ブログ - スパム・フィッシングカテゴリのエントリ
独自調査によってうちはブラジルからの迷惑メールが大半だったのでブラジルからのアクセスをdropするようにしたら圧倒的な効果がありました.
そこで,JPCERT/CCでもブラジルからの迷惑メールの増加に対応して発信者情報の交換をブラジルのCERTと行う様になった様です.
ブラジルとの迷惑メールに関する情報交換の開始について
http://www.jpcert.or.jp/press/2010/PR20100108_brz.pdf
この資料によるとブラジルからの迷惑メールはここ2009年にその前年より倍増している感じですね.
同資料では日本からの情報提供は既に1月13日に行われている様なので,ブラジルからの提供された情報がどのように後悔されるのか気になります. IPアドレスが後悔されたら,それをFirewallに設定してdropすればよいのかな.
そこで,JPCERT/CCでもブラジルからの迷惑メールの増加に対応して発信者情報の交換をブラジルのCERTと行う様になった様です.
ブラジルとの迷惑メールに関する情報交換の開始について
http://www.jpcert.or.jp/press/2010/PR20100108_brz.pdf
この資料によるとブラジルからの迷惑メールはここ2009年にその前年より倍増している感じですね.
同資料では日本からの情報提供は既に1月13日に行われている様なので,ブラジルからの提供された情報がどのように後悔されるのか気になります. IPアドレスが後悔されたら,それをFirewallに設定してdropすればよいのかな.
フィッシング対策協議会から注意喚起です.
【注意喚起】 携帯サイトを装ったフィッシングサイトにご注意下さい
http://www.antiphishing.jp/alert/alert1032.html
モバゲー,ミクシィ,グリー,イクセンを語っているとの事. モバイルサイトでのフィッシングは珍しいのですが,今回見つかったサイトではメールアドレス等の個人情報等を収集している様です.
イクセン(ixen)というのは知らなかったんだけど,シーエーモバイルが運営しているんですね.アメブロのサイバーエージェントの子会社です.
キャリアの対策のおかげで総当たりでの迷惑メール配信が出来なくなっているので,少々短いメアドでも大丈夫なのですが,色々なサイトで遊んでいるケータイサイトのユーザは,どこから情報が漏れるようで迷惑メールが到着している様ですね.
【注意喚起】 携帯サイトを装ったフィッシングサイトにご注意下さい
http://www.antiphishing.jp/alert/alert1032.html
モバゲー,ミクシィ,グリー,イクセンを語っているとの事. モバイルサイトでのフィッシングは珍しいのですが,今回見つかったサイトではメールアドレス等の個人情報等を収集している様です.
イクセン(ixen)というのは知らなかったんだけど,シーエーモバイルが運営しているんですね.アメブロのサイバーエージェントの子会社です.
キャリアの対策のおかげで総当たりでの迷惑メール配信が出来なくなっているので,少々短いメアドでも大丈夫なのですが,色々なサイトで遊んでいるケータイサイトのユーザは,どこから情報が漏れるようで迷惑メールが到着している様ですね.
スパムメール対策としてブラジルからの通信を遮断したのが11月7日なので,2ヶ月経過しました.この間に到着した迷惑メールは219通.2日で1800通届いていた初期の頃に比べて大幅に削減できました.
そこでグラフで実績を振り返ってみます.
グラフをみて一目瞭然なのは,スパムメールの到着数が圧倒的に減ったという事が判ります. このグラフでは平均化されているので最大20通となっていますが,この頃1日あたり400通程度の迷惑メールが届いていました. 週刊グラフでみると次の通り.
届かない日もあるようです.
これで裏付けられるのは,うちの場合はブラジルからのSPAMメールが多かったという事です.
今回の迷惑メールの特徴は,次の2つです.
