スパムと呼ばれる迷惑メールの大量送信に使用されるインフラストラクチャと、スパマーが詐欺サイトをホストするために使用するインフラストラクチャとの間には、大きな違いがある――カリフォルニア大学サンディエゴ校(UCSD)のコンピュータ科学者らの研究によって、このようなことが明らかになりました。この発見は、スパムの流通量を減らし、違法なオンライン・ビジネス・サイトやマルウェア・サイトを閉鎖に追い込むのに役立つはずだと、この科学者らは述べています。
「スパム・メールのリレー配信は乗っ取られた数千台ものコンピュータを使用して行われる一方、ほとんどの詐欺サイトは単一の Web サーバにホストされている」ということが、UCSD ジェイコブス工学部のコンピュータ科学者らによって判明しました。同科学者らが2007年8月の「USENIX Security 2007」カンファレンスで発表したピアレビュー済みの研究報告によると、100万通以上のスパム・メールを分析したところ、スパム・メールの URL に示された詐欺サイトの94パーセントは、単一の Web サーバ上にホストされていたということです。
この科学者らは、UCSD で開発された新しいインターネット・モニタリング手法を用いて、実際に流通している1週間分のスパム・メールを対象に調査を行いました。スパム・メールには、薬や抵当権といった商品やサービスを提供したり、フィッシングやスパイウェアなどによってユーザを騙そうとしたりする詐欺サイトの URL が記載されています。この URL を辿ってホスト・サーバを突き止め、それらを詳しく調査し、Web ページを分析したのです。
その結果、ある特定のスパム活動において、メールを大量送信するのには数千ものメール・リレー・エージェントが使用されているのに対し、メール受信者からのレスポンスに対応するのには単一のサーバしか使用されていないことが判明しました。このことから、このサーバあるいはスパマーのリダイレクト・サイトをダウンさせれば、そのスパム活動全体の収益源を根絶できることになる、と科学者らは述べています。
トラフィックのブロックに弱い詐欺サイト
2006年時点のある試算では、スパム・メールは電子メール全体の80パーセント以上を占めており、その流通量は1日あたり850億通にもなるとされています。これほどの量のスパム・メールが流通しているのは、その詐欺的な内容がスパマーの金銭的利益につながるからです。
「スパム・メールで利益を上げるためには、詐欺サイトのインフラストラクチャを維持することが極めて重要である」と、この研究に携わった UCSD コンピュータ・サイエンス教授の Geoff Voelker 氏は述べています。「この研究結果は、詐欺サイトのインフラストラクチャはブラックリストなどの一般的なブロック手法に弱いということを示唆している」(同氏)
Web フィルタリングや URL フィルタリングなどのブロック手法は、チェック・ポイントの UTM-1 アプライアンスを始めとする統合脅威管理(UTM)ソリューションで提供されています。
「スパムスキャッター」と「イメージ・シングリング」
UCSD の科学者らは、違法なオンライン・ツールやサービスの売買を抑制およびブロックする仕組みを開発するべく、Collaborative
Center for Internet Epidemiology and Defenses(CCIED)での活動を通じて、それらの闇市場を支えるインフラストラクチャの分析および研究を継続的に行っています。その成果の1つに、本レポートで「スパムスキャッター」と呼ばれているネットワーク測量手法があります。
UCSD の科学者らは、この新しい手法を用いて、実際に流通している100万通を超えるスパム・メール(有効なメール・アカウントが存在しない、4文字で構成されるトップ・レベル・ドメイン宛てに送られた1週間分の全メール)を分析しました。電子メールをリアルタイムに分析して URL を抽出し、リダイレクトを経由しながらこれらのリンクを辿って、Web ページをホストしているサーバを突き止めたのです。
Voelker 氏は、スパムスキャッターを「ある1つの観測地点から、インターネット上での活動をグローバルに分析するための仕組み」と説明しています。
科学者らは、サーバの場所を記録し、問題の Web ページのスクリーンショットをキャプチャした後、「イメージ・シングリング」と呼ばれる手法を用いてスクリーンショットを分類しました。イメージ・シングリングは、HTML コードや URL、コンテンツに関係なく、Web ブラウザに描画される画像に基づいて、視覚的に類似性のある Web ページを照合するための手法です。このため、Web サイト全体を画像で構成するといった、詐欺サイトの検出を免れるための一般的なテクニックに対しても有効に機能します。
「イメージ・シングリングは、同じ詐欺サイトをホストしているサーバを特定する全く新しい手法である」と、このレポートの共同執筆者で、先ごろ UCSD のコンピュータ・サイエンス修士号を取得した Chris Fleizach 氏は述べています。
視覚的に同じである複数の Web ページを1つにまとめ、これを一連のスパム・メールから収集した他のデータと合わせて分析したところ、スパム・メールに記載された URL に示されている詐欺サイトの約94パーセントは、たった1つの Web サーバにホストされていることが判明したのです。
複数のサーバに分散してホストされている6パーセントの詐欺サイトのうち、数サイトは10個以上の IP アドレスを使用していました(そのうちの1つは45個の IP アドレスを使用)。
耐障害性の向上や、当局に閉鎖されたりブラックリストに掲載されたりした場合に備えた冗長性の向上、各地域への分散配置、あるいはロード・バランシングを実現するために、複数のホストを使用する詐欺サイトは現時点ではあまり見られないとしながらも、今後はこうしたサイトが増えてくる可能性もあると、科学者らは警告しています。
その他の UTM ソリューション