スパマーがEメールアドレスをかすめ取る多くの方法がある。著者が知っているいくつか のものは:
スパマーはEメールアドレスを求め定期的にUseNetを専用のプログラムを使って細かく調べている。一部のプログラムは単にEメールアドレスを含むヘッダーを調べるだけだが(From:, Reply-To: 等)、プログラムの中には記事本文をチェックし署名を調べるものから“@”を含むあらゆるものを取り出しEメールアドレスを修復するものまである。
スパマーのアドレス修復に関する報告が時おりでてくるのだが、それはスパムへの仕返しを意図したアドレスの修復から、少々ありふれた方法で崩されているEメールアドレスの修復、例えば“nospam”のような文字列の除去を自動化する方法にまでわたっている。
頻繁にスパムを受ける人たちによれば、UseNetにポストしなくなって一定期間が過ぎるとスパムのメールボックスへの到来頻度が急激に減少すると報告している。これは“フレッシュ”で“使える”アドレスを追い求めるスパマーがいる証拠であり、このテクニックがスパマー達のEメールアドレスの主要な供給源になっているようだ。
スパマーは日常的にメーリングリストに対し購読者リストを得ようと企てている(一部のメールサーバはリクエストに従ってこれを提供する)。これはEメールアドレスが崩されてはおらず(unmunged)、無効なことはまず無いことをスパマーが知っているからだ。
メールサーバがこのようなリクエストを受け付けないように設定してあれば、スパマーは他のトリックを使うかも知れない - スパマーはメーリングリストに対し、Return-Receipt-To: <email address> あるいは X-Confirm-Reading-To: <email address> メールヘッダーをもつEメールを送るかも知れない。このようなヘッダーはいくつかの Mail Transfer AgentとReading program にEメールが所定のアドレス“に送られた/で読まれた”ことを<email address>に返送しそのアドレスをスパマーに伝える。
スパマーに使われる趣を異にするテクニックはメーリングリストサーバに対し、運用している全メーリングリストの一覧を要求し(正規ユーザの便宜のためいくつかのメーリングリストサーバで実装されているオプション)、スパムを全てのメーリングリストに送るといったものだ。その後にはそれぞれの購読アドレスにメールを転送するハードな仕事がサーバに残されることになる。
[筆者の嫌な経験からこのトリックがスパマーに使われることを知っている。一部のスパマーは筆者の勤務する会社のリストサーバ -- ‘ひとつき’と満たない従業員でこの人たちのEメールアドレスは他の方法では見つけだすのは困難と思われる人を含むほとんどの従業員を簡単にカバーできる -- にこの手を使った。]
スパマーはEメールアドレス -- 例えばmailto: HTMLタグを含むEメールアドレス(クリックするとメールウインドウが開く)-- を探すためにウエッブページにリンクは張るプログラムをもっている。
一部のスパマーはウエッブページ上のそのメールでさえ標的にする。一部のスパマーがYahooに載った新しいページからEメールアドレスを収集して、そのWebページに関するスパムを著者に送ってきたので、Yahooに著者の一つのウエッブページが載ったのが判った。
このテクニックに対抗するため広く用いられている手法は“毒(poison)”CGIスクリプトである。このスクリプトはいくつかの偽のEメールアドレスを持つページとそれへのリンクを生成する。このページを訪れたスパマーのソフトウエアーは偽のEメールアドレスをもつリストで汚染された無限ループへ入って、偽のEメールアドレス(複数)を採取し、そのリンクを遡っていくことになる。
“毒”スクリプトについてさらに知りたければ http://www.monkeys.com/wpoison/ を見よ。
一部のサイトはフォーム(例えばゲストブック、登録フォーム)を通じて多様な詳細情報を求める。フォームはWWW上で入手できるし、サイトはEメールアドレスを他に売る/与えるからスパマーはこのいずれかでEメールアドレスを得ることが可能である。
一部の会社は印刷物としてEメールアドレスのリストを売る/見せるであろう、例えば会議の主催者は参加者のEメールアドレスのリストを作り、御用済になれば売却するだろう。
事実、一部のスパマーは印刷物(例えば、職業要覧あるいは会議録)からEメールアドレスをタイプ入力している。
ドメイン名登録フォームも同様に垂涎の的である - アドレスは頻繁に修正、更新されるので、人々は送られてくるメールを重要なメッセージがあるものとして読む。
多くのUNIXコンピュータは他のコンピュータがそのUNIXコンピュータに接続している人を識別できるようにしたデーモン(システム管理者が起動したバックグラウンドで動いているプログラム)を走らせている。