1.サーバに存在した事の無いアカウントへのメール
2.当ドメインを偽装して送信したメールのエラーメールが戻ってくる
この1の場合,受取人が居ないのでエラーメールを相手に返しますが,偽装されているので相手が存在しないので返却できません.いわゆるバウンスメールですが規定の回数のリトライ後,削除する様にしています. 面倒なのはメールサーバにウイルススキャナを入れているので,メールが到着する都度スキャンされるのでサーバのCPU負荷が上がります.
メール配送プロトコルのSMTPは性善説で作られているので送信者アドレスの偽装が出来てしまうのですが,2の場合それを利用して当サイトのメールアドレスを偽り,未承認広告メールを大量に出している様です.そして送信先のアドレスが無いと当サイトへエラーメールが返送されてきますが,そのアドレスも無いので後は1と同じ現象になります
これの種類の場合は対策は比較的容易で,メールヘッダにMail DaemonからのDelivery Errorが記録されているので,フィルタリングし削除可能です.
今回の対策としては当初エラーメールをフィルタリングで定期削除と,バウンスメール化しないようにメールの宛先として使われる存在しない約20アカウントをダミーで全て受け取って作成し,集約して削除を行っていましたが,受け取る時のウイルススキャンの負荷の低減が難しかったので,発信先のIPアドレスを検出し,その傾向からブラジルのIPアドレスをメールサーバ側でリジェクトとしました.
そこでグラフで実績を振り返ってみます.
グラフをみて一目瞭然なのは,スパムメールの到着数が圧倒的に減ったという事が判ります. このグラフでは平均化されているので最大20通となっていますが,この頃1日あたり400通程度の迷惑メールが届いていました. 週刊グラフでみると次の通り.
届かない日もあるようです.
これで裏付けられるのは,うちの場合はブラジルからのSPAMメールが多かったという事です.
今回の迷惑メールの特徴は,次の2つです.
1.サーバに存在した事の無いアカウントへのメール
2.当ドメインを偽装して送信したメールのエラーメールが戻ってくる
この1の場合,受取人が居ないのでエラーメールを相手に返しますが,偽装されているので相手が存在しないので返却できません.いわゆるバウンスメールですが規定の回数のリトライ後,削除する様にしています. 面倒なのはメールサーバにウイルススキャナを入れているので,メールが到着する都度スキャンされるのでサーバのCPU負荷が上がります.
メール配送プロトコルのSMTPは性善説で作られているので送信者アドレスの偽装が出来てしまうのですが,2の場合それを利用して当サイトのメールアドレスを偽り,未承認広告メールを大量に出している様です.そして送信先のアドレスが無いと当サイトへエラーメールが返送されてきますが,そのアドレスも無いので後は1と同じ現象になります
これの種類の場合は対策は比較的容易で,メールヘッダにMail DaemonからのDelivery Errorが記録されているので,フィルタリングし削除可能です.
今回の対策としては当初エラーメールをフィルタリングで定期削除と,バウンスメール化しないようにメールの宛先として使われる存在しない約20アカウントをダミーで全て受け取って作成し,集約して削除を行っていましたが,受け取る時のウイルススキャンの負荷の低減が難しかったので,発信先のIPアドレスを検出し,その傾向からブラジルのIPアドレスをメールサーバ側でリジェクトとしました.
SPAM対策の一閑として,うちのサイトではブラジルからの迷惑メールが多い事が判ったのですが,FirewallでさっくりとブラジルあたりのIPアドレスをブロックしました.
このグラフを見ると,朝9時過ぎに設定して,それ以降のグラフの動きで効果がわかりますね.
でもまぁ,ブラジルだけじゃないのので他の国からのメールがガツンときたりしますが,それでも結構効果がありました.しかし,Firewall機能川の負荷が高くなります.
このグラフを見ると,朝9時過ぎに設定して,それ以降のグラフの動きで効果がわかりますね.
でもまぁ,ブラジルだけじゃないのので他の国からのメールがガツンときたりしますが,それでも結構効果がありました.しかし,Firewall機能川の負荷が高くなります.
迷惑メールが送信される国を調べてみました.
