新手の画像スパムが急増 81
ストーリー by yoosee
画像が付いたHTMLメール→spam 部門より
画像が付いたHTMLメール→spam 部門より
ITProの記事によれば、Beyond Security(イスラエル)のSecuriTeam部門は、宣伝文句を一文字ずつ独立した画像ファイルにしてHTMLメールに貼り付け、スパムフィルターを回避する画像スパムが急増していることを明らかにしました。
画像スパムとは本文にテキストを殆ど含まず宣伝広告の画像だけを添付するもので、最近は全スパムの30~40%に達しているといいますが、既にセキュリティベンダでは画像内の文字を解析するスパムフィルタも開発しています。ところが今回確認された画像スパムはそうしたフィルタの回避を意図していると考えられ、人間には文字列として認識できてもフィルタには判別できないようにしているのが特徴です。
ランダムな文字列を歪めるなどして表示し人間にだけ読み取らせる画像認証技術「Captcha」がありますが、SecuriTeamのスタッフは今回のスパムはそうした発想を逆手に取るものとして「Reverse Captcha」と呼び、「今後もイタチゴッコは繰り返されるだろう」と述べています。
そんな何十個も画像が貼ってあるメールなんて...。 (スコア:4, すばらしい洞察)
Re:そんな何十個も画像が貼ってあるメールなんて...。 (スコア:1)
自分は日に数件しかスパムが来ないので、フィルターかけてませんが。
PCはいいんだけど、携帯電話のスパムを何とかしてほしい・・・。
Re:そんな何十個も画像が貼ってあるメールなんて...。 (スコア:1, 参考になる)
スパムだけじゃなくて非スパムも定期的に手動で学習させるのがコツ。
それ以前に…画像をスクロールさせないと文章が見えない、って…
ああ、HTMLメールをそのまま見ちゃう人でしたか。
Re:そんな何十個も画像が貼ってあるメールなんて...。 (スコア:1, 興味深い)
Re:そんな何十個も画像が貼ってあるメールなんて...。 (スコア:1)
Re:そんな何十個も画像が貼ってあるメールなんて...。 (スコア:1)
Re:そんな何十個も画像が貼ってあるメールなんて...。 (スコア:1, おもしろおかしい)
テキスト本文をエンコード (スコア:3, 参考になる)
Spam Mail Killerのおかげで、今では、スパムメールも殆どサーバー上で削除してくれますが、まれにすり抜けるのがあって、そのメールを調べてみると、何とプレーンなテキストを丸ごとBase64エンコードしてあって、指定NGワードに掛からないようにしてました。Thunderbird上では、自動でデコードしてくれているようで、通常の、添付ファイルなしのテキストメールとして見えるんですよね。これからのスパム対策ソフトは、デコードまでして内容を調べないといけないのかなぁ、とか思いましたが。
--- Dead Poet Social Club
すごい文字コード (スコア:3, おもしろおかしい)
スパムじゃないけどこんな感じ? (スコア:2, 興味深い)
少し前に医学都市伝説 [med-legend.com]のブログで紹介されてたものです。こんなふうに作られたら、なかなか判別しづらいでしょうねぇ。
フィルター回避策? (スコア:2, 興味深い)
フィルターをすり抜けるために必死だなぁ、と感心してました。
HTML、というかmultipart/alternative なメールは全てスパムと断定!
くらいやればすっきりしそう。
Re:フィルター回避策? (スコア:2, 参考になる)
spam が HTML メールである場合が非常に多いのでspam判定には非常に有効なんですが、
逆にhamをspamと誤判定する危険性も非常に高いんですよね。
初心者が設定を間違えてるのか HTML メールで送ってくるというのは時々ありますし、
不特定の人間からのメールを受け取るかもしれないアドレスには、この手は使えません。
とある会社からでは、ある日突然そこから送られてくるメールは全て
(mutipart/alternativeですらない)本文が Content-Type: text/html になったことがあります。
社内メールのシステム変更が原因だったとか。しばらくしたら text/plain に戻りましたけど…
Re:フィルター回避策? (スコア:1, 参考になる)
> くらいやればすっきりしそう。
やってる.