ある人がこのようなコンピュータの一つからウエッブサイトあるいはニュースサーバに接続すれば、サイトあるいはサーバはその人のコンピュータに接続しその人のEメールアドレスをデーモンにたずねる。
PCの一部のチャットクライアントも同様にふるまうのでIRCの利用はスパマーにEメールアドレスを伝えてしまう。
一部のサイトはしばしば、サーファーの知らないうちにウエッブブラウザからサーファー のEメールアドレスを抜き取るいくつかのトリックを使っている。
これらのテクニックは:
1、ブラウザにページ画像の一つをサイトへの匿名 FTP接続を通じて転送させる。 一部のブラウザはユーザが匿名 FTP アカウントのパスワードとしてブラウザに設定して いるEメールアドレスを伝えるであろう。このテクニックを知らないサーファーはEメー ルアドレスがリークしているとは気がつかないだろう。
2、JavaScriptを使い、ブラウザに設定してあるEメールアドレスを所定のアドレスに Eメールさせる。一部のブラウザはページの一部をマウスが通過するときEメールを送っ てしまうだろう。ブラウザが適切に設定されていても警告は発せられない。
3、ブラウザがサーバに送るHTTP_FROMヘッダーを使う。 一部のブラウザはEメールアドレスをもつヘッダーを訪れた全てのサーバに渡す。
この方法であなたのブラウザがいとも簡単にEメールアドレスを皆に伝えているかをチェックには
http://www.privacy.net/analyze/ に行ってみるとよい。
Eメールをブラウザ(HTMLが理解できるメールリーダー)で読む時、ウエッブのバグだ けでなくアクティブなコンテンツ(Java applets, JavaScript, VB 等)関しても知っ ておくべきだ。
HTMLを含むEメールは読んでいる最中にEメールを多数のアドレスに送るスクリプトを含んでいるかも知れない。この好例はメリッサウイルスである。このようなスクリプトはスパマーにリーダーのEメールアドレスを送るのみだけでなく、アドレスブックに載っている全てのEメールアドレスを送ることになる。
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
Richard M. Smith による A web bugs FAQ は
http://www.tiac.net/users/smiths/privacy/wbfaq.htm で読める。
一部のチャットルームクライアントは求めに応じ誰にでもユーザのEメールアドレスを教えてしまう。多くのスパマーはIRCからEメールアドレスを収集し、それが“使える”アドレスと知っているのでそのアドレスへスパムを送る。
この方法はうるさいIRCbotsがまず最初に参加者にお構い無しにIRCとチャットルームにメッセージをインタラクティブに送る傍らで利用される。
これがスパマーのEメールアドレスのもうひとつの主要な供給源であり、特にチャットが新米の最初のパブリックな活動参加のひとつである場合、スパマーはスパムの扱いをほとんど知らないと思われる人々の“新鮮”なアドレスを容易に採取する。
AOLのチャットルームがこの手のものとして最もよく知られている - 報告に依ればAOLのチャットルームの参加者のスクリーンネーム(ログインネームのことをAOLチャットルームではこう呼ぶ -訳注)を得ることができるユーティリティーがある。このユーティリティーは二つの主な理由でAOLに特化されている - AOLは活動的な参加者ユーザのスクリーンネームを入手可能にしており、新米好みのISPとしてのAOLの評判のためAOLのユーザはスパマーの主要なターゲットだと思われている。
一部のfingerデーモンは非常に便利に作ってある -- john@hostに照会するとホストの全 てのjohnという名前のログインネームを含むリスト情報を与える。@hostへの照会で現在 ログインしているユーザ全員のリストがでてくる。
スパマーはホストから広範なユーザ一覧を取り出すためにこの情報を利用する。そして “使えて”メールを直ちに読む活動的なアカウントは近い内にスパムの魅力的な ターゲットになる。
スパマーはユーザのプロファイルリストからAOL nameを収集している。これを彼等のメールリストにするためだ。 さらにAOLは新米ユーザ好みのISPということになっており、これらユーザは詐欺に気がつかないだろうしスパムのやり過ごしかたも知らないであろう。
全てのドメインは1〜3つの連絡窓口をもっている - 管理、技術、そして請求先である。
窓口にはEメールアドレスと担当者名が並記されている。“whois”コマンドを使って連絡窓口を自由に入手できるのでスパマーはドメインリストの連絡窓口からEメールアドレスを採取する。ドメインリストはドメイン登録機構より公開されている。ほとんどのEメールアドレスは有効で送ったメールは定期的に読まれているのでスパマーには魅力的なテクニックである。