検査対象は我がサイトへ10月27日〜29日に届いた1769通です.Receivedヘッダを抽出し,以下のPerlスクリプトを使用しました.
アクセス元がどこの国か調べるスクリプト
昔,調べた時には中国・韓国・アメリカくらいの順番でしたが,今回はこんな感じです.
1.ブラジル(248)
2.アメリカ(128)
3.韓国(125)
4.ベトナム(120)
5.インド(98)
6.ポーランド(66)
7.ルーマニア(56)
7.コロンビア(56)
9.ロシア(53)
10.エジプト(43)
11.アルゼンチン(41)
12.中国(40)
13.ウクライナ(35)
13.イギリス(35)
15.チェコ(32)
※国名の後の括弧内の数値は,メール数.
国別で集約すると97カ国あったのですが,上位5カ国で40%になりました.国内からのメールは15通で同着の25位でブルガリア,モロッコ,トルコと同じでした.国毎に割り当てられているIPアドレスを簡単にFirewallでDrop出来る様になれば拒否率が高くなります...
ということで,MRTGでグラフ化したスパムメールのグラフです.
このグラフは5分おきのスパムメール到着数を表したものですが,拒否する事によっての効果を調べてみます.本日現在は,少し少なくなっている後日,経過報告する予定です.
検査対象は我がサイトへ10月27日〜29日に届いた1769通です.Receivedヘッダを抽出し,以下のPerlスクリプトを使用しました.
アクセス元がどこの国か調べるスクリプト
昔,調べた時には中国・韓国・アメリカくらいの順番でしたが,今回はこんな感じです.
1.ブラジル(248)
2.アメリカ(128)
3.韓国(125)
4.ベトナム(120)
5.インド(98)
6.ポーランド(66)
7.ルーマニア(56)
7.コロンビア(56)
9.ロシア(53)
10.エジプト(43)
11.アルゼンチン(41)
12.中国(40)
13.ウクライナ(35)
13.イギリス(35)
15.チェコ(32)
※国名の後の括弧内の数値は,メール数.
国別で集約すると97カ国あったのですが,上位5カ国で40%になりました.国内からのメールは15通で同着の25位でブルガリア,モロッコ,トルコと同じでした.国毎に割り当てられているIPアドレスを簡単にFirewallでDrop出来る様になれば拒否率が高くなります...
ということで,MRTGでグラフ化したスパムメールのグラフです.
このグラフは5分おきのスパムメール到着数を表したものですが,拒否する事によっての効果を調べてみます.本日現在は,少し少なくなっている後日,経過報告する予定です.
スパムメール対策として,受信後の処理の最適化を行ってサーバ負荷が下がり一定の効果があったのですが,送られてくるメール数が半端じゃぁありません.
5分間毎のスパムメール到着数をグラフ化している結果ですが,5分間に288件も到着したりしています. こうなるとスパム&ウィルス判定エンジンが大量に稼働してサーバがメモリ不足気味でとても遅い...
という事で現在別の対策を投入して効果を計っている所ですが,まずまずの効果がありそうです.
ひかしそれは根本的な対処ではないので,もっとインターネット側で排除できる様な仕組みを考える必要があるかと考えています.
5分間毎のスパムメール到着数をグラフ化している結果ですが,5分間に288件も到着したりしています. こうなるとスパム&ウィルス判定エンジンが大量に稼働してサーバがメモリ不足気味でとても遅い...
という事で現在別の対策を投入して効果を計っている所ですが,まずまずの効果がありそうです.
ひかしそれは根本的な対処ではないので,もっとインターネット側で排除できる様な仕組みを考える必要があるかと考えています.
スパム対策をしました.
最近は,塩分控えめのライトを買ってます・・・ではなくて,SPAMメールが沢山くるのでサーバの負荷が高くなる現象があったのですが,その対策を行いました.
これはメールサーバの負荷ですが,SPAMメールが増える事でCPU負荷が高くなっている事が判ります.
メール到着毎にサーバ上でスパム判定とウイルス検査を実施しているのですが,受信数が多くなるのに比例してCPU負荷が高くなります.
