No.148 2004/04/11
「bwebmaster」って何だ?
 以前から、かなりの数のスパムメールが「bwebmaster@gabacho-net.jp」というアドレスに宛てられてきて、私のメールサーバがUser unknown(宛先人不明)ではじいているのに気付いていました。私の個人用メールアドレスは「deo@gabacho-net.jp」ですが、「bdeo@gabacho-net.jp」に宛てられたものもあります。ホームページに、不正メールをおびき寄せるための「otori1@gabacho-net.jp」というおとりアドレスを、閲覧者には見えないように仕掛けてあるのですが、「botori1@gabacho-net.jp」に宛てられたものもあります。
 いったいなぜこんなアドレスがスパマーに流布してるんだ?――と考えていたら、最近になってようやく気付きました。

 私はHTML文書を、日本語電子メールの伝送に使われるのと同じ「ISO-2022-JP」という符号化(通称JIS符号)でサーバに載せています。私のLinuxサーバ上でHTML文書を編集するには、パソコンで使われているシフトJIS符号では不都合で、JIS符号なら取り扱えるからというのが主な理由です。
 JIS符号には、ESC(エスケープ;十六進符号「1B」)という制御文字を使った「エスケープシーケンス」(拡張制御文字列)が使われます。漢字の開始の所で十六進符号「1B 24 42」、漢字からASCII文字に切り替わる所で「1B 28 42」という具合です。それらを、その符号が割り当てられたASCII文字で表すと、それぞれ「Esc$B」、「Esc(B」となります。
 そのため、日本語文字の直後に「webmaster@gabacho-net.jp」というASCII文字列が続くと、ファイル上の文字列は「Esc(Bwebmaster@gabacho-net.jp」と並びます。スパマーが使っている、HTML文書からメールアドレスを拾い出すプログラムは、エスケープシーケンスを正しく処理する機能を持たないため、「B」はメールアドレスを構成しうる文字だからと、「Bwebmaster@gabacho-net.jp」をメールアドレスとして拾い出したのでしょう。そして、メールアドレスは大文字・小文字が区別されないことになっていますから、「B」を小文字に変換して「bwebmaster@gabacho-net.jp」となります。
 「webmaster@gabacho-net.jp」と書いてあるページは、きまぐれノートの中にありました。そして「deo@gabacho-net.jp」も「otori1@gabacho-net.jp」も。
 これでわかりました。スパマーが使っているメールアドレス収集プログラムは、mailtoアンカー(第131回参照)だけからアドレスを拾うとは限らず、HTML文書全体から拾い出すことがあると明らかになりました。

 ですから、ウェブサイトオーナーの皆さん、実在のアドレスをウェブページに書く時には、たとえmailtoアンカーの形にしていなくても安心せず、「@」を「@」とナンバーエンティティで書いて(第132回参照)、メールアドレス収集プログラムを欺くようにしましょう。
 この防御策がスパマーに知れ渡れば、それでも拾い出される可能性はあります。でも、この防御策をとらないよりはましです。この防御を破るプログラムは、より大きな負荷をコンピュータにかけます。つまり、スパマーは「防御を破るためにコストを強いられる」のです。攻撃に大きなコストを強いることは、完璧とは言えなくても有効な防御策なのです。

 さて、このページには「bwebmaster@gabacho-net.jp」「bdeo@gabacho-net.jp」「botori1@gabacho-net.jp」と書いてあります。いずれも日本語文字の直後に続くASCII文字列ですから、エスケープシーケンスが入ります。したがって、このページにアクセスしたメールアドレス収集プログラムは、「bbwebmaster@gabacho-net.jp」「bbdeo@gabacho-net.jp」「bbotori1@gabacho-net.jp」というメールアドレスを間違って拾い出すでしょう。そして、今書いたそれらのアドレスから「bbbwebmaster@gabacho-net.jp」「bbbdeo@gabacho-net.jp」「bbbotori1@gabacho-net.jp」を、さらに今書いたそれらのアドレスから…(きりがない)。

 「ネットワーク攻撃記録」のコーナーに、「不正メールアクセス記録」をさらすようにしました。「bwebmaster@gabacho-net.jp」など、不正に抽出されたと判断されるアドレスに宛てられたメール送信アクセスを、不正メールアクセスとしてさらしています(さらす条件はほかにもありますが)。ここにさらされるメールアクセスには、NETSKYウィルスによるものと思われるものもあります。つまり、ウィルスにもウェブページのキャッシュ(インターネット一時ファイル)からメールアドレスを拾い出すものがあるんですね。
 このページに書かれている「bbwebmaster@gabacho-net.jp」「bbbwebmaster@gabacho-net.jp」などの新たなおとりにも引っかかった奴がさらされるのはいつになるでしょう?


(2005/06/16追記) 1年余りたって、案の定、このページから偽のアドレスを拾った不正メールアクセスが増えました。あまりに増えすぎてうざったいので、このページ内の「@」もナンバーエンティティに書き換えました。


付記:ネットワーク攻撃記録の公表はとりやめました。
目次 ホーム