FromやX-ML-Nameで振り分けた後の残りを SpamAssassin に喰わして処理.
で残ったメールも以下のヘッダがあるのは全部 spam フォルダ送り.
Content-Type: multipart/related;
Content-Type: multipart/alternative;
Content-Type: text/html;
Content-Type: multipart/mixed;
一回だけmultipart/alternativeなメールの人がいて危なかったことはあった(汗
--
mutt使い
画像SPAM (スコア:2, おもしろおかしい)
Re:画像SPAM (スコア:3, おもしろおかしい)
Re:画像SPAM (スコア:1, おもしろおかしい)
spamの目的 (スコア:2, すばらしい洞察)
spamを送り届けること自体が目的なのか?
私には後者に思えてしかたないのですが…。
Re:spamの目的 (スコア:1)
#まあ、広告主はspamの内容を見て受信者がなんらかの行動を起こす(例えばモノを買う)ことを期待しているでしょうが、
#spam送信請け負ってる方はspamを送り届けること自体が目的でしょうね。
Re:spamの目的 (スコア:1)
Re:spamの目的 (スコア:1)
>spamを送り届けること自体が目的なのか?
複数メアドを使い分けてますが、辞書で総当たりに送ってもいるらしく完全非公開のにも最近は届きます。(同じドメインでも、記号も混ぜた複雑なアカウントには届かないからまず間違いなし。)
しかし同じドメインの違うアドレスに来る分はまだしも、まったく同じアドレスに同一のメールを何通も送ってくるのは…やっぱり送る事が目的になってるのだろーなと思えてしまいますね。
#逆にフィルターしやすいけどね。そりゃ同じタイトル同じ日付のばかり届けば見出し読まずとも怪しさ大爆発☆
Re:spamの目的 (スコア:1)
なく収集したアドレスリストを互いに転売しあっている [srad.jp]という報告が
ありました。
# 大元のHotwiredの記事がみつからん……
Re:spamの目的 (スコア:2, 参考になる)
http://hotwired.goo.ne.jp/news/business/story/20030221104.html [goo.ne.jp]
ですね。
1を聞いて0を知れ!
いっそ (スコア:1, 興味深い)
つまり、文字情報を大量に含むメールをまず選びだして、 そいつらを今度はフィルタリングすれば、かなり有効だと 思うのだが。
Re:いっそ (スコア:2, 参考になる)
テキスト部分は適当なウェブ・ページ(CNNやBBCなど)の内容をペースト,本当に広告したいことは画像というspamは届いていませんか?
私のところには,この手のspamが届くことが増えています……
Re:いっそ (スコア:1, おもしろおかしい)
Re:いっそ (スコア:2, 興味深い)
スパムワードをたくさん含んでいるのでしょう。
Re:いっそ (スコア:1)
つまり、送ってくる人の利益に繋がる情報が入ってる そうでなければ送ってくる意味がない
でも、スパムじゃないメールはどんな目的で送ってきてるのかわかりにくい
別に深い意味はなくても送ってくるw
って考えると、目的が偏ってる方を振り分けた方が楽なんだと思う
もっとも、送信してくる人が誰なのか分かっているなら、スパム以外をフィルタした方が楽なんだけど
それって (スコア:1)
それとも高橋メソッド?
#あ、あれは一文字じゃないか。
Re:それって (スコア:1)
Re:それって (スコア:1)
#何通届いたら完成するんだよ。
Re:それって (スコア:1, おもしろおかしい)
THE MOST EXTREME XXX!!! AMATEUR VIDS [02/55]
THE MOST EXTREME XXX!!! AMATEUR VIDS [03/55]
THE MOST EXTREME XXX!!! AMATEUR VIDS [04/55]
:
THE MOST EXTREME XXX!!! AMATEUR VIDS [31/55]
THE MOST EXTREME XXX!!! AMATEUR VIDS [33/55]
:
THE MOST EXTREME XXX!!! AMATEUR VIDS [54/55]
THE MOST EXTREME XXX!!! AMATEUR VIDS [55/55]
んああああああ1個だけISPのサーバに届いてねえええええええええええ
Re:それって (スコア:1)
adblock (スコア:1, すばらしい洞察)
特定または指定した範囲のIPアドレス以外受け付けないようにする必要があるのでは?
