先の記事の続きといえば続きなんですが、スパムメールでのネット詐欺の自衛というか、対策などをちょっと考えてみました。やはり自衛方法は共有しその方法も改良するのが一番かもしれません。経済産業省の対策も完全に撲滅はできないでしょうし、現実の世界と同じで新手の方法も考えてくるでしょうから。
とりあえずは現状分析ですねぇ。
一番の問題はインターネット上のホームページがメールアドレス抜き(ソフトウエアで自動化されているでしょう)の温床になっているのが一番の原因ですよね。メアド記述を無くせばいんですが、サイト管理者さんたちの様々な理由からそうも行かないわけです。とくに信用表現の必要のあるサイトにとっては必要ですものね。
人手の場合はともかく、メール抜きソフトを技術屋的な観点から考えてみると、ネットに常時接続が難しかった頃に流行った、ホームページ一括ダウンロードソフトの応用、ソース公開されているものもありますから、機能の一部分を抜き出して改良したものが出回っているのではないでしょうかね。知識のあるものが裏ソフトに仕立てて詐欺には手を出さないまでも、売って儲けている可能性さえありますね。多分で、想像の域をでませんが。
HPのファイル(拡張子がhtmやhtml、shtmlなど)をHTTPプロトコルというWebサーバーの規約を利用して読み込みその中から、おそらく「mailto」あるいは、「@」の前後を抜き出すわけでしょう。そうしてそのアドレスにユニークなIDを生成して関連付けデータベースなどにストックするわけですね。そうしてから、巧みな文章をメール本分にしてメルマガなどに偽装して一斉メールするのではないでしょうかね。
一番簡単な対処法は、HTML上では「@」を特殊文字の「@」で表現するとかの方法でしょうが(「.」なども)、これも人手で変換するか、フィルターを通して戻されているでしょう。それくらいのソフトを作成できるなら、そのように対処するでしょうね。
特殊文字を説明しているサイト
次には、メアドの表示はオートパイロットできないようにCGIゲートウエイなどの奥にするかスクリプトで生成し、人が直接操作する以外見られないようにすると、効果が上がるでしょう。ただ、同時に一般の方々にとっても少々面倒か、そこをパスされるかもしれないので諸刃の剣ですよね。ただこれだけ問題になってくると理解される方もどんどん増えるでしょうけど。
次に関係機関には少々迷惑をかけるかもしれませんが(怒られるだろうか・・・笑)、自動化の裏をかいてわざとメールをダウンロードさせるってのはどうでしょう。手っ取り早いのはHTMLの中に日本中の最寄のサイバーポリスのメアドを埋め込むのもいいですね。警視庁でもいいかも。笑 自動化してるならそこにもメールしますから、おのずと調査されますものね。
(解析時には、サイバーポリス等のHPのURLは除外しているでしょうしね。^^; 経済産業省へ転送あるいはアクセス転送もいいかも(2月以降ですけど))
技術的には、クライアントの判断はそう難しくないでしょうから(というより簡単ですね)著名なブラウザ以外からのアクセスを弾くことも可能かも。自動以外ありえない短時間のアクセス監視でもいいか・・ううむ
CGIで簡易プロキシーのようなもので十分可能ではないでしょうか。ネットプログラミングに詳しい方なら実現できるのではないですか?
まあ、数種の方法を組み合わせておき、メール抜きが手間のかかるものとしてしまうのが効果のある方法ではないでしょうか。このような方法論も公開したほうがいいのではと思い記事にしてみましたが。どうでしょう?
追加:オートパイロットでは認証のないCGI等がダウンロードされる場合もありますが、HTMLになっていたり、バイナリだったりです(過去の経験からですが)。
また、公開CGIにはCGI名などがあるとそのソースを誰でも入手できますよね。そのときCGIの弱点をつかれる可能性も・・、CGIの名称を変えてもOKなものだとなかなか解析できないかもしれませんね。
2005/01/23:メールアドレスの直接記述はせず、CGIを利用してフォームメールで代用するという方法がありました。>_^;
これだと、アドレスそのものはCGI内に隠されるので、簡単には抜かれないでしょう。それでもCGIに書くのもなぁという方は、MD5などで暗号化可能なCGIを探すか、プロバイダが許可していないといけませんが、C言語のコンパイル済みCGIを利用されると良いですね。
スポンサードリンク