| 「す〜ぱ〜もの」注意書き |
| 2002/06/19 改訂初版 2002/07/08 1.2版 2003/01/21 1.3版 |
スパムの宣伝しているサイトを実際に閲覧することにはいろいろな問題があります。悪意あるプログラムが仕掛けられている可能性も皆無ではありません。
ソースというのはホームページの内容を表すプログラムです。プログラムと言っても、ホームページの場合は「タグ」と呼ばれる< >で囲った部分(HTML言語)を多く持つテキスト形式の文章から成り立つもので、C言語などの数式を主体とするプログラムとは随分雰囲気の違うものです。そしてホームページの場合、「ソースを書く」=「ホームページを作る」という意味になります。
「悪意あるプログラムが実行される」とは、このテキストで書かれたソースをブラウザ(ホームページ閲覧ソフト)で見ることにより発生します。けれども、そのソースをブラウザを使わずにWindows標準の「メモ帳」などを使い、テキストの文章として見る限りは、ほとんどそのような問題が起こりません。ゆえに怪しいホームページを覗く際には、まずソースを見て問題のあるプログラムがないかなどを確認することが出来るのです。
一般にホームページのソースは「http://」の前に「view-source:」をつけることで見ることが出来ます。スパムの場合、ありがちなのは
などがあります。そのような場合にはジャンプ先や、リンク先のネット業者に苦情を言うことが必要なときもあるでしょう。
ただしソースの表す内容がどういう風になっていれば「怪しいか」はある程度HTML言語を知っていなければなりません。けれども前述のようにHTML言語は他のプログラム言語とかなり違い、難しいものではない(技術系の感覚だとこれをプログラムというのかいまいちピンとこないのですが....)ですので、一度学んでみるのも良いかもしれません。
なおソースを見る際にテキストを見るための「メモ帳」などのソフトが起動しますが、それは全く問題ではありません。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
もっとも単純な場合、このシステムで調査がされた「入力ドメイン名」あるいは「入力IP」に関し
http://ドメイン名(あるいはIPアドレス)/
というURLがスパム送信者が利用したネットサービス業者のものであり、苦情先はそのサイトの中から探すべきこともあります。このような場合とは一般にスパムメール宣伝サイトが
http://入力ドメイン名/spammer-user/spam.html
などのように「入力ドメイン名」以降もうじゃうじゃと長い場合にあり得ます。具体的に言えば仮にスパムで宣伝されていたサイトが
http://www.geocities.co.jp/HeartLand-Icho/2268/chihist_ML-j.html (私のサイトですよ!)
だった場合、苦情すべきは
http://www.geocities.co.jp/
のサイトから、すなわちネットサービス業者Geocitiesの苦情窓口を探すということです。
しかし、たとえ宣伝サイトURLが長くても単純には判断できず、「http://入力したもの/」はスパム送信者が所有する、彼が宣伝したいサイトである危険もあります。故に引き続きの調査も必ず参照して下さい。
なお「入力ドメイン名」が御自分の知っているプロバイダー名、ネットサービス業などの場合でしたら上のURLから苦情先を探しても問題ありません。「根拠のある場合」とはそのような場合を指しています。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
NetworkAbuseClearingHouse略してabuse.netは世界中のネット業者の苦情先窓口データベースです。外国のサイトですが日本のネット業者も代表的な所は登録されています。
「入力ドメイン名」はスパム送信者所有のものの可能性もあるわけですが、abusenetには一般に普通スパムに対して問題意識の高いところが登録しています。ですから入力ドメイン名からのabusenet結果が存在する場合、入力ドメイン名はスパム送信者自身のものよりも、スパム送信者が利用しているネット業者のものの可能性が高いと考えます。その傍証として、おそらく宣伝されているサイトは
http://入力ドメイン名/spammer-user/spam.html
などのようになっていると思います。もしこのようになっていない、すなわちスパムで宣伝されているサイトが
http://入力ドメイン名/
であり、しかも「入力ドメイン名」がabusenetに登録されていた場合には特殊な事情だと考えられますので、他の結果等を参照しながら事実関係をつかんで下さい。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