メールもIPアドレスで無条件ブロックが必要かもしれませんね。
#プレーンテキスト以外受けないのも有効かも
Re:adblock (スコア:2, 参考になる)
地域NICのリポートファイルを加工して国とIPのリストにして、それを元に
IPから国を引いて詐称を判断するフィルタをRubyで書いてprocmailに食わせてます。
例えばyahoo.co.jpを名乗ってるのにIPがCNだったりするものは確実に弾きます。
参考 http://www.nminoru.jp/~nminoru/memo/ip-address/what_country_from.html [nminoru.jp]
Re:adblock (スコア:1)
興味を持ったのですが疑問点が。
接続 ISP 以外の smtp が使えるとは限らないから smtp は接続 ISP のを使うけど
From は状況によって変えるということはありますよね?
# Reply-To に入れろという話かもしれないけど...
そうなると From と smtp が一致しなくなるのですが、このようなメールまで弾い
てしまわないのでしょうか?
国まで異なることは無いという判断でしょうか?
そもそも Received は直前しか信じられないと思いましたが、最近では違うので
しょうか?
発進元が yahoo.co.jp と偽装した Received を付与したスパムは簡単に作れると
思うのですが?
SMTP のブラックリストを持ち、全ての Received 行を対象として経路にリストの
SMTP が存在したら弾くというのならば何者を名乗ろうとも関係ないような。
Re:adblock (スコア:1)
> そうなると From と smtp が一致しなくなるのですが、このようなメールまで弾い
> てしまわないのでしょうか?
> 国まで異なることは無いという判断でしょうか?
弾くかどうかはスクリプトの書き方に依存でしょう。もちろんホワイトリストフィルタを使ったりということも含めてです。
> そもそも Received は直前しか信じられないと思いましたが、最近では違うので
> しょうか?
> 発進元が yahoo.co.jp と偽装した Received を付与したスパムは簡単に作れると
> 思うのですが?
私はアサヒネットを使っているので、メールに付加されるX-IPやX-FROM-DOMAINを利用しています。
これらのヘッダ情報をどういうロジックで決定してるかは調べていません。
最近特に私のところに増えたのはX-FROM-DOMAINがyahoo.co.jpでX-IPで国を引くとCNのspamです。
で、単にそのパターンをアドホックに弾いてます。一般化は考えていません。
この弾き方で防げないspamが出現したらまた対処方法を考えるだけです。
Re:adblock (スコア:1)
localに受信してしまっているので、ウィルスでなければ開けちゃいます。
# Thunderbirdで画像ブロックされないので確認したらそういうことだった。
なので、メールを開くことは特に生存確認にはならないかと。
恐らく、生存確認なんかせずに無差別に大量に送っています。
# うちのメールサーバにそんな名前のアカウント無いってば!
# って言ったら更に増える罠w
撲滅すべきなのは (スコア:1, すばらしい洞察)
スパムを打ってもまるで効果がないなら、労力の無駄でしょうし。
そこで、まずスパムに応じてしまう人たちを根絶するというのはどうでしょうか:-p。
無駄無駄 (スコア:1, 興味深い)
こういう記事を見るたびに思うのですが、 (スコア:1)
みんなベイジアンフィルタを使ってないんですか?