一部のスパマーはEメールアドレスを予想し、それを含むリストへテストメッセージ (あるいはスパム)を送る。そして、エラーメッセージが返されるか、Eメールアドレス は正しくて確認かどうかを待ち受ける。確認は配送システムあるいはメールクライア ントが配送あるいは読み込みの確認を要求する標準でない非標準のメールヘッダーを挿入 することで応答可能になるであろう。何の音沙汰もないのが、もちろん、スパマーに対してはよい。
特にそのヘッダーは以下のものである。
Return-Receipt-To: <email address> 配送の確認を送れ。
X-Confirm-Reading-To: <email address> 読み込みの確認を送れ。
推測は通常使用されるEメールアドレスが人の名前に基づく事実を考えれば可能だ。(first.last@domain またはfirst(last)のイニシャルが他方の前か後ろについたもの+@domain)
また、一部のEメールアドレスは標準指定である- postmaster はインターネットメー ルでRFCで 指定されている 。他の共通したEメールアドレスは(Unixのホストでは) postmaster、hostmaster、rootなどである。
“people finders web site”と呼ばれることのある white page もどきを提供する いろいろなサイトがある。yellow page はいまではウエッブにEメールの要覧をもって いる。
これらのwhite/yellow pages は種々のソース例えばUseNetから得たアドレスを載せているが、 しばしば、あなた方のためにあなたのEメールアドレスを登録するだろう。例えば、Hotmail はEメールアドレス を初期設定で公衆へ新たなアドレスを提供するためとして BigFoot に付け加えるであろ う。
スパマーはEメールアドレスを得るためこれらの要覧に目を通す。 ほとんどの要覧はスパマーによるEメールアドレスの採取を禁止しているが、これらの データベースはEメールアドレス+名前の大きなデータベースを保有しておりスパマー垂 涎の的である。
スパマーがコンピュータへのアクセス権を持っていれば、コンピュータ上の正当なユーザ ネームの一覧(とEメールアドレス)を普通に入手できる。
Unix コンピュータではユーザファイルは共通に読める世界で、現在ログインしている ユーザは“Who”コマンドでその一覧がでてくる。
Eメールアドレスはそれを処分した他の誰かが所有していたかもしれない。これはISP のダイアルアップのユーザネームではあり得る - だれかがISPにサインアップし、スパ マーにそのEメールアドレスを採取され、そのためアカウントを取り消した。同名で同じ ISPに誰か他の人がサインアップしたとき、スパマーはすでにそれを知っていることにな る。
同様のことはAOLのスクリーンネームでも起こりうる - 誰かがあるスクリーンネームをつかい、これに飽きて手放す。後に誰か他の人が同じスクリーンネームを 取得するかもしれない。
これはスパマーが人々に正しいEメールアドレスをスパマーに教えるようなでっちあげを使うことを意味する。
好例はRichard Doucheの "Free CD"のチェーンメールである。 このメールはそれがRichardにCarbon Copy されていればもれなく無料のCDの提供を保証して いる。
Richardは数ある企業のなかでこの提供を彼に認可した者としてAmazonとMusic blvdが提携していると宣伝している。さらに彼はウエッブページに人物証明を提供せずにフリーのEメールアドレスを使用した。
Richardが望んだものはスパムあるいは販売のアドレスリストを作るために人々に正確な Eメールアドレスを送らせることだけだった。
これには2つのタイプの売買がある。一つは他の方法で集めたEメールアドレスリスト (しばしば、CD である)の購入である。例えば、UseNetで収集したEメールアドレス をEメール宣伝を望む会社(Eメール広告にopt-in した人たちのように偽ったリストを掴ますこともある)あるいはリストを再販したい他社への 転売である。
二つ目のタイプは合法的にEメールアドレスを得た会社(例えば、雑誌は講読者にイン ターネットでの連絡用にEメールアドレスを尋ねている)が付加収益のためこのリストを 販売する。 このことは他の方法(これはある事情で会社にEメールで問い合わせした人々)で会社が 得たEメールアドレスを売ることに繋がる。
著者はフリーのEメールアドレスを提供するサイト(複数)がEメールアドレスリストを 盗むためにハックされたとの噂を聞いたことがある。優良なe-コマースサイトはクレ ジットカードのリストを盗むためハックされ続けている。