2002年4月現在、インターネットの主流であるIpv4の規格では、増え続ける世界中のネットユーザに比して、ネット上の住所(土地)とも言うべきIPアドレスが不足しています。それを補うために、同じIPアドレスでもドメイン名を変えることで接続先等を判別することなどが行われています(土地が足りないのでアパート、マンションを建てて同じ住所に住むようなモノですね^_^;;)。
その結果、一つのIPアドレスがたくさんのドメイン名を兼ねているという場合が存在し、廉価なサービスほどその傾向にあります。その場合には「入力ドメイン名」から「IPアドレス」に変換し、さらにをそれを逆引きする、すなわち「逆引きドメイン名」に変換すると、「逆引きドメイン名」がスパム送信者が利用したネット業者のものとして出てくる場合がしばしばあります。
このシステムではその点を用いて苦情先のネット業者を調べようとしているわけですが、スパム送信者が単独で一つのIPアドレスを所有している場合、「逆引きドメイン名」もスパム送信者所有のものとなり、「逆引きドメイン名」に基づいて調べるサイトもスパム所有者のものとなる可能性もあります。
どちらであるかを見分ける方法として「入力ドメイン名」と「逆引きドメイン名」の同一性を用いる方法があり、それは注4と注5で書きました。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
注意4●「入力ドメイン名」と「逆引きドメイン名」が一致する場合
注3で述べていることを背景にして、廉価なサービスでは一つのIPアドレスで複数のドメイン名が割り当てられている場合が一般的です。そのような場合、「入力ドメイン名」はスパム送信者の所有であっても、そこから得られる「逆引きドメイン名」は利用ネット業者を示す名前になることが普通です。
もし「入力ドメイン名」と「逆引きドメイン名」が完全に一致した場合、それらに一対一で対応しているIPアドレスをスパム送信者が所有していることになり、かなりしっかりとした固定サービスを受けている、腰を据えたスパマーであると考えられます。後述のIPアドレス登録者がスパム送信者であるかはまた別問題ですが、いずれにせよ「逆引きドメイン名」からネット業者を捜すことは諦めねばなりません。
なお「入力ドメイン名」と「逆引きドメイン名」が一致する場合でも、逆にもっと単純な場合もありえます。すなわち「注1」や「注2」で述べたように、宣伝されているサイトが
http://入力ドメイン名/spammer-user/spam.html
などの場合です(*)。この場合には「入力ドメイン名」が(特に大手の)ネットサービス業者のものであり、その下でユーザとしてスパム宣伝サイトを作っているわけですが、ネット業者は当然しっかりした所ですので「入力ドメイン名」と「逆引きドメイン名」が一致する可能性が高いわけです。しかしながらスパムメールで宣伝されているサイトが「http://入力ドメイン名/」というものならば、その可能性はありません。
(*)である場合に「単純なスパマー」か「腰を据えたスパマー」のどちらであるかの判断は、後述のIPアドレスからの検索結果に委ねられます。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
注意5●「入力ドメイン名」と「逆引きドメイン名」が一致しなかった場合
「入力ドメイン名」はスパム送信者の所有の可能性が高いのに対し、「逆引きドメイン名」はスパム送信者の利用しているネット業者のドメイン名が出ることが多いです。当システムではそのことを利用し、スパマーの利用したネット業者を見つけ、そこに苦情を行い、スパマーを処罰して貰おうという発想をしています。
なお「入力ドメイン名」と「逆引きドメイン名」が一致しない場合に、両者ともスパム送信者の所有である可能性もないわけではありません。「逆引きドメイン名」のサイト内容がネットサービス業でない場合、あるいは「入力ドメイン名」の宣伝内容と一致する場合には「逆引きドメイン名」もスパマー所有のものではないか、注意する必要があります。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
「逆引きドメイン名」が検索できない、すなわち「DNS逆引き」が出来なかった場合でも、IPアドレスをURLに入れた時に、スパム送信者が利用した(あるいはサイト制作で利用している)ネット業者のサイトが出てくる場合もあります。その場合にはそのサイトの中で苦情連絡先を見つけます。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