うちのばあい,ほとんどのSPAMメールは,ドメインを騙って送られたメールのエラーメールで,存在しないアカウントを使われて送信されているので,受信してもエラーを返すんだけど相手も戻してくるので1通のメールが何往復もするという事で負荷が高くなっています.
ということで,対策を行い,負荷の削減ができました. ただし,到着するエラーメール数は制限できないので,以前よりは負荷が高い状態になっています.
まぁ,このメールサーバ,2005年に導入したものなので,そろそろ新しいサーバ機に入れ替えようかと思案中です.
最近は,塩分控えめのライトを買ってます・・・ではなくて,SPAMメールが沢山くるのでサーバの負荷が高くなる現象があったのですが,その対策を行いました.
これはメールサーバの負荷ですが,SPAMメールが増える事でCPU負荷が高くなっている事が判ります.
メール到着毎にサーバ上でスパム判定とウイルス検査を実施しているのですが,受信数が多くなるのに比例してCPU負荷が高くなります.
うちのばあい,ほとんどのSPAMメールは,ドメインを騙って送られたメールのエラーメールで,存在しないアカウントを使われて送信されているので,受信してもエラーを返すんだけど相手も戻してくるので1通のメールが何往復もするという事で負荷が高くなっています.
ということで,対策を行い,負荷の削減ができました. ただし,到着するエラーメール数は制限できないので,以前よりは負荷が高い状態になっています.
まぁ,このメールサーバ,2005年に導入したものなので,そろそろ新しいサーバ機に入れ替えようかと思案中です.
春頃だったかOracle Open Worldのセミナーに登録したのですが,行かなかったんですよね. 行かなかったかどうかは別で,それからというもの,登録した事の無い情報システム系企業からメールがくるのです.
・住商情報システム株式会社
・TIS株式会社
・ネットアップ株式会社
・東洋ビジネスエンジニアリング株式会社
住商情報はメールの巻頭に「このご案内は、先般、住商情報システムがゴールドスポンサーとして協賛いたしましたOracle OpenWorld Tokyo 2009のイベントにご参加・ご登録頂き、スポンサーよりお知らせをお送りすることにご了承頂いている方にお送りしております。」と案内が添えてありました. 入手経路が判る様に説明があり好感度が高いです. たぶん申し込んだ時に,特に何も思わずチェックして許可したんだろうなぁとわかるし.
その逆はTISでメールの巻末にある解約についての案内に,だと「本メールは、過去に当社主催のセミナーにご出席いただいたお客様、もしくは過去に当社営業担当が名刺をいただいたお客様宛てに配信しております。」と書いてあるのですがTISの営業とコンタクトとった事無いし主催のセミナーに行った事無いんですけど? 入手先を正確に言えないのであれば「未承認広告」をタイトルに入れないといけないのでは?(笑)
今回はOracleへ専用のアドレスで登録していたのでアドレスの入手先が判ったのですが,同じ悪気の無いメールでもこのように比べると対応力の差がわかるんだなぁと改めて感心しました.
・住商情報システム株式会社
・TIS株式会社
・ネットアップ株式会社
・東洋ビジネスエンジニアリング株式会社
住商情報はメールの巻頭に「このご案内は、先般、住商情報システムがゴールドスポンサーとして協賛いたしましたOracle OpenWorld Tokyo 2009のイベントにご参加・ご登録頂き、スポンサーよりお知らせをお送りすることにご了承頂いている方にお送りしております。」と案内が添えてありました. 入手経路が判る様に説明があり好感度が高いです. たぶん申し込んだ時に,特に何も思わずチェックして許可したんだろうなぁとわかるし.