あなたのアドレスが採取されスパムが来たら、以下のページがスパマーを追い詰めるのに 役立つであろう。
1. MindSpring's page explaining how to get an email's headers
http://help.mindspring.com/features/emailheaders/extended.htm
2. The spam FAQ, maintained by Ken Hollis.
http://digital.net/~gandalf/spamfaq.html
http://www.cs.ruu.nl/wais/html/na-dir/net-abuse-faq/spam-faq.html
3. The Reporting Spam page, an excellent resource.
http://www.ao.net/waytosuccess/
4. Reading Mail headers.
http://www.stopspam.org/email/headers/headers.html
5. Julian Haight's Spam Cop page.
http://spamcop.net/
6. Chris Hibbert's Junk Mail FAQ.
http://www.fortnet.org/WidowNet/faqs/junkmail.htm
7. UXN Spam Combat page.
http://www.ultradesign.com/engineering/uxn/
8. Sam Spade, Spam hunter.
http://samspade.org/t/
9. Penn's Page of Spam.
http://home.att.net/~penn/spam.htm
A. WD Baseley's Address Munging FAQ
http://members.aol.com/emailfaq/mungfaq.html
B. Fight Spam on the Internet site
http://spam.abuse.net/
C. The Spam Recycling Center
http://www.spamrecycle.com/
W. The Junk Busters Site
http://www.junkbusters.com/
X. The Junk Email site
http://www.junkemail.org/
Y. BCP 30: Anti-Spam Recommendations for SMTP MTAs
ftp://ftp.isi.edu/in-notes/bcp/bcp30.txt
Z. FYI 28: Netiquette Guidelines
ftp://ftp.isi.edu/in-notes/fyi/fyi28.txt
FYI 35: DON'T SPEW
A Set of Guidelines for Mass Unsolicited Mailings and Postings
ftp://ftp.isi.edu/in-notes/fyi/fyi35.txt
Several sites on the web will help in tracing spam :
1. Sam Bretheim's list of traceroute gateways
http://www.geocities.com/Athens/4273/gateways.html
To find traceroute gateways in any country, visit here.
http://www.traceroute.org/
2. Allwhois.com gates to whois on any domain world-wide
http://www.allwhois.com/
3. A list of whois servers, collected by Matt Power
ftp://sipb.mit.edu/pub/whois/whois-servers.list
4. Alldomains.com site - links to NICs worldwide.
http://www.alldomains.com/
A similar page can be found at
http://www.forumnett.no/domreg.html
5. The Coalition Against Usolicited Commerical E-mail.
http://www.cauce.org/
The European CAUCE.
http://www.euro.cauce.org/en/index.html
The Coalition Against Unsolicited Bulk Email, Australia.
http://www.caube.org.au/
The Russian Anti-Spam organization.
http://www.antispam.ru/
Y. No More Spam - ISP Spam-Blocking Interferes With Business
http://www.byte.com/columns/digitalbiz/1999/04/0405coombs.html
Z. Removing the Spam
By Geoff Mulligan
Published by O'Reilly
ISBN 0-201-37957-0
A good book about handling spam.
Legal resources :
1. FTC Consumer Alert -
FTC Names Its Dirty Dozen: 12 Scams Most Likely to Arrive Via Bulk email
http://www.ftc.gov/bcp/conline/pubs/alerts/doznalrt.htm
2. Report to the Federal Trade Commision of the Ad-Hoc Working Group
on Unsolicited Commercial Mail.
http://www.cdt.org/spam/
3. Pyramid Schemes, Ponzi Schemes, and Related Frauds
http://www.impulse.net/~thebob/Pyramid.html
4. The AOL vs. Cyberpromo case
http://legal.web.aol.com/decisions/dljunk/cyber.html
The AOL vs. the Christian Brothers (the apricot seeds as a cancer
cure spammers) case.
http://www.andovernews.com/cgi-bin/news_story.pl?97775/topstories
5. "Intel scores in email suit", by Jim Hu, CNET News.com.
http://www.news.com/News/Item/0,4,29574,00.html?st.ne.ni.lh
6. The John Marshall Law School spam page
http://www.jmls.edu/cyber/index/spam.html
7. First amendment issues related to UBE, by Paul L. Schmehl.
http://www.utdallas.edu/~pauls/spam_law.html
8. Hawaii's Anti-Spam Law
http://www.capitol.hawaii.gov/session1999/bills/sb651%5F.htm
9. Washington's Anti-Spam Law
ftp://ftp.leg.wa.gov/pub/rcw/title_19/chapter_190/
http://www.wa.gov/ago/junkemail/
Also see the WA State Resident site
http://www.wa-state-resident.com/
A news story about a relevant court case can be found at
http://www.andovernews.com/cgi-bin/news_story.pl?156067/topstories
A. California's Anti-Spam Law
http://www.leginfo.ca.gov/cgi-bin/postquery?bill_number=ab_1629&sess=PREV&house=B
B. Virginia's Anti-Spam Law
http://leg1.state.va.us/cgi-bin/legp504.exe?ses=991&typ=bil&val=hb1714
C. Nevada's Anti-Spam Law
http://www.jmls.edu/cyber/statutes/email/nvsb13.html
D. The UK Data Protection Law
http://www.dataprotection.gov.uk/
E. The Italian Anti-Spam Law
http://www.interlex.com/testi/dlg99185.htm
F. The Austrian Telecm Law
http://www.parlament.gv.at/pd/pm/XX/I/texte/020/I02064_.html
http://www.bmv.gv.at/tk/3telecom/recht/tkg/inhalt.htm
G. The Norwegian Marketing Control Act
http://www.forbrukerombudet.no/html/engelsk/themcact.htm