかけることができます。
出会い系スパムでその他によく見られる手口に「ポイントシステム」があります。ポイントシステムの場合、ユーザーはサービスを利用するためのポイントを購入するように指示されます。たとえば、女性の写真を見るのに 1 ポイント、女性にメールを送るのに 1 ポイントが必要です。1 ポイント 10 円で購入します。女性の実際の住所が知りたい場合は、100 ポイント、つまり 1,000 円が必要です。これはいわゆる、「ぼったくり」です。もちろん、本当に住所を知ることができるのか、単に 1,000 円をどぶに捨てるだけになってしまうのかはわかりません。
また、別のサクラの手口として、「トラップリンク」があります。スパマーは別の正当な出会い系サイトを通り道として使って、自分たちの偽の Web ページにサイトのメンバーをおびき寄せます。これは、「企業/請負業者サクラ」スキーマと呼ばれます。このようなスパム会社は、正当なサイトにダミーのアカウントを使って女性の写真を掲載します。正当なサイトに掲載された偽の女性たちをえさに、スパマーたちは自分たちのサイトにユーザーをおびき寄せます。多くの場合、以下に示すような件名の嘘のリクエストが送られてきます。「XX さまからのメールが YY サイトより届いています。」
しかし、このユーザーは YY サイトには登録していません。それでも、つい好奇心を抑えきれずに、ユーザーは登録してないことなど気にせずにその女性を確認しようとサイトをクリックしてしまいます。通常こういったメールには、本文に確認用のリンクとオプトアウトリンクがありますが、もちろん偽物です。スパマーの目的は、実際に使われている有効なメールアカウントを集めることです。集められた記録は、後でスパムや詐欺で使うために「カモリスト」にまとめられます。カモリストとは、詐欺に引っかかったユーザーの一覧です。スパマーや詐欺団は、請求された料金を支払ったり、指示されたリンクをクリックしたりしてだまされたユーザーを記録しています。このリストは、スパマーや詐欺グループ間で売買されています。
アダルト出会い系スパマーは、スパムがフィルタされるのを避けるために、ボットネットと記号という 2 つの方法を使っています。最近のアダルト出会い系スパムのメッセージは、インフラ費の節約のために中国のコンピュータが利用されているようです。調査によれば、韓国のコンピュータもゾンビコンピュータのターゲットになっています。これらのメッセージは、日本国内から発信されていても、ボットネットを経由しており、CN や KR の IP アドレスが発信源になっています。このようなスパム送信テクニックではコンピュータが悪用されているため、送信ルートが複雑になり、出所をたどるのが難しくなっています。
また、このようなメッセージには、メールの件名や本文で文字の間に記号(星型や三角形)が使われています。記号をフィルタの対象になるメッセージ内のキーワードに付け加えることで、スパムが受信拒否に分類されないようにしているのです。
このように、日本の出会い系スパムは日々進化を続けています。スパマーは儲けが見込める限り、カモリストの作成に必要な情報を集め、お金を使わせるためにユーザーを誘い込む新しい手口を次々と開発してくるでしょう。
この記事は Security Response Blog(英語)にてKelly Conleyによって掲載された内容を日本向けに編集された記事です。本文はこちら(英語)