どんなメールにも、(少なくともヘッダには)文字データが必ず入っているので、ベイジアンフィルタはspamの特徴を見付けてくれます。そりゃ実装が不十分な場合も多いでしょうけど。
ワタシはPOPFile [sourceforge.net]を使ってますけど、この種のメールも含めてきれいにフィルタリングしてくれて、ほとんど間違えませんね。画像だけというメールはヘッダから拾ったmultipartあたりをspamの特徴として拾ってくれます。hamの場合は、hamらしい他の単語を拾ってちゃんとhamとして認識してくれますよ。
Re:こういう記事を見るたびに思うのですが、 (スコア:1, 興味深い)
# ニュース購読サービスでも使ってない限りむしろ判別は容易になる
Paul Grahamによるベイジアンフィルタの [dreamhost.com] 解説 [dreamhost.com]とか読んだことあるんでしょうかね。
ベイジアンフィルタ使ってはいますが (スコア:1)
日に100件程度であれば漏れるのは5件だからあまり気にならないかもしれませんが、業務で使うメールには多いときは一晩で3000件くらい溜まってたりしますので、その5%となると150件。
さらに間違ってスパム判定を受けてしまった、正常なメールの採掘作業が必要になりますので、結局最後は人間の目を頼ることになります。
なので最近はメールソフトの自前フィルタ設定に戻ろうかと思っているところです。
#最後に信じるのは自分
Re:ベイジアンフィルタ使ってはいますが (スコア:1)
ベイジアンフィルタのいいところは、あまりフィルタを作るのに努力しなくても優秀なフィルタを得られるところにあります。届いたメールがhamであるかspamであるかの切り分けをただ続けていけばいいだけですから。
ワタシが使っているのはPOPFileですが、コイツをIMAPで使うのがspam対策の決定版だと思ってます。やることは間違って振り分けられたメールを見付けたら、正しいフォルダに移動するだけです。これだけで、検出率99%(ワタシのところではこれぐらいか、もっと高い)のフィルタが得られるんですから優秀ですよ。
どちらにしろ、万能なツールはないわけですから、補助的にルールを作っていくのは当然としても、せっかくたいして努力をしないのに95%の検出率が得られているんですからそれを捨てるのはもったいないと思うです。あと、95%ってベイジアンフィルタを使ってる割には低い数字だと思うんですけど、ちゃんと日本語に対応したものを使ってますか? 日本語に対応してたとしても、N-gramだとそんなもんかも知れない。日本語の単語をうまく認識する辞書を持っているタイプじゃないとなかなか検出率は上がらないです。
Re:こういう記事を見るたびに思うのですが、 (スコア:1, 参考になる)
そもそもこういう表現をすること自体、誤認識された経験があることを証明しています。
たとえ1,000通に1通だろうと、10,000通に一通だろうと、誤まってspamとして認識される可能性があり、それを読み落とした場合に取り返しのつかない事態になるような場合には、結局のところ目視に頼るしかないのですよ。
POPFileは使っていますが、やはり100通に1~2通程度くらいは誤認識されます。私の場合。
Re:こういう記事を見るたびに思うのですが、 (スコア:2, すばらしい洞察)
>実際、世界中のメールの1.79%~3.36%がどこかに消えてなくなるという調査結果があって、
>そもそもメールが正しく届くことを前提として働いちゃイケナイ気がする。
送る側が「そういうものだから届かないのもしかたない」というのはわからんでもないが、
受け取る側が、しかも手元まで届いているのに捨てておいて「そういうものだからしかたない」と
開き直るのは、あんた何様ですか、としか思えないわけなんですが。
Re:こういう記事を見るたびに思うのですが、 (スコア:2, すばらしい洞察)
Re:こういう記事を見るたびに思うのですが、 (スコア:1, 興味深い)
親コメントは、スパムフィルタに100%を求めているのではなくて
求められないから目視で対応しているという話だと思うんですが
2%のspamが紛れ込むのが問題なのでありません。hamがspamと誤って判定されてしまうのが問題です。
「確実にhamとわかる」のくだりは、hamを送ってくる相手が既知だと仮定していませんか?
Subjectが「お願いです!!」本文が「今週中に連絡ください」というHTMLメールを、を正しく"ham"と判定できますか?
# 公開アドレスの管理してると色んなのが来るわけで、結局目視以外は信用ならないのよ
ナニこの脅迫状? (スコア:1, おもしろおかしい)
Re:アドレス変えればいいじゃん (スコア:1, 参考になる)
企業やなんかで使ってるアドレスだとそういうわけには行かないんだよ、坊主
# 担当者にはspamフィルタを通ったメールが行くが
# 管理者はspam判定されたメールもチェックしなきゃならん……
Re:Spammerの依頼主を殺しちゃえ (スコア:1, 興味深い)