2006年11月18日

スパマー世界トップ10

スパマー世界トップ10、こいつらが出している! (slashdot.jp)

スパマートップ10でなんと80% のスパムが流通しているらしい。恐るべし。というか、顔も割れているとは…。まぁスパムを送るのが一番悪いのですが、サーバーなりウィルスなりに無頓着なユーザーが多いからということもスパムが溢れている原因だと思う。

リンク先からたどれる統計を見てみると日本は3番目にスパムを発信している国らしい。それだけネットワークにつながっている機械が多いともいえますが、つないだならばきちんと対策を取ってもらいたいですね。

ここ数日スパムコメントがひどい。MT のデフォルトのスパム対策がほとんど効いていない状態になってしまっている。内容を見ればほぼ同じ人が投げたものなのでしょうけど、接続先はほぼ完全にばらばらです。よくもまぁこれだけ踏み台先があるものだと感心しつつもせっせと .htaccess に登録をしています。現在 .htaccess の行数は 2670行。1万行に達する時はやってくるのだろうか…

投稿者 kato : 03:19 | コメント (0) | トラックバック

2006年3月17日

フィッシングメール #2

前回は VISA を装ったフィッシングだったのですが、今回は CitiBank を装ったフィッシングが来ました。メールでは

https://citibusines(省略).citibank.com/cbusol/signon.do

にアクセスせよとリンクがはってあります。で、メールを生で見てみるとリンク先は

http://citibusines(省略).citibalk.com/cbusol/signon.do

となってしました。そもそも https ではないし、URL も違う。かなり典型的なパターンですね。まぁ、日本人だとほとんどの人は英語のメールは読まないでしょうから問題ないとは思いますけどね。このフィッシングに関しては。

投稿者 kato : 13:38 | コメント (0) | トラックバック

2006年2月24日

フィッシングメール

やってくるメールの大半がスパムなので、今はフィルタ機能を使ってメール取り込み時にスパムメールを振り分けます。その中にはスパムではないものがある可能性がありますので、一応一通りメールをチェックしています。ま、チェックといっても From: と Subject: くらいだけですが。

ほとんどが無駄な作業なのですが、たまに海外からのメールでパッチを送ってくれたりするとスパムに判定されていることがあります。そうすると英語ということもあってぱっと見気づかなくて「あれ?」と思いよくよく見てみると大事なメールだったということがあります。また、携帯からのメールでサブジェクトがなかったりするとスパムになってしまったりします。まだまだ bogofilter の学習がうまく行っていないからかもしれませんが。

もし、メールを送ったのに返事がないという場合はスパムとして判定されて私が気づかないまま削除してしまった可能性がありますのでその場合は再度お願いします。

…ということを書きたかったのではなくて、そのスパムメールをチェックしていたら Subject が「Attention! Several VISA Credit Card bases have been LOST!」で From が「"VISA Service" <VisaCard@visa.com>」というメールが来た。そうです、フィッシングのメールです。そもそも私は VISA のカードを持っていないのですけどね。内容はよくあるフィッシングの手口のままで、クラックされてしまったので個人情報が漏れたかもしれない、なので内容を確認・更新してねというものでした。でここから個人情報を確認してねとリンクがはられています。で、そこにアクセスするとフィッシングにひっかかるというわけです。

どこにアクセスをするのだろうと生のメールを見てみると visa が visaeur になっていた。なんだ?フランス語か?で、本体はどこなんだろうとホスト名で nslookup をかけてみたが IP が逆引きできないのですけど…。じゃあそもそもつながらないじゃん。こういうのは釣り糸が切れたということなのかなぁ。すでにばれて対処されたということかな。

いずれにせよひっかからないようご注意下さい。

投稿者 kato : 14:56 | コメント (0) | トラックバック

2005年3月24日

いいかげん晒そうかと思ふ

SpamAssassin を導入したおかげである程度はブロックできているのですが、やはり完全ではないので日々学習なわけですが、いくつかここでも晒していこうかと思う。ただしヘッダを中心として本文はほぼ割愛する予定。また、当然ですが私の個人情報に関わりそうな個所は伏せてあります。

Return-Path: <xxxx@xxx.xxx.xx.xx> Received: from xxxx.xxx.xxx.xx.xx (xxx.xxx.xx.xx [xxx.xxx.xx.xx]) by xxx.xxx.xx.xx (Postfix) with ESMTP id D689E50FD for <xxxx@xxx.xxx.xxx.xx.xx>; Thu, 24 Mar 2005 13:38:57 +0900 (JST) Received: from COMPUTERNAME (nttkyo200059.tkyo.nt.ftth.ppp.infoweb.ne.jp [220.146.159.59]) by xxx.xxx.xxx.xx.xx (Postfix) with SMTP id 898EB4707 for <xxx@xxx.xxx.xx.xx>; Thu, 24 Mar 2005 13:32:35 +0900 (JST) Subject: 今日逢えますか? From: xxx@xxx.xxx.xx.xx To: xxx@xxx.xxx.xx.xx Message-ID: 20050324133958 Content-Type: text/plain; charset="SHIFT_JIS" Content-Transfer-Encoding: 7bit MIME-Version: 1.0 Date: Thu, 24 Mar 2005 13:32:35 +0900 (JST)

本文は出会い系サイトの紹介なので割愛。このメールの何が問題かというと From: も Return-Path: も私のメールアドレスになっていることです。つまり、メールからは送り主のメールアドレスを特定できないということです。唯一分かることは nttkyo200059.tkyo.nt.ftth.ppp.infoweb.ne.jp から送ったらしいということ。

だいたい本文を Shift-JIS で送るという時点で個人的には信じられない。それでいて Content-Transfer-Encoding: 7bit とはどういうことだろうか…。Message-ID も変だし。メールの決まりが守られていないという時点で本文の内容に関わらず問題外な気がします。

--

(追記)

このエントリーを書いている最中に同じところからやってきた。差分が以下の通り。

Received: from ISN-C5600BFD7CE (nttkyo200059.tkyo.nt.ftth.ppp.infoweb.ne.jp [220.146.159.59])

IP は同じですが from の後が COMPUTERNAME ではありません。とりあえず ISN-C5600BFD7CE で検索をしてみた結果発見したサイトを以下に紹介。どうやら IP は異なる場合があるようです。

投稿者 kato : 14:11 | コメント (3) | トラックバック