注意7●IPアドレスからの検索結果(Whoisによるもの)を利用する場合
IPアドレスというのは後述のドメイン名に比べて希少価値があることもあって、国別、あるいは地域別にNICという非営利的な機関で管理・登録が行われており、比較的その登録情報は信頼することができます(100%ではありません)。
そこで、スパムの苦情先としてIPアドレスの登録情報を利用しようとするわけですが、登録が正しいことと、登録者が真っ当な管理者であることとは別問題です。すなわち登録されている管理者がスパム送信者である可能性も残っています。
しかしながら以上までの探索で、いくつかの手がかりが得られたと思われます。それらを元にIPアドレスの検索結果の人(技術管理担当者、Technical-Contact)が適切な苦情先であるかを判断することになります。出力された登録内容から技術管理担当者のメールアドレスを見つける方法は「spamの被害に遭い始めたら」の「3.3苦情先検索2(whoisを用いる)」に書いてあります。
さて出てくる検索結果と、それに対する対応には以下のような場合が考えられます。
●IPアドレスの検索結果が良く知られた大手のネットサービス業である
→→おそらくその場合にはそこが適切な苦情先です。●検索結果の業者は、どうもスパム送信をしてきたところと同じ名称のようだ。
→→残念なことにスパム送信の確信犯、スパム送信を生業としている業者か、あるいは全体としては真っ当なのに社員の一部が暴走してスパム行為に至った可能性があります。
事情関係を問いただすと共に、関係官庁に連絡することを考慮した方が良いでしょう。●検索結果はスパム送信者と違う業者のようだ(特に名称などからネット関係の業者のようである)。
→→おそらくスパム送信者はそのネット業者のサービスを利用したと考えますので、そこが適切な苦情先となります。ただし名称は違っても「スパム送信者の仲間」でないとは断言できません。
余裕があるのなら、そこで出てきた名称を一般の検索サイトなどで調べて、そのネット業者のホームページを見つけて、どのような会社であるか、すなわち信頼するに足りる会社かどうかを調査されることをお勧めします。●検索結果から複数の業者が並列で出てきた。
→「spamの被害に遭い始めたら」の「4.1サーバ管理者検索の注意 」で書いています。下流がスパム送信者自身かは判別が難しいですが、上流・下流の両者にスパム苦情をするのが適切です。
なお、紹介しているIPアドレス検索ツール(Whois)では、下流が主に出るもの、上流が主に出るもの、両者とも出てきてくれて依頼先のメールアドレスが分かるもの、などなど場合によって異なります。
経験的なものもありますので、適宜判断されることをお勧めします。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
注意8●IPアドレスからの検索結果(Whoisによるもの)を利用する場合2
「逆引きドメイン名」の結果が出ませんでしたので、IPアドレスからの検索に期待します。その際の注意は注7と同じです。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
JPNICの良い点は
という点があります。けれどもスパムの利用したネット業者が日本の業者かどうかは偶然に左右されます。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
世界中のIPアドレスが検索可能なサイトはいくつかありますが、上流と下流のうち一部しか出なかったり、担当者の表記がハンドルネームしか書いておらず、メールアドレスがすぐには分からないなどの欠点を持つものが多いです。それはそもそもWhoisというツールが日常的に使うものではないため、利便性に関しての配慮が十分にされていないためだと思われます。
けれども被害者達のスパム対処は日常的なものであり、利便性を必要とします。外国のサイトである「Geek Tools」ではスパム対応に使うことを考慮し、他のツールに比べて簡易に世界中のIPアドレスの管理者メールアドレスへたどり着くことが出来ます。
当サイトでは、Geek Toolsで不完全であったJPNIC(日本のネット業者登録先)結果に関しても十分に出力されるように改良し、日本語版GeekToolsとして提供しております。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)
よく、Whoisのツールでドメイン名の所有者情報を調べる方がいらっしゃいますが、苦情先を探す際に、通常はそれをする必要はなiいと考えています。なぜなら
という理由からです。
(JAVA Script可ならばこの注意書きは一々閉じる必要ありません)