その逆はTISでメールの巻末にある解約についての案内に,だと「本メールは、過去に当社主催のセミナーにご出席いただいたお客様、もしくは過去に当社営業担当が名刺をいただいたお客様宛てに配信しております。」と書いてあるのですがTISの営業とコンタクトとった事無いし主催のセミナーに行った事無いんですけど? 入手先を正確に言えないのであれば「未承認広告」をタイトルに入れないといけないのでは?(笑)
今回はOracleへ専用のアドレスで登録していたのでアドレスの入手先が判ったのですが,同じ悪気の無いメールでもこのように比べると対応力の差がわかるんだなぁと改めて感心しました.
続いてフィッシング詐欺対策等について調べているのですが,このような団体があったのですね.
フィッシング対策協議会
http://www.antiphishing.jp/
今年の9月10日に,サービス事業者と消費者への対策ガイドラインが発表されていますので,是非参考に.
フィッシング対策ガイドライン(PDF:1,454KB)
http://www.antiphishing.jp/information/information258.html
フィッシング自体に関しては,セキュリティ対策の中ではじみ〜な感じがありませんか? クロスサイトスクリプティング等と違って瑕疵部分が少ないからでしょうか.
それでも,ちゃんと警視庁にも窓口は用意されています.
フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
フィッシング対策協議会
http://www.antiphishing.jp/
今年の9月10日に,サービス事業者と消費者への対策ガイドラインが発表されていますので,是非参考に.
フィッシング対策ガイドライン(PDF:1,454KB)
http://www.antiphishing.jp/information/information258.html
フィッシング自体に関しては,セキュリティ対策の中ではじみ〜な感じがありませんか? クロスサイトスクリプティング等と違って瑕疵部分が少ないからでしょうか.
それでも,ちゃんと警視庁にも窓口は用意されています.
フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
最近も大きく?騒がれていますが,フィッシング詐欺も後を絶たない様です.
「パスワードの期限が切れました」――ニフティをかたるフィッシング2008年10月に引き続き注意喚起、不審なメールにはご用心
http://itpro.nikkeibp.co.jp/article/NEWS/20081201/320425/
フィッシング詐欺情報について調べていたら,次のような情報提供サイトがありました.
フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/
見つかった詐欺サイトがどんどん掲載されているサイトですが,ほぼ毎日情報が追加されています.
ウィキペディアフィッシング (詐欺)によると,特定の団体や個人を特定したものをスピア型(spear)と呼ぶ様です. spearとはヤリの事で,phishingとはfishingを語源としていますから,そのイメージから名付けられたのでしょう.
振り込め詐欺と同じで,フィッシング詐欺も巧妙に作っていると思いますから,その見分け方・対策についてどのようにすれば良いか,補助的な内容としていますが参考になるので紹介します.
フィッシング詐欺サイト情報|防御方法
http://www.rbl.jp/phishing/index.php?mode=page&aim=CBC9B8E6CAFDCBA1
このページでは,ユーザとしての注意点の他にサイト運営側としての考慮点についても考えてあるので,参考になりそうです.
「パスワードの期限が切れました」――ニフティをかたるフィッシング2008年10月に引き続き注意喚起、不審なメールにはご用心
http://itpro.nikkeibp.co.jp/article/NEWS/20081201/320425/
フィッシング詐欺情報について調べていたら,次のような情報提供サイトがありました.
フィッシング詐欺サイト情報
http://www.rbl.jp/phishing/
見つかった詐欺サイトがどんどん掲載されているサイトですが,ほぼ毎日情報が追加されています.
ウィキペディアフィッシング (詐欺)によると,特定の団体や個人を特定したものをスピア型(spear)と呼ぶ様です. spearとはヤリの事で,phishingとはfishingを語源としていますから,そのイメージから名付けられたのでしょう.
振り込め詐欺と同じで,フィッシング詐欺も巧妙に作っていると思いますから,その見分け方・対策についてどのようにすれば良いか,補助的な内容としていますが参考になるので紹介します.
フィッシング詐欺サイト情報|防御方法
http://www.rbl.jp/phishing/index.php?mode=page&aim=CBC9B8E6CAFDCBA1
このページでは,ユーザとしての注意点の他にサイト運営側としての考慮点についても考えてあるので,参考になりそうです.
