金曜日, 9月 15, 2006

宛先の正しいスパムの阻止率

 私のサイトへの不正メールアクセスの大半は、宛先誤りのものである。スパムやウィルスメールをおびき寄せてデータを取るためにおとりアドレスを仕掛けたのが理由の一つである。また、ISO-2022-JP(通称:JIS)で符号化したウェブページから拾い出された「bwebmaster」などの間違いアドレスもある。先頭の「b」は、文字セット切り替えのエスケープシーケンス(「B」と同じ符号を含む)から誤って抽出されたものである。ほかに、「sneovbwebmaster」だの「qujwtbwebmaster」だのというでたらめのアドレスもある。アドレスリストにごみデータを混ぜて水増しして売り飛ばす奴がいるのだろうか。
 このような不正メールアクセスから統計を取り、2004年4月にも2006年7月にも、ホスト数で計って阻止率99.1%という結果を得た(8月25日「今なお阻止率99%」)。しかし、対策をしていなければ受けてしまったであろうスパムの推計数と実際に受けてしまった通数から計算した阻止率は、97.8%という、やや低い値になった(8月26日「通数で計った阻止率」)。これはなぜだろうかと考えて、推計値でない厳密な統計値を出すことを思い付いた。宛先の正しい不正メールを送り込もうとしたホストだけを抽出して、そのホスト数で阻止率を計るという方法である。
 2006年7月には、受けてしまったスパムの送信元は8個(ISPのメールサーバを含む)、阻止されたホストは297個、そのうち一般規則に引っかかったものは281個であった。このことから、トータルの阻止率は97.4%、一般規則だけによる阻止率は92.1%という結果になった。トータルの阻止率は、通数で計った推計阻止率に近い。
 私は論文で「阻止率99%」と標榜しており、それは不正メールアクセスすべてから統計を取った結果であって嘘ではないのだが、受信するスパムの減少率は97%くらいと思っていただいた方がよいかもしれない。それでも、無料でできるスパム対策としては十分に高い値だと思う。
 この結果は何を意味するかというと、宛先の正しいスパムはS25R方式の防御を突破する率がやや高いということである。その理由を私はこう推測する。スパマーには、効率無視のスパマーと効率重視のスパマーがいる。効率無視のスパマーは、ごみデータだらけのアドレスリストを使い、たくさんのエンドユーザーPCをゾンビ化させて、送達率など気にせずにスパムをばらまく。これらのほとんどはS25R方式で阻止できる。一方、効率重視のスパマーは、送達率の高い良質なアドレスリストを使い、ISPのメールサーバを経由するか、あるいはセキュリティの弱いサーバを乗っ取ってそこからスパムをばらまく。それらの送信元が逆引きできて、しかもサーバっぽい逆引き名であれば、S25R方式では阻止できない。つまり、効率重視のスパマーが、宛先の正しいスパムの突破率を押し上げているのだろう。

0 件のコメント: